BeyondTrust. Διαχείριση κοινόχρηστων λογαριασμών για προνομιούχους χρήστες: 5 βέλτιστες πρακτικές για την επίτευξη ελέγχου και λογοδοσίας
Πολλοί οργανισμοί πληροφορικής χρησιμοποιούν κοινόχρηστους λογαριασμούς για προνομιούχους χρήστες, διαχειριστές, υπηρεσίες ή εφαρμογές ώστε να έχουν την πρόσβαση που χρειάζονται για να εκτελέσουν μία εργασία ή δραστηριότητα. Η κοινοχρησία λογαριασμού συχνά συνεπάγεται τη χρήση των ίδιων διαπιστευτηρίων (του λογαριασμού) για την ταυτοποίηση πολλαπλών χρηστών. Όμως χωρίς τους κατάλληλους διαχειριστικούς ελέγχους, η πρακτική της κοινοχρησίας του λογαριασμού παρουσιάζει σημαντικούς κινδύνους για την ασφάλεια και τη συμμόρφωση από σκόπιμη, τυχαία ή έμμεση κατάχρηση των κοινών προνομίων.
- Οι ενσωματωμένοι και hardcoded κωδικοί πρόσβασης παρουσιάζουν ευκαιρίες για κακή χρήση τόσο από εσωτερικούς όσο και από εξωτερικούς επιτιθέμενους σε ένα δίκτυο.
- Οι κωδικοί για πρόσβαση από εφαρμογή σε εφαρμογή και από εφαρμογή σε βάση δεδομένων συχνά μένουν εκτός στρατηγικών διαχείρισης.
- Οι στατικοί κωδικοί μπορούν εύκολα να βγουν εκτός του οργανισμού ενώ η χειροκίνητη εναλλαγή (rotation) των κωδικών τείνει να είναι αναξιόπιστη.
- Οι διαδικασίες ελέγχου και δημιουργίας αναφορών που σχετίζονται με τη προνομιακή πρόσβαση είναι περίπλοκες και χρονοβόρες, καθώς είναι δύσκολο ή αδύνατο να αποδοθούν οποιεσδήποτε από τις δραστηριότητες συνεδρίας ενός κοινόχρηστου λογαριασμού σε μία μοναδική ταυτότητα.
5 βέλτιστες πρακτικές: Επίτευξη λογοδοσίας μέσω κοινόχρηστων λογαριασμών
Πρόσφατες παραβιάσεις, οι οποίες σχετίζονται με την εκμετάλλευση προνομιακών διαπιστευτηρίων υπογράμμισαν την επιτακτική ανάγκη να βελτιωθεί τόσο ο έλεγχος όσο και η λογοδοσία που αφορά την πρόσβαση σε κοινόχρηστους λογαριασμούς. Οπότε, πως μπορούν οι οργανισμοί να διασφαλίσουν τη λογοδοσία των κοινόχρηστων προνομιακών λογαριασμών ώστε να πληρούν τις απαιτήσεις συμμόρφωσης και ασφάλειας χωρίς να επηρεάζεται η παραγωγικότητα του διαχειριστή; Λάβετε υπόψη σας τις παρακάτω πέντε βέλτιστες πρακτικές:
1.Αναπτύξτε μία μοναδική, hardened, επιχειρησιακής κλάσης λύση διαχείρισης κωδικών πρόσβασης με ευρεία υποστήριξη πλατφορμών και λειτουργικότητα
Βεβαιωθείτε ότι ο πάροχος λύσεων σας θα αναπτύξει τη λύση διαχείρισης προνομιακών κωδικών πρόσβασης και συνεδριών σε μία μοναδική hardened ή εικονική συσκευή που διαθέτει ευρεία υποστήριξη λειτουργικών συστημάτων, βάσεων δεδομένων, εφαρμογών, συσκευών και καταλόγων. Θυμηθείτε, δεν είναι μόνο οι κωδικοί πρόσβασης. Λάβετε υπόψη σας την περιπλοκότητα και τους κινδύνους στη διαχείριση προνομιακών κωδικών πρόσβασης για λογαριασμούς υπηρεσιών, μεταξύ εφαρμογών (A2A) και βάσεων δεδομένων (A2DB). Όλα όσα κάνει ο πάροχος λύσεων σας, θα πρέπει να αφορούν στη μείωση των διεπαφών και στη διαχείριση που απαιτείται.
2.Ανακάλυψη και δημιουργία προφίλ για μεγαλύτερο έλεγχο
Αξιοποιήστε τη μηχανή εξεύρεσης κατανεμημένου δικτύου για να σαρώσετε, να εντοπίσετε και να δημιουργήσετε προφίλ όλων των χρηστών και υπηρεσιών -και στη συνέχεια να θέσετε αυτόματα τα συστήματα και τους λογαριασμούς υπό καθεστώς διαχείρισης. Η εξεύρεση και η δημιουργία προφίλ όλων των γνωστών και άγνωστων περιουσιακών στοιχείων, κοινόχρηστων λογαριασμών, λογαριασμών χρηστών και λογαριασμών υπηρεσιών και στη συνέχεια η υπαγωγή τους σε έξυπνους κανόνες παρέχει μεγαλύτερο έλεγχο και σημαντικά βελτιωμένη συνέπεια στην επιβολή πολιτικών.
3.Παρακολούθηση και διαχείριση συνεδριών, με πλήρη αναπαραγωγή
Η λύση σας θα πρέπει να καταγράφει προνομιακές συνεδρίες σε πραγματικό χρόνο μέσω μίας υπηρεσίας παρακολούθησης συνεδριών proxy για SSH και RDP χωρίς την αποκάλυψη του κωδικού πρόσβασης. Η αναπαραγωγή τύπου DVR παρέχει λεπτομερή έλεγχο της πρόσβασης σε κοινόχρηστους λογαριασμούς, συμβάλλοντας στην τήρηση των κανονισμών ελέγχου και προστασίας με κωδικό πρόσβασης για εντολές συμμόρφωσης που περιλαμβάνονται στα SOX, HIPAA, GLBA, PCI DSS, FDCC, FISMA κ.ά.
Η λύση θα πρέπει επίσης να μπορεί να εντοπίζει ύποπτες συνεδρίες (περιόδους σύνδεσης) σε πραγματικό χρόνο και να εκκινεί μια ροή εργασιών για την παύση ή τον τερματισμό τους.
4.Διευκόλυνση με τη χρήση τυπικών εργαλείων desktop
Η επίτευξη μίας ισχυρής, συνεπούς στάσης ασφάλειας αποτελεί μία προσπάθεια που έχει πολλές προκλήσεις. Επιπλέον, η εισαγωγή νέων ροών εργασίας κάνει τη συγκεκριμένη προσπάθεια ακόμη δυσκολότερη. Η απαίτηση για log-in σε μία λύση, κάθε φορά που είναι απαραίτητο ένας χρήστης να αποκτήσει πρόσβαση σε ένα σύστημα, δημιουργεί προκλήσεις που σχετίζονται με την υιοθέτηση και την εκπαίδευση.
Οι λύσεις πρέπει να υποστηρίζουν τυπικά εργαλεία desktop, όπως PuTTY, RDP, SSH και τον Microsoft Terminal Services Client. Αυτό σημαίνει ότι μπορείτε να αξιοποιήσετε ευρέως χρησιμοποιούμενα εργαλεία διαχείρισης, ώστε ο χρήστης σας να μπορεί να εργάζεται ομαλά εντός των καθιερωμένων ροών εργασίας του.
5.Απόκτηση μεγαλύτερης «διορατικότητας» μέσω αναφορών και αναλύσεων
Αναζητήστε μία λύση μονής οθόνης/ κονσόλας διαχείρισης (pane-of-glass) για τη συλλογή, συσχέτιση, αξιολόγηση τάσεων και ανάλυσης βασικών μετρήσεων. Πρέπει να γνωρίζετε βασικές πληροφορίες σχετικά με:
- Προνομιακούς λογαριασμούς
- Ηλικίες κωδικών πρόσβασης
- Κλειδιά SSH
- Λογαριασμούς υπηρεσιών που «τρέχουν» με λογαριασμούς χρήστη
- Λογαριασμούς χρήστη με δικαιώματα διαχειριστή σε Windows/Mac και Unix/Linux
- Εργαλεία απομακρυσμένης πρόσβασης
Αυτές οι πληροφορίες σάς βοηθούν να εντοπίσετε τομείς που απαιτούν δράση προτού μετατραπούν σε ανησυχίες για την ασφάλεια.
Λύσεις για τη διασφάλιση κοινών προνομιακών λογαριασμών
Η λύση BeyondTrust Password Safe αυτοματοποιεί τη διαχείριση κωδικών πρόσβασης και των συνεδριών (περιόδων σύνδεσης), παρέχοντας ασφαλή έλεγχο πρόσβασης, επιθεώρηση, ειδοποίηση και καταγραφή για οποιονδήποτε προνομιακό λογαριασμό – από τοπικό ή κοινόχρηστο διαχειριστή μέχρι λογαριασμούς υπηρεσιών και εφαρμογών.
Οι Ομαδικοί Κωδικοί Πρόσβασης είναι ένα χαρακτηριστικό που έχει σχεδιαστεί για την ασφαλή αποθήκευση διαπιστευτηρίων που ανήκουν σε μικρές ομάδες στο Password Safe και σε ένα πλήρως ελεγχόμενο και επιθεωρούμενο περιβάλλον. Το συγκεκριμένο χαρακτηριστικό παρέχει ασφαλές πρακτικές κωδικών πρόσβασης για ομάδες εντός του οργανισμού αλλά και εκτός των παραδοσιακών ρόλων προνομιούχων χρηστών διαχειριστή.
Βελτιώνοντας τη λογοδοσία και τον έλεγχο της προνομιακής πρόσβασης με το Password Safe, οι οργανισμοί πληροφορικής μπορούν να μειώσουν τους κινδύνους ασφαλείας και να επιτύχουν τους στόχους που έχουν θέσει όσον αφορά την κανονιστική συμμόρφωσης τους.
Πηγή: BeyondTrust