CyberArk. Οι 7 τύποι προνομιακών λογαριασμών που πρέπει να γνωρίζετε
Οι προνομιακοί λογαριασμοί υπάρχουν σε πολλές μορφές σε ένα επιχειρηματικό περιβάλλον και αποτελούν σημαντικό κίνδυνο για την ασφάλεια ενός οργανισμού αν δεν προστατεύονται, δεν παρακολουθούνται και δεν είναι διαχειριζόμενοι. Οι τύποι προνομιακών λογαριασμών που συνήθως υπάρχουν σε ένα επιχειρηματικό περιβάλλον είναι:
Οι Λογαριασμοί Διαχείρισης σε Τοπικό επίπεδο είναι μη προσωπικοί λογαριασμοί που παρέχουν πρόσβαση διαχειριστή μόνο στον τοπικό κεντρικό υπολογιστή ή σε ένα instance. Οι τοπικοί λογαριασμοί διαχείρισης χρησιμοποιούνται συνήθως από το προσωπικό πληροφορικής για τη συντήρηση των σταθμών εργασίας, των διακομιστών, των συσκευών δικτύου, των βάσεων δεδομένων, των κεντρικών υπολογιστών κ.λπ.
Συχνά έχουν τον ίδιο κωδικό πρόσβασης σε ολόκληρη την πλατφόρμα ή στον οργανισμό για ευκολία χρήσης. Αυτός ο κοινόχρηστος κωδικός πρόσβασης σε δεκάδες, εκατοντάδες ή και χιλιάδες υπολογιστές αποτελεί εύκολο στόχο και οι προηγμένες απειλές έχουν δημιουργηθεί για να εκμεταλλεύονται συστηματικά.
Οι Προνομιακοί Λογαριασμοί Χρηστών είναι ονομαστικά διαπιστευτήρια στα οποία έχουν χορηγηθεί δικαιώματα διαχειριστή σε ένα ή περισσότερα συστήματα.
Αυτή είναι συνήθως μια από τις πιο κοινές μορφές λογαριασμού προνομιακής πρόσβασης που παρέχεται σε ένα επιχειρηματικό δίκτυο, επιτρέποντας σε χρήστες να έχουν δικαιώματα διαχείρισης, όπως για παράδειγμα, σε τοπικούς επιτραπέζιους υπολογιστές ή σε συστήματα που διαχειρίζονται.
Συχνά αυτοί οι λογαριασμοί έχουν μοναδικούς και σύνθετους κωδικούς πρόσβασης και η δύναμη που έχουν πάνω στα συστήματα που διαχειρίζονται είναι τέτοια που καθιστά απαραίτητη τη συνεχή παρακολούθηση της χρήσης τους.
Οι Λογαριασμοί Διαχείρισης Τομέα (Domain) έχουν προνομιακή διοικητική πρόσβαση σε όλους τους σταθμούς εργασίας και διακομιστές εντός domain.
Ενώ αυτοί οι λογαριασμοί είναι λίγοι σε αριθμό, παρέχουν την πιο εκτεταμένη και ισχυρή πρόσβαση σε όλο το δίκτυο.
Με πλήρη έλεγχο σε όλους τους domain controllers και με δυνατότητα ακόμα και τροποποίησης της ιδιότητας μέλους κάθε διαχειριστικού λογαριασμού εντός του τομέα, η κλοπή αυτών των διαπιστευτηρίων αποτελεί συχνά το χειρότερο σενάριο για κάθε οργανισμό.
Οι Λογαριασμοί Έκτακτης Ανάγκης παρέχουν σε μη προνομιούχους λογαριασμούς χρηστών δυνατότητα πρόσβασης διαχειριστή σε περιπτώσεις έκτακτης ανάγκης και για αυτό μερικές φορές αναφέρονται ως λογαριασμοί “firecall” ή “breakglass”.
Και ενώ η πρόσβαση σε αυτούς τους λογαριασμούς συνήθως απαιτεί έγκριση από τη διαχείριση για λόγους ασφαλείας, πρόκειται συνήθως για μία χειροκίνητη διαδικασία που είναι αναποτελεσματική και στερείται οποιουδήποτε ελέγχου.
Οι Υπηρεσιακοί Λογαριασμοί μπορούν να είναι προνομιούχοι τοπικοί λογαριασμοί ή λογαριασμοί τομέα (domain) που χρησιμοποιούνται από μια εφαρμογή ή μια υπηρεσία για να αλληλοεπιδρούν με το λειτουργικό σύστημα. Σε ορισμένες περιπτώσεις, αυτοί οι λογαριασμοί υπηρεσιών έχουν δικαιώματα διαχείρισης τομέα ανάλογα με τις απαιτήσεις της εφαρμογής για την οποία χρησιμοποιούνται. Οι τοπικοί υπηρεσιακοί λογαριασμοί μπορούν να αλληλοεπιδρούν με διάφορα στοιχεία των Windows, γεγονός που καθιστά δύσκολο τον συντονισμό των αλλαγών σε κωδικούς πρόσβασης.
Οι αλλαγές στον κωδικό πρόσβασης λογαριασμού Active Directory ή domain service μπορεί να είναι ακόμα πιο δύσκολες καθώς απαιτούν το συντονισμό μεταξύ πολλών συστημάτων. Αυτή η πρόκληση συχνά οδηγεί στη κοινή πρακτική της σπάνιας αλλαγής των κωδικών πρόσβασης υπηρεσιακών λογαριασμών κάτι που αντιπροσωπεύει σημαντικό κίνδυνο για μια επιχείρηση.
Οι Λογαριασμοί Εφαρμογών είναι λογαριασμοί που χρησιμοποιούνται από εφαρμογές για πρόσβαση σε βάσεις δεδομένων, για εκτέλεση εργασιών ή ενεργειών μαζικά ή για να παρέχουν πρόσβαση σε άλλες εφαρμογές. Αυτοί οι προνομιακοί λογαριασμοί έχουν συνήθως ευρεία πρόσβαση σε βασικές πληροφορίες της επιχείρησης και σε εταιρικά δεδομένα που βρίσκονται σε εφαρμογές και βάσεις δεδομένων. Οι κωδικοί πρόσβασης για αυτούς τους λογαριασμούς ενσωματώνονται συχνά και αποθηκεύονται σε μη κρυπτογραφημένα αρχεία κειμένου, ένα θέμα ευπάθειας που αναπαράγεται σε πολλούς διακομιστές και αντιπροσωπεύει σημαντικό κίνδυνο για έναν οργανισμό, επειδή οι εφαρμογές συχνά φιλοξενούν τα συγκεκριμένα δεδομένα που αποτελούν και στόχο των προηγμένων επίμονων απειλών (APTs).
Για πληροφορίες σχετικά με τον τρόπο προστασίας των προνομιούχων λογαριασμών, διαβάστε το υπόλοιπο του σύντομου οδηγού της CyberArk, που επιπλέον επισημαίνει και τις βέλτιστες πρακτικές. Ο οδηγός έχει την ονομασία “Οι τρεις φάσεις της ασφάλισης προνομιακών λογαριασμών” (The Three Phases of Securing Privileged Accounts).
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.