BeyondTrust. Εφαρμογή αρχών μηδενικής εμπιστοσύνης στη διαχείριση προνομίων για Windows και macOS
Τα τελευταία δύο χρόνια, οργανισμοί σε όλο τον κόσμο αύξησαν την ταχύτητα με την οποία μετατοπίζουν τις επιχειρήσεις τους στο cloud υϊοθετώντας παράλληλα και καλλιεργώντας τα DevOps, την ακροδικτυακή (ή αποκεντρωμένη) υπολογιστική (edge computing), την ακροδικτυακή ασφάλεια (edge security), τις τεχνολογίες IoT και πολλές άλλες πρωτοβουλίες ψηφιακού μετασχηματισμού. Η νοοτροπία της περιμετροκεντρικής ασφάλειας σαφώς και δεν μπορεί να εφαρμοστεί σε αυτό το -νέο- περιβάλλον που έχει δημιουργηθεί. Ευτυχώς, η κατανόηση ότι τα περιβάλλοντα πληροφορικής πρέπει να εξελιχθούν για να ενστερνίζονται και να ενσωματώνουν αρχές μηδενικής εμπιστοσύνης είναι σχεδόν καθολική πλέον. Λαμβάνοντας υπόψη το παραπάνω ωστόσο, η εφαρμογή της αρχής της μηδενικής εμπιστοσύνης δεν αποτελεί μία αποτελεσματική στρατηγική για κάθε περίπτωση χρήσης και δεν «ταιριάζει» σε κάθε εταιρεία.
Μηδενική εμπιστοσύνη και προνόμια τερματικών συσκευών
Όλο και περισσότεροι πόροι και εργασίες που απαιτούν προβιβασμό δικαιωμάτων (προνομίων) και ταυτοποίηση προσπελάσονται μέσω τεχνολογίας που δεν προστατεύεται από τα εταιρικά μέτρα ασφαλείας. Και με την εκρηκτική υϊοθέτηση της απομακρυσμένης εργασίας, η βέλτιστη πρακτική της κατάργησης των τοπικών δικαιωμάτων διαχειριστή από τις εταιρικές τερματικές συσκευές συχνά παραμελείται υπέρ του ευρύτερου provisioning.
Αν και η παροχή προνομίων διαχειριστή στους τελικούς χρήστες ισοδυναμεί με αυξημένη αποδοτικότητα βραχυπρόθεσμα παράλληλα αυξάνει δραστικά την έκθεση των οργανισμών σε διαδικτυακές απειλές.
Δεδομένου ότι το ελάχιστο προνόμιο αποτελεί τον πυρήνα της μηδενικής εμπιστοσύνης, αυτή η τάση χαλάρωσης στον έλεγχο των προνομίων έρχεται σε αντίθεση με τις αρχές της μηδενικής εμπιστοσύνης – ακόμα και όταν οι οργανισμοί έχουν αρχίσει να ασπάζονται όλο και περισσότερο τη νοοτροπία μηδενικής εμπιστοσύνης.
Στην έρευνα Microsoft Vulnerabilities 2021 της BeyondTrust διαπιστώθηκε ότι το 56% των ευπαθειών της Microsoft θα μπορούσε να έχει αντιμετωπιστεί ή μετριαστεί με την απλή κατάργηση των δικαιωμάτων διαχειριστή. Πως μπορούν λοιπόν οι οργανισμοί να διασφαλίσουν τα προνομιακά περιουσιακά στοιχεία τους χωρίς τον αρνητικό αντίκτυπο στην αποδοτικότητα του τελικού χρήστη; Επίσης πως είναι δυνατόν να βελτιώσουν τη στάση μηδενικής εμπιστοσύνης τους μέσω της διαχείρισης της προνομιακής πρόσβασης;
Στην εργασία της BeyondTrust με τίτλο A Zero Trust Approach to Windows & Mac Endpoint Security διερευνάται τι σημαίνει μηδενική εμπιστοσύνη για τα περιβάλλοντα Windows και Mac, πως μπορεί να επιτευχθεί ενώ διερευνώνται και τα εμπόδια που είναι σημαντικό να κατανοηθούν. Η εργασία αντιστοιχίζει επίσης το προϊόν Privilege Management της BeyondTrust για Windows και Mac με τις αρχές μηδενικής εμπιστοσύνης του μοντέλου NIST.
Το προϊόν της BeyondTrust «αντιστοιχεί» τελικούς χρήστες και προνομιακά περιουσιακά στοιχεία με βάση τον ρόλο κάθε χρήστη και τις πολιτικές πρόσβασης που ορίζονται από τους διαχειριστές του συστήματος. Μόλις γίνει η «αντιστοίχιση», όλες οι συνδέσεις παρακολουθούνται και ελέγχονται ενώ παράλληλα εφαρμόζεται έλεγχος εφαρμογών. Και όλα τα παραπάνω, χωρίς να γίνεται κοινή χρήση προνομιακών κωδικών πρόσβασης ή να εκχωρούνται δικαιώματα διαχειριστή στον τελικό χρήστη. Με αυτό τον τρόπο και σύμφωνα με αυστηρές παραμέτρους εκτελούνται μόνο οι εγκεκριμένες εργασίες και οι εργαζόμενοι μπορούν να κάνουν τη δουλειά τους ανεμπόδιστα και απροβλημάτιστα.
Ένα επιπλέον πλεονέκτημα της λύσης BeyondTrust Endpoint Privilege Management (που αποτελείται από τα Privilege Management για Windows & Mac και Privilege Management για Unix & Linux) είναι ότι οι εσωτερικές, παλαιού τύπου ή peer-to-peer τεχνολογίες μπορούν να «τυλιχτούν» σε ένα προστατευτικό στρώμα, αποτρέποντας την πλευρική κίνηση του κακόβουλου λογισμικού εντός του οργανισμού εξαιτίας λογισμικού που είναι είτε ξεπερασμένο, είτε μη ενημερωμένο ή λιγότερο ασφαλές.
Επιπλέον, οι άλλες λύσεις της BeyondTrust, Privileged Password Management και Secure Remote Access, μπορούν να εφαρμοστούν σε επίπεδα με «ολοκληρωμένο τρόπο» για να επεκτείνουν περαιτέρω τον έλεγχο μηδενικής εμπιστοσύνης σε όλο το περιβάλλον σας, ενώ δημιουργούν ισχυρές συνέργειες κυβερνοάμυνας με το Endpoint Privilege Management.
Πηγή: BeyondTrust