BeyondTrust. 6 ζητήματα με την ασφάλεια ταυτοτήτων που συχνά παραβλέπονται
Στα τυπικά περιβάλλοντα πληροφορικής, μία ταυτότητα αντιπροσωπεύει τη σχέση ενός-προς-έναν μεταξύ μίας οργανικής, με βάση τον άνθρακα, ζωής και της ψηφιακής της παρουσίας. Η ψηφιακή παρουσία ωστόσο ενδέχεται να έχει πολλαπλούς λογαριασμούς, πολλαπλά διαπιστευτήρια και άπειρο αριθμό δικαιωμάτων σε ηλεκτρονική μορφή.
Πάρτε για παράδειγμα τους λογαριασμούς που σχετίζονται με την προσωπική σας ταυτότητα και τους μυριάδες λογαριασμούς που σχετίζονται με την εταιρική σας ταυτότητα. Και αυτά τα ονόματα λογαριασμών, ειδικά αν βασίζονται σε κάποιο απλό πρότυπο που περιλαμβάνει το αρχικό γράμμα του ονόματος σας και το επώνυμο σας, δεν είναι και πολύ δύσκολο να τα προβλέψει ή μαντέψει κάποιος τρίτος. Από την άλλη, θα μπορούσαν να είναι «συσκοτισμένα» (μπερδεμένα) για τους παράγοντες απειλής χρησιμοποιώντας κάποιο μοτίβο που να συνδυάζει γράμματα και αριθμούς.
Η ονομασία ενός λογαριασμού θα μπορούσε επίσης να είναι ένα προκαθορισμένο ψευδώνυμο όπως είναι το «administrator» και να έχει λογική σημασία μάλιστα για έναν πόρο, αλλά όχι και να είναι γνωστό σε άλλους πέρα από εσάς, εκτός κι αν πραγματοποιηθεί έλεγχος ή πιστοποίηση IGA. Βέλτιστη πρακτική διακυβέρνησης ταυτότητας θεωρείται η μόνιμη αντιστοίχιση του συγκεκριμένου αναγνωριστικού με την ταυτότητα σας, συμπεριλαμβάνοντας σας στην ομάδα «administrators» παρά να είστε ο ίδιος ο «administrator».
Τα μεγαλύτερα προβλήματα διαχείρισης ταυτότητας που παραβλέπονται
Τώρα που κάναμε μία μικρή εισαγωγή, ας εξετάσουμε τα 6 μεγαλύτερα προβλήματα που μπορεί να αντιμετωπίσει ένας CISO.
1.Υπάλληλοι με τα ίδια (ή παρόμοια) ονόματα
Αν έχετε κοινότυπο όνομα (ας πούμε Γιώργος Παπαδόπουλος), τότε έχετε συναντήσει αναπόφευκτα κάποιον με το ίδιο όνομα ή τουλάχιστον τα ίδια αρχικά. Οι περισσότερες εταιρικές διευθύνσεις ηλεκτρονικού ταχυδρομείου βασίζονται στο όνομα και το επώνυμο και σε κάποιον συνδυασμό τους.
Καθώς ένας οργανισμός μεγαλώνει, είναι πολύ πιθανό να πέσετε πάνω σε ζητήματα και «συγκρούσεις» με τις ονομασίες λογαριασμών. Αν και οι περισσότερες επιχειρήσεις προσπαθούν να αποφεύγουν τέτοιες «συγκρούσεις» προσθέτοντας το αρχικό γράμμα του μεσαίου ονόματος ή κάποιον αριθμό στο τέλος, οι πολλαπλές καταχωρήσεις στη λίστα διευθύνσεων σας, ενδέχεται να δυσκολέψουν την εύρεση κάποιου. Ο αποστολέας είναι απαραίτητο να ελέγξει τον τίτλο ενός χρήση και την τοποθεσία του για να προσδιορίσει ότι πρόκειται για το σωστό άτομο.
Έτσι, η περικοπή του ονόματος ενός ατόμου για έναν λογαριασμό ή διεύθυνση ηλεκτρονικού ταχυδρομείου ενδέχεται να αποτελέσει πρόβλημα. Και όσο περικόπτετε την αναφορά στην ταυτότητά τους τόσο περισσότερο προβληματική γίνεται.
Επομένως, εξετάστε το ενδεχόμενο να υιοθετήσετε κάποια ονοματολογία για τους λογαριασμούς που να βασίζεται στις πλήρης ονομασίες τους, συμπεριλαμβανομένου και του αρχικού του μεσαίου ονόματος ή που να βασίζεται σε μία «συσκοτισμένη» ονοματολογία ταυτότητας, για να αποφύγετε τέτοια μπερδέματα και «συγκρούσεις». Με αυτόν τον τρόπο θα σταματήσει η κατά λάθος αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου στα λάθος άτομα, κάτι που θα μπορούσε, σε ορισμένες περιπτώσεις, να οδηγήσει στην αποκάλυψη ευαίσθητων εταιρικών πληροφοριών στο λάθος άτομο, ενδεχομένως δημιουργώντας προβλήματα απορρήτου δεδομένων. Αποφεύγοντας τέτοια ζητήματα «σύγκρουσης» (στην ονοματολογία) κατά τον παραπάνω προτεινόμενο τρόπο ενδέχεται επίσης να βοηθήσει και στην εξάλειψη της σύγχυσης κατά την προσπάθεια δημιουργίας μίας αναφοράς βεβαίωσης ή πιστοποιητικού ταυτότητας ανά ταυτότητα.
2.Υπάλληλοι που αλλάζουν τμήματα
Αν ο οργανισμός σας διαθέτει πόρους που «μετακινούνται» συχνά μεταξύ τμημάτων (π.χ. νοσοκόμες ή σύμβουλοι) τότε ενδέχεται να βρεθείτε μπροστά από προβλήματα ταξινόμησης ταυτότητας.
Πως καταχωρείτε αυτές τις ταυτότητες στη λύση διαχείρισης ταυτοτήτων σας και στους καταλόγους (directory stores) σας; Αλλάζετε τα δικαιώματα, τα προνόμια και τον ρόλο κάθε φορά που αλλάζουν τμήμα; Τεχνικά, θα έπρεπε, ωστόσο δεν είναι λίγες οι φορές που οι οργανισμοί χορηγούν δικαιώματα πρόσβασης και στη συνέχεια αποτυγχάνουν να τα ανακαλέσουν όταν αλλάζει ένας ρόλος.
Οι υπάλληλοι που αλλάζουν τμήματα έχουν γενικά μεγαλύτερου εύρους δικαιώματα και επομένως είναι δύσκολο να αναφερθούν ποια θα έπρεπε να είναι τα κατάλληλα δικαιώματα πρόσβασης τους ανά πάσα στιγμή. Πολλές φορές, σε τέτοιες ταυτότητες εκχωρούνται υπερβολικά περισσότερα δικαιώματα για να «καλυφθούν» οι ρόλοι τους και αυτό συμβάλλει στο πρόβλημα που καλύπτεται παρακάτω.
3.Εκχώρηση υπερβολικών δικαιωμάτων
Όπως αναφέραμε παραπάνω, ένας λογαριασμός διαχειριστή δυνητικά αντιπροσωπεύει υπερβολική παροχή δικαιωμάτων και αποτυγχάνει στη συμμόρφωση του με τις βέλτιστες πρακτικές, όπως είναι η αρχή του ελάχιστου προνομίου. Ρεαλιστικά, θα έπρεπε να υπάρχουν λίγοι -αν όχι κανένας- λογαριασμοί διαχειριστή σε μια επιχείρηση. Αυτοί οι τύποι λογαριασμών, δηλαδή οι λογαριασμοί διαχειριστή ή υπερ-χρήστη (π.χ. root, administrator κ.λπ.) παρουσιάζουν απλώς υπερβολικά υψηλούς κινδύνους. Όταν εκχωρείται σε μία ταυτότητα, ο λογαριασμός διαχειριστή μπορεί να έχει τον πλήρη έλεγχο ενός περιβάλλοντος.
Το να πιστοποιηθεί ποιος έχει δικαιώματα διαχείρισης αλλά και το να καθοριστεί η καταλληλότητα αυτής της πρόσβασης αποτελεί πρόκληση για τους περισσότερους οργανισμούς. Αν ένας χρήστης γνωρίζει τα διαπιστευτήρια διαχειριστή, αλλά δεν αποτελεί μέλος κάποιας ομάδας διαχειριστή, τότε σίγουρα έχετε πρόβλημα.
Οι ομάδες πρέπει να εξετάσουν σχολαστικά τον τρόπο με τον οποίο παρέχουν πρόσβαση στους διαχειριστές. Τα διαπιστευτήρια του λογαριασμού διαχειριστή (ή root) δεν πρέπει ποτέ να κοινοποιούνται. Ο σωστός admin user θα πρέπει να είναι μέλος ομάδων διαχειριστών προκειμένου να αναφέρεται σωστά και κατάλληλα ποιος έχει πιθανή πρόσβαση. Στη συνέχεια, η ίδια η πρόσβαση μπορεί να περιοριστεί με τη χρήση μιας λύσης διαχείρισης της προνομιακής πρόσβασης (PAM) ή ακόμη και να περιοριστεί με τη χρήση μίας προσέγγισης διαχείρισης πρόσβασης just-in-time.
Οι υπερβολικές παροχές (δικαιωμάτων) προνομιακής πρόσβασης αποτελεί κοινό πρόβλημα. Συχνά, το over-provisioning όπως το λέμε λαμβάνει χώρα επειδή μοιραζόμαστε λογαριασμούς χωρίς να συσχετίζουμε αυτούς τους λογαριασμούς με τις κατάλληλες ταυτότητες. Σε τελική ανάλυση, είναι πολύ πιο εύκολο να παρέχετε υψηλού επιπέδου προνόμια και άρα πρόσβαση σε υψηλού επιπέδου πόρους στους χρήστες σας ούτως ώστε τα πάντα «να λειτουργούν εύκολα και απλά» από το να εφαρμόσετε ένα κλειστό μοντέλο ασφάλειας που βασίζεται στην αρχή του ελάχιστου προνομίου. Σε αυτή τη περίπτωση, δυστυχώς, έχουμε να κάνουμε με μία επικίνδυνη πρακτική που ενδέχεται να επιτρέψει σε έναν παράγοντα απειλής να κινηθεί πλευρικά επεκτείνοντας γρήγορα την πρόσβαση του στο εταιρικό περιβάλλον.
4.Συγχωνεύσεις και εξαγορές
Οι συγχωνεύσεις και οι εξαγορές μπορούν να αγχώσουν ακόμη και τους πιο έμπειρους επαγγελματίες.
Όταν ξεκινά η εφαρμογή σχεδίων για την ενοποίηση τεχνολογίας όπως σε domains, ταυτότητες, εφαρμογές και πολιτικές, ενδέχεται να «παρακαμφθούν» οι βέλτιστες πρακτικές για την επίτευξη των επιθυμητών επιχειρηματικών στόχων. Και αυτό μπορεί να οδηγήσει σε προβλήματα ταυτότητας που κυμαίνονται από το over-provisioning μέχρι την ύπαρξη πολλαπλών λογαριασμών και ονομασιών domain που δεν ακολουθούν ένα καθιερωμένο πρότυπο. Και αυτό με τη σειρά του μπορεί να οδηγήσει σε μια σειρά πρόσθετων προβλημάτων που σχετίζονται με τις ταυτότητες, συμπεριλαμβανομένων εφαρμογών που λειτουργούν μόνο σε ορισμένα domain και ασυνεπών υλοποιήσεων για υπάρχουσες ή και νέες υλοποιήσεις. Στην τελική, αν οι επιχειρήσεις δεν συγχωνεύσουν τις στάνταρντ διαδικασίες λειτουργίας και δεν καθορίσουν πρώτα τις βασικές γραμμές για το τεχνολογικό τους υπόβαθρο, οι ενδεχόμενες μεταγενέστερες πρωτοβουλίες διαχείρισης της ταυτότητας και έργων θα υποφέρουν.
Για τους παραπάνω λόγους, είναι απαραίτητο να θεσπιστούν πολιτικές ασφάλειας, ταυτότητας και οι βασικές γραμμές για το provisioning κατά την έναρξη οποιασδήποτε συγχώνευσης και εξαγοράς. Έτσι, οποιεσδήποτε εργασίες πρέπει να γίνουν στη συνέχεια θα ακολουθούν ένα προκαθορισμένο πρότυπο ή οδηγό.
5.Μη ανθρώπινες ταυτότητες
Ιστορικά, οι ταυτότητες στην πληροφορική έχουν συνδεθεί κατά πρώτο λόγο με ανθρώπινους χρήστες. Τα σύγχρονα υπολογιστικά περιβάλλοντα ωστόσο περιλαμβάνουν και πολλούς τύπους μη ανθρώπινων ταυτοτήτων (ονομάζονται επίσης ταυτότητες μηχανής). Η Forrester Research έχει δηλώσει ότι, «οι πελάτες μας λένε ότι οι ταυτότητες μηχανών αυξάνονται κατά διπλάσιο ρυθμό από τις ανθρώπινες ταυτότητες». Επομένως, η διαχείριση μη ανθρώπινων ταυτοτήτων έχει γίνει πλέον ένα περίπλοκο θέμα.
Οι υπηρεσιακοί λογαριασμοί, τα σύνολα εφαρμογών και όσοι λογαριασμοί χρησιμοποιούνται σε πρωτοβουλίες CI/CD δεν αποτελούν ταυτότητες. Μην κάνετε λάθος, αποτελούν λογαριασμούς που σχετίζονται με τους κατόχους τους, αλλά όχι με ταυτότητες. Τέτοιοι λογαριασμοί χρησιμοποιούνται μόνο για την ταυτοποίηση μίας εφαρμογής ή συναλλαγής. Μία μη ανθρώπινη ταυτότητα αλληλεπιδρά και με τον φυσικό κόσμο. Ακριβώς για αυτό το λόγο είναι κάτι ιδιαίτερο. Επομένως πρέπει να αντιμετωπίζονται για τις λειτουργίες που επιτελούν και τον τρόπο που αλληλεπιδρούν με τους ανθρώπους.
Οι οργανισμοί και οι επιχειρήσεις συνήθως αποτυγχάνουν να ταξινομήσουν κατάλληλα τις ταυτότητες για τη ρομποτική, τον αυτοματισμό, τα βιομηχανικά συστήματα ελέγχου με αποτέλεσμα όλοι αυτοί οι τύποι ταυτοτήτων μηχανών να «πέφτουν θύματα εκμετάλλευσης» από παράγοντες απειλής.
Επιπλέον, οι ταυτότητες μηχανών συχνά έχουν ασυνεπείς αναφορές βεβαίωσης, επειδή τα δικαιώματα ιδιοκτησίας και πρόσβασης δεν τεκμηριώνονται σωστά. Για την επίλυση αυτού του προβλήματος, όλες οι βασισμένες σε μηχανές ταυτότητες θα πρέπει να έχουν εκχωρημένη ιδιοκτησία, όπως με τις σχέσεις λογαριασμών ταυτότητας.
6.Ταυτότητες προμηθευτών/ τρίτων
Σπάνια, αν όχι ποτέ, μια επιχείρηση διαθέτει όλους τους υπαλλήλους που είναι απαραίτητοι για την εκτέλεση όλων των καθηκόντων. Σχεδόν κάθε οργανισμός, αν και σε διαφορετικό βαθμό, βασίζεται σε προμηθευτές, ελεγκτές, εργολάβους και σε προσωρινούς υπαλλήλους που αναλαμβάνουν διάφορες εργασίες ή λειτουργίες.
Όταν το προσωπικό κάποιας τρίτης οντότητας (π.χ. ενός προμηθευτή) απαιτεί πρόσβαση στο περιβάλλον μίας επιχείρησης, πρέπει να υπάρχουν ειδικοί ελεγκτικοί μηχανισμοί που να διαχειρίζονται/ ελέγχουν τις ταυτότητες των προμηθευτών και να επικυρώνουν ότι οποιαδήποτε δραστηριότητά τους είναι η απολύτως κατάλληλη. Αν οι εργαζόμενοι αλλάζουν συχνά, τότε η επιβάρυνση της διαχείρισης των ταυτοτήτων τους μπορεί να επιβαρύνει σημαντικά τον οργανισμό.
Για περιπτώσεις χρήσης διαχείρισης ταυτότητας προμηθευτών/ τρίτων, οι οργανισμοί θα πρέπει να εξετάσουν το ενδεχόμενο δημιουργίας μηχανισμών ελέγχου για τη διαχείριση αυτών των ταυτοτήτων εκτός των τυπικών υπηρεσιών καταλόγου και να αποφύγουν την εκχώρηση κοινότυπων λογαριασμών όπως “Contractor1” ή “Vendor_XYZ”. Οι χρήστες θα πρέπει να έχουν πραγματικά ονόματα λογαριασμών κατά τη διάρκεια των υπηρεσιών τους, επιτρέποντας παράλληλα ένα παράδειγμα διαχείρισης που αντικατοπτρίζει την απλότητα και συχνά την παροδική φύση της πρόσβασης τους.
Με άλλα λόγια, το αν θα τοποθετήσετε τις ταυτότητες για τους τρίτους χρήστες σε μία υπηρεσία καταλόγου είτε σε ομάδα σε μία ειδική για τον προμηθευτή λύση απομακρυσμένης πρόσβασης εξαρτάται από τα δικαιώματα που απαιτούνται για την ολοκλήρωση της αποστολής τους. Σε κάθε περίπτωση ωστόσο, τόσο η ομάδα όσο και η λύση απομακρυσμένης πρόσβασης θα πρέπει να ακολουθεί την αρχή του ελάχιστου προνομίου, να έχει ισχυρές δυνατότητες παρακολούθησης, να είναι αρκετά απλή στη διαχείριση και σε καμία περίπτωση τόσο περίπλοκη ή απαιτητική όσο η διαχείριση των εργαζομένων. Και αυτό περιλαμβάνει τόσο τη διαχείριση ολόκληρου του κύκλου ζωής, από τον χρήστη που έρχεται και μετακινείται μέχρι που απομακρύνεται, όσο και τη διασφάλιση ότι δεν υπάρχουν ορφανοί λογαριασμοί μετά τη λήξη μίας ταυτότητας.
Κοιτάζοντας τις προκλήσεις ταυτότητας κατάματα
Ορισμένα προβλήματα ασφάλειας ταυτότητας ενδέχεται να μην επιδιορθώνονται εύκολα, πράγμα που σημαίνει ότι ένας οργανισμός ενδέχεται να συνεχίσει να υπάρχει με εξαιρέσεις και ασυνέπειες προκειμένου να μην διακοπεί η λειτουργία της επιχείρησης του. Παρόλα αυτά, όσες περισσότερες από τις παραπάνω προκλήσεις αντιμετωπίσετε τόσο καλύτερη θα είναι η στάση ασφάλειας της ταυτότητας του οργανισμού σας όπως και η άμυνα σας απέναντι στις κυβερνοαπειλές. Ένα πράγμα είναι βέβαιο, αν ξεκινήσετε τη δημιουργία ενός περιβάλλοντος από την αρχή θα πρέπει να λάβετε οπωσδήποτε υπόψη αυτά τα προβλήματα, ώστε να μην επεκταθούν όσο αναπτύσσεται ο οργανισμός σας.
Πηγή: BeyondTrust