CyberArk. Πως να ιεραρχήσετε τους κινδύνους για τη Διαχείριση Προνομιακής Πρόσβασης;
Για πολλούς οργανισμούς που εφαρμόζουν διαχείριση προνομιακής πρόσβασης (PAM) βρίσκεται ψηλά στην λίστα των προτεραιοτήτων τους – και για καλό λόγο. Η προνομιακή πρόσβαση αποτελεί την οδό προς τις πολυτιμότερες πληροφορίες και τα περιουσιακά στοιχεία ενός οργανισμού και η προστασία τους αποτελεί υπόθεση πρωταρχικής σημασίας.
Πολλοί οργανισμοί και εταιρείες ωστόσο δεν έχουν ορατότητα στο που βρίσκονται προνομιακοί λογαριασμοί, διαπιστευτήρια και εμπορικά μυστικά, και αυτό σημαίνει ότι η επιφάνεια επίθεσης που σχετίζεται με τα προνόμια είναι συχνά πολύ μεγαλύτερη από την αναμενόμενη. Έτσι πριν ξεκινήσετε με οποιαδήποτε ανάπτυξη PAM (Privileged Access Management) θα πρέπει να βρείτε την απάντηση σε μία σημαντική ερώτηση: Πως ιεραρχείτε τον κίνδυνο;
Παρακάτω ακολουθούν ορισμένα βήματα που μπορούν να σας βοηθήσουν:
1. Προσδιορίστε όλους τους προνομιακούς λογαριασμούς και τα διαπιστευτήρια. Ανάλογα με το πόσα περιουσιακά στοιχεία (συστήματα, βάσεις δεδομένων, εφαρμογές, SaaS, παρόχους cloud και εργαλεία DevOps) έχετε, μπορεί να υπάρχουν δεκάδες, εκατοντάδες, χιλιάδες ή και εκατοντάδες χιλιάδες προνομιακά διαπιστευτήρια και μυστικά σε ολόκληρο το περιβάλλον σας. Πώς μπορείτε να προστατεύσετε λοιπόν κάτι όταν δεν γνωρίζετε καν την ύπαρξη του;
Το πρώτο βήμα για την ιεράρχηση των κινδύνων είναι η σάρωση και ο εντοπισμός όλων των προνομιακών λογαριασμών και διαπιστευτηρίων (κωδικοί πρόσβασης, κλειδιά SSH, hashes κωδικών πρόσβασης, κλειδιά πρόσβασης AWS και άλλα) στο περιβάλλον σας (στις εγκαταστάσεις σας), στο σύννεφο, στις τερματικές συσκευές και κατά μήκος των διεργασιών DevOps – για να κατανοήσετε το εύρος της πιθανής έκθεσης.
2. Ταξινόμηση κατηγοριών προνομιακής πρόσβασης με βάση την επικινδυνότητα. Κατά τη διάρκεια ή μετά τη διαδικασία απογραφής, θα πρέπει να καθορίσετε μια μέθοδο για την αξιολόγηση της επικινδυνότητας. Δεδομένου ότι δεν μπορείτε να διορθώσετε τα πάντα ταυτόχρονα, είναι καλύτερο να ακολουθήσετε μια προσέγγιση με βάση το μέγεθος του κινδύνου, να αντιμετωπίζετε πρώτα τις πιο επικίνδυνες περιοχές και στη συνέχεια να επεκταθείτε σε καινούργιους τομείς με την πάροδο του χρόνου. Ορισμένα παραδείγματα προτεραιοτήτων βάσει επικινδυνότητας μπορεί να περιλαμβάνουν τον προσδιορισμό:
- Των πλέον κρίσιμης σημασίας συστημάτων του οργανισμού σας (χρησιμοποιώντας σύστημα ταξινόμησης επικινδυνότητας ή μηχανισμούς αξιολόγησης κινδύνου)
- Των συστημάτων που περιέχουν δεδομένα που πρέπει να προστατευθούν λόγω κανονιστικών απαιτήσεων
- Των συστημάτων με πνευματική ιδιοκτησία ή δεδομένα πελατών
- Των γνωστών ευάλωτων συστημάτων (εφόσον έχουν διαπιστωθεί στο παρελθόν ζητήματα από ελέγχους, δοκιμές διείσδυσης ή ασκήσεις Red Team)
Οι περισσότεροι οργανισμοί ξεκινούν με τον εντοπισμό ενός μικρού συνόλου λογαριασμών που είναι σχετικά εύκολο να εντοπιστούν και παρουσιάζουν υψηλή επικινδυνότητα και στη συνέχεια να διεξάγουν ένα «Sprint» για να εφαρμόσουν κρίσιμους προνομιακούς ελέγχους πρόσβασης σε σύντομο χρονικό διάστημα (δηλαδή 30 ημέρες). Στη συνέχεια, με την πάροδο του χρόνου, ο οργανισμός επεκτείνει την κάλυψη σε νέες φάσεις, προσθέτοντας ελέγχους σε περισσότερους λογαριασμούς.
3. Προστατεύστε πρώτα τους λογαριασμούς που αποτελούν τον μεγαλύτερο κίνδυνο για να αποφύγετε τις επιθέσεις που έχουν στόχο να καταλάβουν το δίκτυο σας. Στις περισσότερες περιπτώσεις, οι εταιρείες και οργανισμοί επικεντρώνουν τις αρχικές προσπάθειες τους στην διασφάλιση κρίσιμης σημασίας στοιχεία tier0 και tier1, όπως είναι οι λογαριασμοί διαχειριστή τομέα και οι λογαριασμοί διαχειριστών με πρόσβαση σε μεγάλο αριθμό υπολογιστών, και κυρίως διακομιστών, καθώς και λογαριασμούς εφαρμογών που χρησιμοποιούν προνόμια διαχειριστή τομέα.
Επειδή οι κυβερνοεπιθέσεις που φτάνουν στο επίπεδο του ελεγκτή τομέα μπορούν να οδηγήσουν σε εχθρική κατάληψη του δικτύου και των περιουσιακών στοιχείων, οι εισβολείς ξεκινούν να εφαρμόζουν αυτή την προσέγγιση ακολούθως σε νέα περιβάλλοντα, στοχεύοντας σε κονσόλες cloud και εργαλεία «ενορχήστρωσης». Οι επιτιθέμενοι που αποκτούν τέτοιο επίπεδο προνομιακής πρόσβασης μπορούν στη συνέχεια να ελέγξουν οποιοδήποτε διακομιστή, ελεγκτή, τερματική συσκευή ή κομμάτι δεδομένων, οπουδήποτε σε ένα δίκτυο.
Ανεξάρτητα από το περιβάλλον, όλοι οι λογαριασμοί προνομιακής πρόσβασης σε περιουσιακά στοιχεία tier0 και tier1 θα πρέπει να απομονώνονται, και όλα τα διαπιστευτήρια διαχειριστή θα πρέπει να τοποθετούνται και να «αλλάζουν» (rotated) σε ψηφιακό vault προστατευμένο με έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) ενώ η πρόσβαση θα πρέπει να παρακολουθείται συνεχώς. Πρέπει επίσης να βεβαιωθείτε ότι δεν υπάρχουν εκ σχεδιασμού υπολείμματα κατακερματισμού (hash) και ότι είστε σε θέση να ανιχνεύσετε και να αποκλείσετε επιθέσεις που βρίσκονται σε εξέλιξη σε ελεγκτές τομέα.
4. Ελέγξτε και ασφαλίστε τους λογαριασμούς υποδομής σας. Ακολούθως, πολλές οργανώσεις στρέφουν την προσοχή τους στη διασφάλιση και τη διαχείριση των ισχυρών προεπιλεγμένων λογαριασμών υποδομής που υπάρχουν επί τόπου στις εγκαταστάσεις (on-premise) καθώς και σε περιβάλλοντα cloud και DevOps. Μόλις οι επιτιθέμενοι πάρουν στα χέρια τους αυτούς τους λογαριασμούς, μπορούν να αποκτήσουν την κυριότητα ολόκληρης της τεχνολογικής στοίβας, χρησιμοποιώντας έναν μη προστατευμένο λογαριασμό υποδομής που συνεχίζει να έχει τον προεπιλεγμένο και μη αλλαγμένο κωδικό πρόσβασης. Τα ίδια διαπιστευτήρια μπορούν να χρησιμοποιηθούν και να αποκτήσουν –οι επιτιθέμενοι- πρόσβαση και σε άλλα παρόμοια περιουσιακά στοιχεία.
Εργαστείτε για τη διαχείριση του εκατό τοις εκατό αυτών των λογαριασμών χρησιμοποιώντας ασφαλείς διαδικασίες και μια λύση PAM που θα επιφορτιστεί με το έργο της διαχείρισης αυτών των λογαριασμών με συνέπεια και ασφάλεια. Όλοι οι γνωστοί λογαριασμοί υποδομής θα πρέπει να φυλάσσονται σε vault και οι προνομιακές συνεδρίες θα πρέπει να απομονώνονται και να καταγράφονται ώστε να ελαχιστοποιούνται οι κίνδυνοι.
5. Περιορίστε το «lateral movement» προστατεύοντας τα προνόμια σε επίπεδο τερματικής συσκευής. Κάθε σταθμός εργασίας σε έναν οργανισμό περιέχει προνόμια από προεπιλογή. Οι ενσωματωμένοι λογαριασμοί διαχειριστή επιτρέπουν στην ομάδα διαχείρισης της ασφάλειας να διορθώνει θέματα τοπικά, αλλά δημιουργεί ένα τεράστιο κενό ασφαλείας που στοχεύουν και εκμεταλλεύονται οι επιτιθέμενοι. Οι τελευταίοι μπορούν να εκμεταλλευτούν αυτά τα επικίνδυνα συστήματα καθώς εισέρχονται και στη συνέχεια μετακινούνται από σταθμό εργασίας σε σταθμό εργασίας μέχρι να φτάσουν σε αυτό που ψάχνουν.
Είναι σημαντικό να εφαρμοστεί η τακτική των λιγότερων προνομίων και «just-in-time elevation και access» και επίσης να καταργηθούν τα τοπικά δικαιώματα διαχειριστή από τους σταθμούς εργασίας. Χωρίς να υπάρχει ισχυρή ασφάλεια τερματικών συσκευών, οι επιτιθέμενοι μπορούν εύκολα να κινούνται εσωτερικά και γύρω από το δίκτυο.
6. Προστατεύστε τα διαπιστευτήρια για τις εφαρμογές τρίτων. Για να μπορούν τα διάφορα συστήματα να συνεργάζονται, θα πρέπει να μπορούν να έχουν πρόσβαση το ένα στο άλλο. Αυτός είναι και ο λόγος για τον οποίο ο αριθμός των μηχανών και των εφαρμογών που απαιτούν προνομιακή πρόσβαση είναι μεγαλύτερος από εκείνον των ανθρώπων στους περισσότερους οργανισμούς. Και η παρακολούθηση, η ανίχνευση ή ακόμα και ο εντοπισμός αυτών των μη-ανθρώπινων οντοτήτων αποτελεί δύσκολη υπόθεση.
Επιπλέον, οι εμπορικές, off-the-shelf (COTS) εφαρμογές απαιτούν συνήθως πρόσβαση σε διάφορα τμήματα του δικτύου που μπορούν να εκμεταλλευτούν οι εισβολείς. Θυμηθείτε: είστε τόσο ισχυροί όσο ο ασθενέστερος κρίκος σας.
Όλοι οι προνομιακοί λογαριασμοί που χρησιμοποιούνται από εφαρμογές τρίτων πρέπει να αποθηκεύονται κεντρικά, να διαχειρίζονται και να γίνονται rotate σε ένα ψηφιακό vault. Επιπλέον, όλα τα hard-coded διαπιστευτήρια θα πρέπει να καταργηθούν από τις εφαρμογές COTS για να ελαχιστοποιηθούν οι κίνδυνοι.
7. Διαχειριστείτε τα Κλειδιά *NIX SSH. Τα κλειδιά SSH αποτελούν καθαρό χρυσό για έναν χάκερ ή κακόβουλο χρήστη/ εργαζόμενο, καθώς μπορούν να τα χρησιμοποιήσουν για να συνδεθούν με πρόσβαση root και να αναλάβουν τον έλεγχο της τεχνολογικής στοίβας *NIX (Linux και Unix). Τα συστήματα Unix και Linux στεγάζουν μερικά από τα πιο ευαίσθητα περιουσιακά στοιχεία της επιχείρησης, και το Linux είναι ένα λειτουργικό σύστημα που το αναπτύσσουν συνήθως σε περιβάλλοντα cloud. Συχνά ωστόσο, ατομικοί προνομιακοί λογαριασμοί και διαπιστευτήρια – συμπεριλαμβανομένων και κλειδιών SSH – που χρησιμοποιούνται για την απόκτηση προνομίων root παραβλέπονται από τις ομάδες ασφαλείας
8. Διαχείριση των μυστικών DevOps στο Cloud και On-Premises. Για οργανισμούς που υιοθετούν τεχνολογίες DevOps, είναι σημαντικό να αφιερώσουμε μια φάση στην διασφάλιση (και ακολούθως στην συνεχή διαχείριση) των διαπιστευτηρίων και των μυστικών που χρησιμοποιούνται από τα εργαλεία DevOps (π.χ. Ansible, Jenkins και Docker) και από λύσεις Platform as a Service (PaaS) όπως για παράδειγμα είναι οι OpenShift και Pivotal Cloud Foundry κ.ά.
Βεβαιωθείτε ότι αυτά τα διαπιστευτήρια και τα μυστικά μπορούν να ανακτηθούν άμεσα on-the-fly, να αλλάζουν (να γίνονται rotate) και να είναι διαχειριζόμενα αυτόματα. Ουσιαστικά αυτό σημαίνει ότι ο κώδικας σας θα πρέπει να είναι σε θέση να ανακτήσει τα απαραίτητα προνομιακά διαπιστευτήρια από μια λύση PAM αντί να είναι hard-coded σε μια εφαρμογή. Οι πολιτικές επίσης για το rotation των μυστικών μειώνουν σημαντικά τον κίνδυνο να πέσουν σε λάθος χέρια.
9. Προστατεύστε τους διαχειριστές SaaS και τους Προνομιούχους Επιχειρησιακούς Χρήστες. Πολύ συχνά, το Software as a Service (SaaS) και οι προνομιούχοι επιχειρησιακοί χρήστες μπορούν να ξεχαστούν στις προσπάθειες ιεράρχησης των προτεραιοτήτων σας. Ωστόσο, οι εγκληματίες του κυβερνοχώρου θα κλέψουν τα διαπιστευτήρια που χρησιμοποιούν οι διαχειριστές SaaS και οι προνομιούχοι επιχειρησιακοί χρήστες για να αποκτήσουν υψηλού επιπέδου μυστική πρόσβαση σε ευαίσθητα συστήματα.
Παραδείγματα κρίσιμης σημασίας για τις επιχειρήσεις εφαρμογών SaaS μπορεί να είναι οτιδήποτε, από το λογισμικό CRM (Customer Relationship Management) μέχρι εφαρμογές που χρησιμοποιούνται από τις ομάδες χρηματοδότησης, HR και μάρκετινγκ. Οι προνομιούχοι επιχειρησιακοί χρήστες που έχουν πρόσβαση σε τέτοιου τύπου εφαρμογές μπορούν να εκτελούν πολύ ευαίσθητες ενέργειες, όπως τη λήψη και τη διαγραφή ευαίσθητων δεδομένων. Για να αποφευχθεί αυτό το είδος επίθεσης, απομονώστε καθολικά την πρόσβαση σε κοινόχρηστα αναγνωριστικά (IDs) και εφαρμόστε MFA. Επίσης, παρακολουθήστε και καταγράψτε τις συνεδρίες των διαχειριστών SaaS και των προνομιούχων επιχειρησιακών χρηστών.
Παρόλο που δεν υπάρχει κάποια ενιαία προσέγγιση για την ασφάλεια (που να ταιριάζει σε όλους), η εφαρμογή των παραπάνω βημάτων μπορεί να βοηθήσει την εταιρεία σας να μειώσει τους κινδύνους σε μικρότερο χρονικό διάστημα και να ικανοποιήσει τους στόχους ασφάλειας και κανονιστικών ρυθμίσεων με λιγότερους εσωτερικούς πόρους.
Για να μάθετε περισσότερα, διαβάστε το eBook της CyberArk, Privileged Security Security for Dummies.