Bezpieczeństwo dostępu zdalnego do środowisk OT – część II

BeyondTrust
by Tomasz Smug
Bezpieczny dostęp zdalny

W drugiej części tekstu (z pierwszą można zapoznać się tutaj) spojrzę na bezpieczny dostęp zdalny z perspektywy uprawnień kont wykorzystywanych do uzyskania tego dostępu i wykonania prac oraz z perspektywy rozliczenia wykonanych aktywności.

Polityka najmniejszych przywilejów

Spójrzmy zatem na uprawnienia konta, którym kontraktor loguje się do systemu docelowego. Oczywiście, nie napiszę tu nic odkrywczego i nie wynajdę na nowo koła. Ogólne zasady określające jak powinno być skonfigurowane takie konto zostały zdefiniowane w ramach reguły najmniejszych przywilejów (least privilege). W tym wypadku oznacza to, że poziom uprawnień kont dla zewnętrznych dostawców powinien być taki, który umożliwi im wykonywanie powierzonych zadań i nic ponad to. Wszystkie dodatkowe funkcje i dostępy powinny zostać wyłączone. Zasady te powinny być stosowane zarówno na poziomie systemów operacyjnych, do których następuje dostęp, ale także na poziomie narzędzie dostępowych, które są wykorzystywane do nawiązania połączeń.

Klienci, z którymi współpracujemy zazwyczaj wymagają, aby po zalogowaniu kontraktor mógł połączyć się wyłącznie do ściśle określonych hostów, bez możliwości edycji parametrów takiego połączenia. Oczywiście sesje te powinny być rejestrowane i powinny być zbierane logi z tych sesji, o czym za chwilę. Co jednak istotne, w tracie sesji ograniczone powinny być narzędzia i funkcje nieakceptowalne z perspektywy działu bezpieczeństwa, np. możliwość kopiowania plików czy synchronizacji schowka. W tym wypadku, im bardziej szczegółowe definicje tych uprawnień, tym lepiej – ponieważ za pomocą precyzyjnej konfiguracji można tworzyć role odpowiednie zarówno dla zagwarantowania wykonania prac, jaki i dla zapewnienia bezpieczeństwa procesów organizacyjnych. Typowymi rolami z jakimi mamy do czynienia w praktyce są m.in. serwisanci pracujący na rzecz firm zewnętrznych, administratorzy wewnętrzni, audytorzy z działu bezpieczeństwa.

Zatem, przy odpowiednio zabezpieczonym i ograniczonym koncie w systemie dostępu zdalnego, można zająć się kontem systemowym, które będzie wykorzystane w ramach sesji zdalnej na systemie docelowym. Jest to jeden z najistotniejszych aspektów bezpieczeństwa i nie dotyczy tylko sesji zdalnej, ale ogólnej higieny kont uprzywilejowanych na systemach krytycznych. Naturalnie, zewnętrzni dostawcy i administratorzy muszą wykonywać zadania, które wymagają uprawnień administratora. Jednak wydawanie w postaci jawnej poświadczeń kont o wysokich uprawnieniach wiąże się ze znaczącym wzrostem ryzyka i jest postrzegane jako zła praktyka. W takim przypadku najlepszym rozwiązaniem jest odseparowanie kontraktorów i administratorów od haseł konta uprzywilejowanego. Dobrą praktyką natomiast jest udostępnienie, w drodze przydziału, możliwości „wstrzyknięcia” poświadczeń podczas logowania się do zdalnego zasobu. Tym sposobem operator uzyskuje dostęp do wymaganego zasobu w ramach sesji uprzywilejowanej, ale nie musi znać hasła konta, na którym będzie pracował. Idąc dalej, można również zabezpieczać te poświadczenia w taki sposób, by za każdym razem, gdy będą użyte (po każdej sesji), zostaną automatycznie zmienione zgodnie z określoną polityką złożoności hasła. W tym zakresie wykorzystywane są najczęściej systemy klasy PAM, o których piszemy tutaj.

Oprócz definicji zasobów, do których może się kontraktor logować oraz zabezpieczeni poświadczeń kont o wysokich przywilejach, równie istotnym elementem wdrożenia zasady najmniejszych przywilejów jest zadanie sobie pytania, czy na pewno kontraktor potrzebuje konta z uprawnieniami administratora? Ponieważ zamiast udostępniać na zewnątrz organizacji poświadczenia lub dostęp do kont o tak wysokich przywilejach, lepiej jest zastosować konta standardowego użytkownika, a w określonych przypadkach, gdy operacja wymaga podwyższonych uprawnień, dokonać tzw. elewacji uprawnień, co oznacza selektywne ich podniesienie uprawnienia dla określonych zadań wykonywanych przez operatora. Szerzej na ten temat pisaliśmy tutaj.

Ścieżka audytu

Nagrywanie sesji wykonywanych przez zewnętrznych dostawców stało się już normą i jest jedną z kluczowych funkcji rozpatrywanych przy wyborze systemu zapewniającego bezpieczny dostęp zdalny. Większość klientów chce nie tylko mieć podgląd sesji historycznych, ale również uzyskać wgląd w statystyki i odpowiedzieć sobie na pytania, np. ile sesji było wykonanych, jak długo one trwały i kto je wykonywał. Oprócz mechanizmów kontroli, istotnych z perspektywy bezpieczeństwa, zyskuje się tu też możliwość rozliczalności prac wykonywanych przez zewnętrznych dostawców.

Analizując narzędzia oferujące nagrywanie sesji warto rozważyć to gdzie składowane są nagrania oraz kto ma do nich dostęp. Najczęściej spotykaną konfiguracją w tym zakresie jest globalne wymuszenie rejestracji wszystkich sesji oraz ich składowanie łącznie z indeksacją wciskanych klawiszy i kliknięć. Nagrania powinny być przechowywane w sposób zapewniający ich bezpieczeństwo (nagrania sesji mogą zawierać krytyczne dane z perspektywy przedsiębiorstwa), dlatego zaleca się ich składowanie na dedykowanych zasobach w ramach infrastruktury krytycznej, a najlepiej na zamkniętych platformach obsługujących kontrolę dostępu. Oznacza to, że dostęp do odtwarzania nagrań posiadają wyłączone osoby z odpowiednimi uprawnieniami, np. w roli audytora.

Istotną cechą systemów gwarantujących bezpieczny dostęp zdalny, tutaj już z perspektywy użyteczności narzędzia, jest możliwość współpracy z kontraktorem w ramach jednej sesji. Szczególnie interesująca jest możliwość współpracy między kontraktorem, a audytorem w czasie rzeczywistym. Pozwala to, szczególnie dla systemów docelowych o wyjątkowym znaczeniu, na bieżącą kontrolę działań pracownika firmy zewnętrznej i, mówiąc kolokwialnie, spoglądanie przez ramię kontraktorowi.

Podsumowanie

Wykorzystując doświadczenie i odpowiednie narzędzia możliwe jest takie wdrożenie systemu do zdalnego dostępu, który działa zarówno bezpiecznie jak i efektywnie. W dzisiejszym świecie kontrola nad działaniami wykonywanymi na systemach krytycznych jest niezbędna, jednak dobre zaplanowanie procesów dostępowych oraz odpowiedni dobór systemów wspierających, ograniczających i zabezpieczających ten dostęp jest niezwykle trudne. Dlatego też postanowiliśmy się podzielić naszymi spostrzeżeniami w tym zakresie oraz nakreślić kilka najistotniejszych z naszej perspektywy rozwiązań, które wspomagają organizacje w tym zakresie. Jeżeli chcieliby Państwo dowiedzieć się więcej na ten temat albo skorzystać z naszego doświadczenia, zapraszamy serdecznie do kontaktu.

O autorze

Tomasz Smug

Od 13 lat związany z branżą IT. Zajmował się planowaniem radiowym sieci WiFi, systemami zabezpieczenia technicznego takimi jak dozór wizyjny czy kontrola dostępu. Przez wiele lat pracował jako architekt systemów sieciowych zarówno części pasywnej jak np. infrastruktura światłowodowa oraz części związanej ze sprzętem sieciowym. Przez ponad dziesięć lat brał czynny udział w procesach normalizacji okablowania sieciowego. W EMS Partner zajmuje stanowisko PAM System Engineer i zajmuje się technicznymi aspektami zarządzania dostępem uprzywilejowanym. Posiada certyfikaty: BeyondeTrust Retina CS L2 & L3, BeyondeTrust PowerBroker Password Safe L2 & L3. Po pracy miłośnik gier planszowych i prac ogródkowych.