Niebezpieczeństwa związane z VPN i jak zminimalizować zagrożenia zdalnego dostępu za pomocą PAM?

BeyondTrust
by Tomasz Smug

Nie jest niczym nowym, że prawie każda organizacja korzysta obecnie z jakiejś formy zdalnego dostępu dla swoich dostawców i pracowników zdalnych. Problem polega na tym, że niektóre popularne sposoby zdalnego dostępu otwierają Twoją organizację na różnorodne zagrożenia cyberbezpieczeństwa. W rzeczywistości, jeśli przeanalizuje się dane, prawie każde poważne naruszenie bezpieczeństwa IT w ciągu ostatnich kilku lat wiązało się z pewnym sposobem nieautoryzowanego dostępu zdalnego. W ogólności osoby zarządzające firmami przynajmniej uznają, że zagrożenie to istnieje, o czym świadczy niedawne badanie, w którym 86% menedżerów uważa, że naruszenia danych są bardziej prawdopodobne, gdy pracownicy pracują zdalnie.

Według innego badania przeprowadzonego kilka lat temu specjaliści IT informują, że średnio 181 zewnętrznych dostawców uzyskuje dostęp do sieci wewnętrznej przedsiębiorstwa w przeciągu jednego tygodnia. Te zewnętrzne firmy obejmują dostawców POS, producentów oprogramowania, outsourcingu IT.

Niebezpieczeństwa VPNS

Aby ustanowić połączenia zdalne, organizacje często używają jakiejś formy wirtualnej sieci prywatnej (VPN), w celu umożliwienia użytkownikom interakcję z ich systemami. Jednak sieci VPN stwarzają problemy z zabezpieczeniem dostępu zdalnego. VPN działają zarówno jako drzwi wejściowe, jak i tylne drzwi do krytycznych danych i aplikacji. W związku z tym, że połączenia VPN mogą zostać wykorzystane do uzyskania nieautoryzowanego dostępu do systemów przyciągają one znaczną uwagę hakerów.

VPN są także punktami wejścia do administracyjnego back-endu różnych systemów, dając hakerom możliwość zresetowania konfiguracji i spowodowania w zasadzie dowolnego rodzaju zniszczeń. Dla zespołów bezpieczeństwa IT zabezpieczenie VPN stanowi nieustające wyzwanie. Wiele z najbardziej znanych naruszeń bezpieczeństwa można powiązać bezpośrednio z wykorzystaniem luk w VPN.

Posiadanie pewnego rodzaju zdalnego dostępu nie podlega dyskusji w przypadku procesów informatycznych w prawie każdej organizacji. Pracownicy zdalni, firmy trzecie, dostawcy i inne osoby muszą uzyskać dostęp do systemów spoza firewalla. Dostęp zdalny, ze względu na swój charakter, stwarza jednak zagrożenie dla bezpieczeństwa cybernetycznego.

W przypadku gdy dostawcy uzyskują dostęp do sieci firmowej często ich praca nie jest w żaden sposób monitorowana.

 

Rozszerzenie bezpieczeństwa kontroli dostępu uprzywilejowanego na użytkowników zdalnych

 

Uprzywilejowany użytkownik to osoba z podwyższonymi prawami dostępu, która może konfigurować, modyfikować lub usuwać konta systemowe i oprogramowanie. Na przykład osoba, która posiada uprawnienia do tworzenia i usuwania kont e-mail na serwerze Microsoft Exchange, jest uprzywilejowanym użytkownikiem. Ten przywilej powinien być przyznawany tylko najbardziej zaufanym pracownikom i tylko wtedy, gdy jest to absolutnie konieczne. Osoby, które zostały wybrane, powinny być wystarczająco odpowiedzialne, aby powierzyć im uprawnienia „root”, takie jak możliwość zmiany konfiguracji systemu, instalowania oprogramowania, zmiany kont użytkowników lub uzyskiwania dostępu do wrażliwych danych.

Jednak nigdy nie należy bezwarunkowo ufać nikomu, więc powinno się zapewnić środki do monitorowania i kontrolowania sposobu korzystania z kont uprzywilejowanych. Biorąc pod uwagę jak dużą “władzę” nad środowiskiem IT posiadają uprzywilejowani użytkownicy, mogą oni zakłócać działanie systemów informatycznych, co w konsekwencji jeśli dostęp do takich kont nie będzie odpowiednio zarządzany może prowadzić do poważnej ekspozycji na ryzyko.

PAM (Privileged access management) to rozwiązanie umożliwiające prawidłowe zarządzanie dostępem uprzywilejowanym. PAM to zbiór technologii (uprzywilejowane zarządzanie poświadczeniami, monitorowanie sesji, podnoszenie uprawnień, delegowanie itp.). Dodatkowo PAM to też zestaw praktyk, które pozwolą monitorować i zarządzać dostępem uprzywilejowanym lub administracyjnym do systemów krytycznych.

Zastąpienie dostępu VPN rozwiązaniem PAM umożliwi Twojej organizacji konfigurowanie dostępu w sposób bardziej szczegółowy, w porównaniu do połączenia typu „wszystko lub nic” czyli VPN. Możesz zmniejszyć płaszczyznę ataku i usunąć obciążenie administracyjne związane z konfigurowaniem i instalowaniem klientów VPN. Zamiast instalowania takich klientów użytkownicy mogą uzyskać dostęp za pośrednictwem konsoli web lub bezpiecznego appliance’u.

Jeśli przeanalizujemy trzy najbardziej znane naruszenia dostępu zdalnego, Ashley Madison, Target i Georgia-Pacific, można zauważyć, że brak systemu PAM przyczynił się do tych naruszeń.

Ashley Madison w ogóle nie posiadał rozwiązania PAM, pozostawiając nienadzorowany i łatwo wykrywalny backdoor w postaci dostępu zdalnego do zasobów administracyjnych. W przypadku Target brakowało również rozwiązania PAM ze skutecznym alarmowaniem i śledzeniem sesji, które mogłoby powiadomić personel bezpieczeństwa o podejrzanych działaniach na kontach uprzywilejowanych. W Georgia-Pacific także brakowało systemu PAM, który mógłby odciąć pracownika, który zakończył pracę od dostęp uprzywilejowanego. Korzystanie ze skutecznego rozwiązania PAM pozwoliłoby na obronę przed takimi zagrożeniami jak nieuprawniony dostęp zdalny.

PAM umożliwi nadawanie i odbieranie uprawnień. Na przykład w PAM można przypisać prawa administracyjne do VPN, a następnie szybko je wycofać, gdy pracownik opuści Twoją organizację. W ten sposób, nawet jeśli ktoś uzyska nieautoryzowany zdalny dostęp do systemów organizacji, jego zdolność do wyrządzania szkód zostanie zminimalizowana.

Jako minimum rozwiązanie PAM może umożliwić monitorowanie logowania do systemów i ostrzegać administratorów o sesjach uprzywilejowanych, które nie są zgodne z zasadami dostępu. Na przykład dla incydentu Target spowodowanego exploitem od firmy z branży HVAC, można by było się zastanowić, dlaczego dostawca HVAC loguje się do systemu Point of Sale (POS), co powinno spowodować dalsze zbadanie tej sytuacji.

Dlaczego potrzebujesz rozwiązania PAM

Istnieje wiele ważnych powodów, dla których warto wdrożyć rozwiązanie PAM w środowisku IT. Wdrożenie PAM może ochronić firmę przed przypadkowym lub celowym nadużyciem. Jest to szczególnie istotne, w przypadku szybko rozwijających się firm, ponieważ im większe i bardziej złożone systemy informatyczne organizacji tym do większej liczby kont uprzywilejowanych uzyskują dostęp różni użytkownicy. Obejmuje to wiele typów użytkowników, takich jak pracownicy, kontrahenci, użytkownicy zdalni, a nawet użytkownicy zautomatyzowani. W wielu przypadkach jest zbyt wielu uprzywilejowanych użytkowników. Czasami ilość kont uprzywilejowanych jest 2-3 krotnie większa niż liczba rzeczywistych pracowników!

Niektórzy z tych uprzywilejowanych użytkowników mogą zastępować istniejące protokoły bezpieczeństwa. Prowadzi to do znacznego zwiększenia podatności systemów. Istotnym problemem jest sytuacja w której , administratorzy mogą dokonywać nieautoryzowanych zmian w systemie, uzyskiwać dostęp do zabronionych danych, a następnie ukrywać swoje działania. Prowadzi to do potencjalnego ryzyka dostępu do środowiska firmowego przez napastnika zewnętrznego przy użyciu  poświadczeń administracyjnych. PAM pomaga zapobiec takim zdarzeniom.

Po wdrożeniu rozwiązania PAM, można uzyskać bardziej bezpieczną, uproszczoną metodę autoryzacji i monitorowania wszystkich uprzywilejowanych użytkowników łączących się do kluczowych systemów.

Na co zwrócić uwagę w przypadku rozwiązań PAM

Kiedy zdecydujesz się na implementację mechanizmów kontroli dostępu uprzywilejowanego, musisz pamiętać o kilku rzeczach. Należy upewnić się, że wybrane rozwiązanie oferuje następujące komponenty:

  • Access Manager – Ten moduł PAM zarządza dostępem do kont uprzywilejowanych, zapewniając pojedynczy punkt do definiowania i egzekwowania polityk dostępu. Korzystając z menedżera dostępu, uprzywilejowani użytkownicy mogą składać wnioski o dostęp do kluczowych systemów. Dzięki menadżerowi dostępu wiadomo, do których systemów użytkownik ma dostęp i na jakim poziomie uprawnień. Takie podejście zmniejsza ryzyko, że były pracownik zachowa dostęp do systemu krytycznego.
  • Sejf haseł – system PAM powinien przechowywać uprzywilejowane poświadczenia w bezpiecznym sejfie haseł i otwierać dostęp do systemu dla uprzywilejowanego użytkownika tylko po tym jak zezwoli na to Access Manager. Sejf haseł powinien również rotować (zmieniać) poświadczenia w odstępach czasu, które odzwierciedlają wrażliwość haseł, a jednocześnie egzekwować najlepsze praktyki w zakresie bezpieczeństwa w generowaniu nowych haseł.
  • Menedżer sesji uprzywilejowanych – Menedżer sesji umożliwia śledzenie działań podjętych podczas sesji na kontach uprzywilejowanych. Jest to niezbędna funkcjonalność dla zapewnienia rozliczalności wykonywanych prac.
O autorze

Tomasz Smug

Od 13 lat związany z branżą IT. Zajmował się planowaniem radiowym sieci WiFi, systemami zabezpieczenia technicznego takimi jak dozór wizyjny czy kontrola dostępu. Przez wiele lat pracował jako architekt systemów sieciowych zarówno części pasywnej jak np. infrastruktura światłowodowa oraz części związanej ze sprzętem sieciowym. Przez ponad dziesięć lat brał czynny udział w procesach normalizacji okablowania sieciowego. W EMS Partner zajmuje stanowisko PAM System Engineer i zajmuje się technicznymi aspektami zarządzania dostępem uprzywilejowanym. Posiada certyfikaty: BeyondeTrust Retina CS L2 & L3, BeyondeTrust PowerBroker Password Safe L2 & L3. Po pracy miłośnik gier planszowych i prac ogródkowych.

ZAPISZ SIĘ
DO NEWSLETTERA

EMS Partner Sp. z o.o.
ul. Szyperska 14, 61-754 Poznań
tel.: +48 61 624 85 89
info@emspartner.pl

BeyondTrust Distribution Center
Jesteśmy dystrybutorem BeyondTrust na Europę Środkowo-Wschodnią