Zarządzanie uprawnieniami – systemy EPM/PEDM

Oprogramowanie klasy EPM/PEDM (Endpoint Privilege Management / Privilege Elevation and Delegation Management) to rozwiązania łączące w sobie dwa podstawowe elementy – kontrolę uruchamianych aplikacji oraz zarządzanie uprawnieniami na poziomie systemu operacyjnego. Połączenie powyższych dwóch funkcji pozwala na wdrożenie mechanizmów, które zezwalają na uruchamianie wyłącznie zaufanych aplikacji na komputerach użytkowników przy jednoczesnym ograniczeniu uprawnień konta użytkownika do minimum. Za pomocą systemów pozwalających na zarządzanie uprawnieniami (Systemy EPM/PEDM) można w prosty sposób wyeliminować konieczność stosowania kont uprzywilejowanych, np. lokalnych kont z uprawnieniami administratora, jednocześnie zachowując minimalny wpływ na wydajność pracowników i ich „odczucia” przy pracy z systemem operacyjnym (User Experience).

Zapewnienie bezpieczeństwa i ochrony sprzętu komputerowego jest jednym z kluczowych aspektów zarządzania zasobami IT, a systemy klasy EPM są jednym z filarów tego bezpieczeństwa i stanowią podstawową technologię we wdrażaniu polityki najmniejszych uprawnień dla użytkowników końcowych.

  • Implementacja systemów EPM bazuje na wzorcach lub kreatorach ułatwiających zbudowanie poprawnych polityk bezpieczeństwa co istotnie upraszcza i przyspiesza proces wdrożenia.
  • Zaleca się wdrożenie polityki najmniejszych przywilejów dla wszystkich typów użytkowników, jednak w praktyce szczególną uwagę zwraca się na grupy użytkowników zaawansowanych (programiści, kontraktorzy, administratorzy), w przypadku których odjęcie uprawnień administratora bez wykorzystania systemu EPM uniemożliwiłoby im wykonywanie codziennych zadań.
  • Niezwykle istotna jest funkcja podnoszenia (elewacji) uprawnień w sposób selektywny per aplikacja. Użytkownik za pomocą konta z uprawnieniami standardowego użytkownika ma możliwość uruchomienia wskazanych aplikacji tak jakby znajdował się w grupie administratorów.
  • Systemy EPM są w stanie zatrzymać wykonanie niebezpiecznego oprogramowania typu Ransomware & Malware (zmniejszenie płaszczyzny ataku poprzez przyznawanie podwyższonych uprawnień tylko dla zatwierdzonych aplikacji, skryptów, zadań czy poleceń, które faktycznie ich wymagają).
  • Kontrola uruchamianych aplikacji poprzez blokowanie uruchomienia wskazanych aplikacji, nawet tych które działają normalnie na kontach standardowego użytkownika.
  • Systemy EPM są wyposażone w moduły raportowe, za pomocą których dział bezpieczeństwa może pozyskać szczegółowe informacje na temat wszystkich nieznanych / niezatwierdzonych aplikacji, które zostały uruchomione przez użytkowników.
  • Rozwiązaniami promowanymi przez EMS Partner jest rodzina produktów BeyondTrust Privilege Management.

Powiązane produkty

Warto przeczytać

Minimalizacja ryzyka wynikającego z podatności

Ciekawe dane dotyczące bezpieczeństwa systemów Microsoft można pozyskać z dokumentu „Malware Threat Report 2021”. Niezałatane podatności są przyczyną ok. 30% wszystkich naruszeń bezpieczeństwa w IT. Na przykład, wzrost ilości podatności w przypadku produktów Microsoft między rokiem 2019 a 2020 to 48%, gdzie w 2019 roku zarejestrowano 858 podatności a w 2020 roku 1268. W przypadku podatności krytycznych, w 2020 roku 56% z nich byłoby niegroźne w przypadku gdyby zostały usunięte uprawnienia administratora. W przypadku systemu Windows 10 ze wszystkich luk bezpieczeństwa wykrytych w 2020 r. 132 uznano za krytyczne. Usunięcie praw administratora uniemożliwia wykorzystanie 70% z tych podatności.
Wniosek jest niezmienny od lat. Znaczącą część zagrożeń można łatwo złagodzić, usuwając uprawnienia administracyjne na urządzeniach końcowych, co jest powszechnym zaleceniem rekomendowanym przez ekspertów branżowych.

Strategia najmniejszych przywilejów

Systemy do zarządzania uprawnieniami (systemy EPM/PEDM) są nierozerwalnie powiązane z jedną z podstawowych zasad bezpieczeństwa w IT, jaką jest polityka najmniejszych uprawnień (least privilege). Posiadanie praw lokalnego administratora oznacza, że ​​użytkownik ma uprawnienia do wykonywania praktycznie wszystkich funkcji w systemie operacyjnym na komputerze. Uprawnienia te mogą obejmować takie zadania, jak instalowanie oprogramowania i sterowników sprzętu, zmiana ustawień systemu. Mogą również tworzyć konta użytkowników i zmieniać hasła na wszystkich kontach. Niekiedy nadaje się lokalne uprawnienia administratora, aby zmniejszyć zapotrzebowanie na wsparcie IT, jednocześnie narażając się na wysokie ryzyko naruszeń bezpieczeństwa. Powszechnym podejściem do zarządzania kontami użytkowników uprzywilejowanych jest model z najmniejszymi uprawnieniami polegający na przypisywaniu użytkownikom i programom najmniejszej ilości uprawnień wymaganych do wykonania określonych zadań. Polityka najmniejszych uprawnień działa najskuteczniej w połączeniu z koncepcją umieszczania aplikacji na białej liście. Biała lista to praktyka określania zatwierdzonych aplikacji, które mogą być zainstalowane i uruchamiane w systemie operacyjnym. Celem umieszczania na białej liście jest ochrona komputerów i sieci przed potencjalnie szkodliwymi aplikacjami.

Wydajne systemy EPM/PEDM za pomocą ogólnych reguł bazujących na łatwych do zdefiniowania kryteriach, są w stanie automatycznie zatrzymać uruchamianie niezatwierdzonych aplikacji.