Dylemat dostępu uprzywilejowanego

W dobie powszechnego korzystania z systemów o szczególnym znaczeniu dla przedsiębiorstwa niezbędne staje się zapewnienie bezpieczeństwa przetwarzanej tam informacji. Ryzyko związane z nieautoryzowanym dostępem dotyczy nie tylko konsultantów zewnętrznych lub serwisantów, ale także administratorów i innych pracowników działu IT. Pojawia się przy tym dylemat związany z dostępem uprzywilejowanym do krytycznej infrastruktury firmy.

Skutki udanego ataku wykorzystującego niedostateczną kontrolę sesji uprzywilejowanych lub niedostatki stosowanych tam zabezpieczeń mogą być niezwykle poważne i obejmować między innymi: utratę danych, zablokowanie działania systemów informatycznych przedsiębiorstwa, straty finansowe oraz naruszenie reputacji firmy. Z drugiej strony możliwość zdalnego połączenia do kluczowych systemów sprawia, że specjaliści nie będą musieli tracić czasu na dojazdy. W dobie powszechnego outsourcingu oraz zewnętrznych usług serwisowych zdalny dostęp jest stosowany często i stanowi odpowiedź na szczególne wymagania związane z krótkim czasem reakcji, oczekiwanym przez firmowy dział informatyki. Z kolei ryzyko związane ze zdalnym dostępem administracyjnym jest znane w IT, a zatem można i należy nim zarządzać. Wielką pomoc w ograniczaniu ryzyka dostarcza nowoczesna technologia, która umożliwia prowadzenie ciągłego audytu działań, zapewnia mocne uwierzytelnienie i zabezpieczenie połączenia. Przykładem rozwiązania, które łączy ze sobą rejestrację sesji, uwierzytelnienie i nadawanie uprawnień per aplikacja, a także uniezależnia od niedostatków lokalnej lub zdalnej polityki haseł, jest Wallix Admin Bastion.

Zdalny administrator

Rozważania na temat zarządzania sesjami o podwyższonych uprawnieniach można zacząć od typo-wego przypadku, którym upoważniony pracownik otrzymuje dostęp na poziomie administratora (systemowym) do kluczowego elementu infrastruktury. Dopóki jest to pracownik firmy, można ograniczyć ryzyko, wprowadzając odpowiednie procedury i zabezpieczenia techniczne, takie jak logowanie wyłącznie z firmowego komputera w zaufanej lokalizacji, ochronę połączenia za pomocą uznanych standardów kryptograficznych czy silne uwierzytelnienie. Nadal pozostaje możliwość nadużyć lub szkód wywołanych przez złośliwe oprogramowanie na stacji roboczej administratora, ale ryzyko jest znacznie mniejsze niż w przypadku dostępu z zewnątrz. W takim przypadku rejestracja sesji połączona z dostępem do wybranych elementów infrastruktury przy pomocy spójnej polityki haseł sprawia, że ryzyko ewentualnych nadużyć zostaje zredukowane. Polityka haseł może obejmować przykładowo zasadę, w której użytkownik może logować się przy użyciu swojego hasła, jednak użytkownicy „generyczni”, tacy jak administrator czy root, nie są objęci koniecznością używania haseł. Powstałe w ten sposób nagrania sesji mogą później z powodzeniem posłużyć do dokumentowania wprowadzonych modyfikacji, do celów szkoleniowych, można je również zapisać w systemach obsługujących zarządzanie zmianą.

Udzielenie dostępu pracownikowi zewnętrznej firmy do krytycznej infrastruktury IT wewnątrz przedsiębiorstwa jest obarczone bardzo wysokim ryzykiem. Nie zawsze możemy mówić tutaj o zalogowaniu z bezpiecznej lokalizacji, w której działa zarządzana przez firmowy dział IT stacja robocza, nie zawsze można również zapewnić bezpieczeństwo samego połączenia, pojawiają się także problemy związane z uwierzytelnieniem pracownika, który określone prace ma zdalnie wykonać. W takim przypadku przedsiębiorstwa często rezygnują ze zdalnego dostępu mimo tego, że dostępne są rozwiązania techniczne, które umożliwiają prowadzenie bezpiecznych zdalnych sesji użytkowników uprzywilejowanych. Użycie rozwiązań takich jak Wallix Admin Bastion umożliwia uwierzytelnienie zewnętrznego specjalisty za pomocą osobnych haseł (mogą być przekazane innym kanałem komunikacji), udzielenie dostępu do wybranych elementów włącznie z detalami używanych protokołów, zapis całej sesji z możliwością monitoringu online i przerwania w przypadku stwierdzenia problemów lub nadużyć. Przed każdą taką sesją i po niej można wymusić automatyczną zmianę haseł, co ma znaczenie w przypadku dostępu do urządzeń takich jak routery i przełączniki sieciowe. Dzięki odseparowaniu loginu i hasła od ogólnej polityki haseł osoba z zewnątrz nie musi znać danych uwierzytelnienia, ponadto kradzież hasła z np. historii poleceń lub konfiguracji przełącznika sieciowego nie umożliwi ponownego nawiązania połączenia.

Dostęp tylko do części zasobów

W wielu firmach zestawienie połączenia uprzywilejowanego oznacza dostęp do więcej niż jednej maszyny, znajdującej się w tym samym segmencie sieci. W tym samym segmencie co serwer, do którego ma się połączyć administrator, mogą znajdować się także inne urządzenia, takie jak przełączniki lub routery. Napastnik mógłby zatem zażądać połączenia sieciowego (na przykład VPN) do sieci docelowej i tą drogą przeprowadzić atak na inne urządzenia. Oczywiście można ograniczyć możliwości ataku tą drogą za pomocą odpowiedniego filtrowania ruchu sieciowego, ale reguły na zaporach sieciowych musiałyby być zmieniane przy każdym żądaniu dostępu zdalnego. Nowoczesne rozwiązania umożliwiają przyznanie dostępu z większą precyzją uprawnień, można w ten sposób zezwolić na przykład na dostęp tylko do jednej aplikacji na konkretnym serwerze, nawet jeśli w tej samej podsieci znajdują się inne urządzenia.

Sesja to więcej niż tylko nagrania

Nie można ograniczać zagadnień związanych ze zdalnym dostępem jedynie do nagrania sesji. Reje-stracja sesji jest oczywiście niezbędna przy dostępie uprzywilejowanym do krytycznych zasobów firmy, ale stanowi zapis tego, co już się wydarzyło. Zapisana sesja jest dokumentem, który świadczy o rzeczywiście wykonanych pracach, i może stanowić podstawę do późniejszych rozliczeń, ale nie umożliwia wczesnej reakcji na ewentualne niepożądane działania.

Prawdziwą siłą nowoczesnych rozwiązań jest wprowadzenie zarządzania całą sesją, włącznie z uwierzytelnieniem, udzielaniem dostępu do aplikacji i informacjami szczegółowymi protokołu podczas całej procedury połączenia. W praktyce oznacza to, że dla każdego dostępu można ustalić uprawnienia, bazując na rolach. Każda z nich określa identyfikację użytkownika (LDAP, TACACS+, Kerberos, Radius, wewnętrzna baza), politykę uwierzytelnienia (na przykład klucze SSH), docelowe konto, na którego uprawnieniach będą wykonywane polecenia, informacje szczegółowe protokołu oraz docelowe systemy, wliczając w to także jednokrotne logowanie do wybranych zasobów.

Podobnie zapis sesji powinien polegać jedynie na nagrywaniu aktywności i zapisaniu jej do pliku. Nowoczesne rozwiązania potrafią rozpoznać aktywność polegającą na przeglądaniu katalogów, wykryć uruchamianie aplikacji (na przykład SAP lub klient aplikacji Oracle), a także wybieranych przez te aplikacje plików. Informacje związane z aktywnością użytkownika w monitorowanej sesji powinny być niezwłocznie skierowane do firmowych systemów korelacji zdarzeń — w ten sposób można wykryć zdarzenia, które mogłyby doprowadzić do utraty danych, a w klasycznym środowisku pozbawionym monitoringu i urządzeń klasy SIEM byłyby bardzo trudne do wykrycia.

Jak bezpiecznie korzystać ze zdalnego dostępu

Przy uruchamianiu zdalnego dostępu do szczególnie istotnych systemów zazwyczaj przyjmuje się następujące założenia:

  • połączenie odbywa się w ustalonym przedziale czasowym z dokładnie określonymi zasadami dostępu, listą niezbędnych zadań do wykonania, a także listą osób, które z tego połączenia skorzystają,
  • całe połączenie musi odbywać się w bezpiecznym, szyfrowanym połączeniu, wykorzystującym uznane standardy kryptograficzne,
  • stosuje się integrację z systemami mocnego uwierzytelnienia (na przykład z użyciem tokenów lub haseł jednorazowych wysyłanych innym kanałem komunikacji),
  • logowanie do serwisu odbywa się za pomocą innych haseł, niż rzeczywiście wykorzystywane, dzięki czemu pracownik nie zna szczegółów uwierzytelnienia stosowanych na drodze urządzenie monitorujące – infrastruktura docelowa,
  • po stronie firmy korzystającej z usług zdalnych znajduje się specjalista monitorujący połączenie, który w razie wykrycia problemów lub ewentualnych nadużyć może takie połączenie natychmiast przerwać,
  • system posiada narzędzia potrafiące zatrzymać typowe komendy, które mogłyby spowodować zniszczenie danych (by uniemożliwić wandalizm po udanym włamaniu i kradzieży haseł),
  • jeśli jest to technicznie możliwe i uzasadnione, stosuje się zatwierdzanie komend przez drugą osobę,
  • cała sesja jest rejestrowana,
  • narzędzia potrafią wykryć wskazane operacje (na przykład szczególnie ryzykowne polecenia) bez konieczności oczekiwania na zakończenie sesji, możliwe jest również automatyczne powiadomienie,
  • działania zarejestrowane w sesjach są wysyłane do systemów korelacji zdarzeń,
  • wprowadzone zmiany są dokumentowane, razem z zapisem sesji utworzą kolejny wpis w bazie wiedzy lub posłużą do rozliczeń za wykonane prace,
  • zapisy sesji zawierające zarejestrowane nadużycia można przedstawić organom ścigania.

Źródło: Wallix