Управление привилегированным доступом во все более опасном мире

Чтобы обеспечить безопасность ваших корпоративных данных и ИТ-активов, вам необходимо обеспечить контроль и мониторинг доступа к ним. Решения и технологии, используемые для достижения этой цели, часто описываются общим термином управления привилегированным доступом (PAM). Но по мере того, как ландшафт угроз продолжает развиваться и становиться все более опасным, инструменты, которые ИТ-отдел может использовать для защиты вашего бизнеса, также должны развиваться. Чтобы больше узнать о том, что происходит в этой области, я недавно связался с Адамом Лаубом, генеральным директором Stealthbits Technologies, компании, которая предлагает решения, которые могут помочь вашему бизнесу защитить учетные данные и данные от внутренних угроз, проверить изменения и автоматизировать задачи для безопасность и соответствие требованиям в вашей инфраструктуре. Благодаря своему многолетнему опыту Адам вполне может описать, как развивался PAM и куда он движется сейчас, так что давайте послушаем и узнаем, что он хочет сказать по этому вопросу.

Эволюция управления привилегированным доступом

За последние два десятилетия управление привилегированным доступом претерпело несколько преобразований. Управление привилегированным доступом, также известное как управление паролями общих учетных записей, стало широко распространенным в начале тысячелетия. Цель состояла в том, чтобы контролировать доступ и часто менять пароль учетных записей суперпользователей, таких как администратор в Windows или Active Directory и root в Unix и Linux.

Затем последовал более формальный переход к управлению привилегированным доступом с введением сеансовых прокси-серверов, позволяющих администраторам безопасно получать доступ к ценным активам, не зная пароля. Хранилище, в дополнение к прокси, позволяло организациям записывать все данные сеанса даже в сегментированных сетях.

Вскоре после этого лучшие практики Microsoft рекомендовали разделение административных учетных записей, требуя уникальных учетных записей для каждого пользователя, чтобы отделить повседневные задачи от задач администратора, а также учетные записи администратора и root, используемые только для доступа «разбитого стекла».

Однако, поскольку все привилегированные учетные записи по существу контролируются с помощью одного и того же хранилища и политики доступа, варианты использования между учетными записями суперпользователя и личными учетными записями администратора переплелись, стирая различие между управлением привилегированными учетными записями и управлением привилегированным доступом.

Результатом, вопреки цели PAM, стало увеличение поверхности атаки организации из-за значительного увеличения числа привилегированных учетных записей, которые поддерживают постоянный доступ (т. е. постоянные привилегии) к тем же ресурсам, для администрирования которых они предназначены.. Это сделало привилегированные учетные записи уязвимыми для атак с боковым перемещением (например, билет Kerberos, оставленный в памяти), помимо чрезмерно сложных правил контроля доступа.

Будущее управления привилегированным доступом

В мире DevOps многие поддерживают идею неизменной инфраструктуры из-за эксплуатационных преимуществ, связанных с возможностью динамического и быстрого масштабирования. Дополнительным преимуществом является отсутствие необходимости в обновлении. Если он выходит из строя или нуждается в обновлении, он просто уничтожается и заменяется. Именно эту концепцию необходимо применять к привилегированным учетным записям и управлению привилегированным доступом. Во многом так же, как DevSecOps отошла от управления системами и приняла безопасность за счет одноразовости, использование эфемерных привилегированных учетных записей предоставляет системным администраторам механизм для эффективного выполнения своей работы без накладных расходов и ответственности за управление учетными записями, которые их регистрируют. на их сервера. Другими словами, привилегированные учетные записи существуют только тогда, когда они вам нужны, а в состоянии покоя привилегий нет. (Gartner называет это нулевыми постоянными привилегиями или ZSP.)

Почему ноль постоянных привилегий?

Очевидно, что единственным постоянным фактором в уравнении управления привилегированным доступом является сама привилегированная учетная запись. Итак, что, если бы вы могли удалить его из указанного уравнения? Довольно сложно скомпрометировать несуществующий аккаунт, верно?

В модели с нулевыми постоянными привилегиями, управляемой эфемерными учетными записями, создается токен активности (точно вовремя) и предоставляется возможность выполнять только желаемую задачу (достаточно привилегий) за кулисами. Затем действие выполняется интерактивно или системой от имени привилегированного пользователя. Когда действие завершено, привилегии немедленно аннулируются у токена действия и впоследствии уничтожаются.

При таком подходе поверхность атаки организации в значительной степени сокращается до окна, в течение которого администратор выполняет действие (это разговор для другого дня); злоумышленнику не остается никаких паролей или артефактов. Все, что нужно знать администратору, — это задача, которую он должен выполнить.

Почему нулевые постоянные привилегии?

Между успехом эфемерности в других технологических сегментах и пугающим уровнем риска, который привилегированные учетные записи представляют для организаций, ясно, что удаление привилегированных учетных записей — это самый быстрый и прагматичный способ снизить риски компрометации привилегированной учетной записи и, таким образом, бокового перемещения., повышение привилегий и, в конечном итоге, утечка данных. Итак, какие варианты есть у организаций, чтобы начать процесс уменьшения размера своей привилегированной учетной записи?

Для организаций, которые вложили значительные средства в Microsoft 365 и в основном подключенные к AD инфраструктуры, многие нашли ценность в Microsoft Azure Privileged Identity Management (PIM). Как и большинство решений для управления привилегированным доступом, Azure PIM обеспечивает своевременный подход к предоставлению привилегированного доступа с ограничениями по времени, рабочие процессы утверждения, интеграцию с MFA на основе RADIUS, а также средства обоснования и уведомления. Однако есть несколько ограничивающих факторов., ограничивают удобство использования технологий, ориентированных на Microsoft, и, хотя они эффективны для снижения возможности атак Pass-the-Hash за счет использования LAPS, в настоящее время отсутствуют возможности для смягчения других угроз, таких как Pass-the-Ticket.

Кроме того, такие решения, как Stealthbits Privileged Activity Manager (SbPAM), предоставляют эти и многие другие возможности на любой платформе, от локальных систем Windows, Unix и Linux до облачной инфраструктуры, критически важных служб, таких как Active Directory, сетевых периферийных устройств, устройств IoT, и не только. Независимо от платформы, решение Stealthbits сначала обнаруживает и подключает привилегированные учетные записи, систематически удаляя те, которые не должны существовать вечно, и заменяя их политиками, которые позволяют администраторам выполнять определенные действия именно тогда, когда им это нужно, с нужным объемом. доступа. Привилегированные сеансы отслеживаются на предмет безопасности, соответствия требованиям и воспроизведения по запросу, а привилегированные учетные записи уничтожаются сразу после использования, очищая ресурсы от любых оставшихся артефактов, которые злоумышленники могут использовать, и восстанавливая среду до состояния нулевого доступа по умолчанию.