Problem tożsamości uprzywilejowanych



Podobne dokumenty
Win Admin Replikator Instrukcja Obsługi

Kim jesteśmy. CompFort Meridian Polska dzisiaj Około 120 pracowników Obrót za 2012 r. ponad 91 mln zł Stały wzrost przychodów i zakresu działalności

11. Autoryzacja użytkowników

Narzędzia mobilne w służbie IT

Enterprise SSO IBM Corporation

1. Zakres modernizacji Active Directory

Win Admin Replikator Instrukcja Obsługi

Bezpieczeństwo danych w sieciach elektroenergetycznych

Z roku na rok wzrasta liczba systemów informatycznych, co skutkuje coraz większym uzależnieniem od nich działalności biznesowej przedsiębiorstw.

Administratorzy kontrolują systemy IT, a kto kontroluje administratorów?

Praca w sieci z serwerem

INFRA. System Connector. Opis systemu

Veronica. Wizyjny system monitorowania obiektów budowlanych. Instrukcja oprogramowania

7. zainstalowane oprogramowanie zarządzane stacje robocze

BMC Control-M Wybrane przypadki zastosowania

Część I Tworzenie baz danych SQL Server na potrzeby przechowywania danych

Serock warsztaty epuap 28 październik 2009 r. Sławomir Chyliński Andrzej Nowicki WOI-TBD Szczecin

WDROŻENIE RSA NETWITNESS SUITE W BRANŻY E-COMMERCE

Szczegółowy opis przedmiotu umowy. 1. Środowisko SharePoint UWMD (wewnętrzne) składa się z następujących grup serwerów:

Plan. Wprowadzenie. Co to jest APEX? Wprowadzenie. Administracja obszarem roboczym

Migracja XL Business Intelligence do wersji

X-Sign. Podręcznik użytkownika

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server

Wykaz zmian w programie SysLoger

Dokumentacja programu. Terminarz zadań. Serwis systemu Windows. Zielona Góra

Client Management Solutions i Mobile Printing Solutions

Insider Threat Management - czyli jak skutecznie zapobiegać zagrożeniom wewnętrznym?

Program szkolenia: Administracja SQL Server

ZAŁACZNIK NR 1D KARTA USŁUGI Utrzymanie Systemu Poczty Elektronicznej (USPE)

T: Wbudowane i predefiniowane domenowe grupy lokalne i globalne.

Win Admin Replikator Instrukcja Obsługi

SYSTEM VILM ZARZĄDZANIE CYKLEM ŻYCIA ŚRODOWISK WIRTUALNYCH. tel: +48 (032)

Win Admin Monitor Instrukcja Obsługi

Szczegółowy opis przedmiotu zamówienia

System zarządzania i monitoringu

Zakres wymagań dotyczących Dokumentacji Systemu

Migracja Business Intelligence do wersji

AppSense - wirtualizacja użytkownika

Migracja Business Intelligence do wersji

Client Management Solutions i Mobile Printing Solutions

Wykorzystanie pamięci USB jako serwera Samba

SYSTEMY OCHRONY ŚRODOWISKA. Pakiet ASEMIS

risk AB ZARZĄDZANIE RYZYKIEM OPERACYJNYM Dodatkowe możliwości programu: RYZYKO BRAKU ZGODNOŚCI PRALNIA

SIŁA PROSTOTY. Business Suite

SYMANTEC TO SYMANTEC TO KOPIE ZAPASOWE. ODZYSKIWANIE DANYCH.

William R. Stanek. Vademecum Administratora 2012 R2. Windows Server. Podstawy i konfiguracja. Przekład: Leszek Biolik

Wykaz zmian w programie SysLoger

Wstęp do Microsoft Forefront. Jakub Januszewski Technology Adviser - Security Microsoft

ACTINA Data Manager/ IT MANAGER Systemowe zarządzanie infrastrukturą IT. Szymon Dudek Tomasz Fiałkowski

ABC systemu Windows 2016 PL / Danuta Mendrala, Marcin Szeliga. Gliwice, cop Spis treści

SYSTEM WSMS ZARZĄDZANIE STANDARDEM STACJI ROBOCZYCH. tel: +48 (032)

Asix Konfiguracja systemu Asix dla usługi Pulpitu zdalnego Remote Desktop Services, (Terminal Services)

Zarządzanie tożsamością i uprawnieniami

ZAŁĄCZNIK NR 3 OPIS PRZEDMIOTU ZAMÓWIENIA DOTYCZĄCY WDROŻENIA PLATFORMY ZAKUPOWEJ

Program szkolenia KURS SPD i PD Administrator szkolnej pracowni internetowej Kurs MD1 Kurs MD2 Kurs MD3 (dla szkół ponadgimnazjalnych)

ISTOTNE POSTANOWIENIA UMOWY

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Migracja Business Intelligence do wersji

SKRÓCONY OPIS systemu lojalnościowego

Migracja Business Intelligence do wersji 11.0

NetIQ Change Guardian: monitorowanie bezpieczeństwa IT. Dariusz Leonarski Starszy konsultant

XXIII Forum Teleinformatyki

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Win Admin Replikator Instrukcja Obsługi

PROCEDURY ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

R o g e r A c c e s s C o n t r o l S y s t e m 5

SysLoger. Instrukcja obsługi. maj 2018 dla wersji aplikacji (wersja dokumentu 2.5)

Nowoczesne technologie zarządzania zasobami IT a problemy bezpieczeństwa informacji. Szymon Dudek

Migracja Comarch ERP Altum Business Intelligence do wersji

Instrukcja instalacji i obsługi programu Szpieg 3

Quest Software, now a part of Dell

EXSO-CORE - specyfikacja

VMware View: Desktop Fast Track [v5.1] Dni: 5. Opis: Adresaci szkolenia

Marek Pyka,PhD. Paulina Januszkiewicz

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Kompetencje Asseco Data Systems w obszarze IT Security

Serwery LDAP w środowisku produktów w Oracle

Wykaz zmian w programie SysLoger

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

KS-ZSA. Centralne zarządzanie znacznikami zamawiania towaru (BlackList)

Migracja Comarch ERP Altum Business Intelligence do wersji 2019

DOTYCZY KLIENTA PKO BIURO OBSŁUGI LEASING ZAPYTANIE O INFORMACJĘ OTYCZY: DOSTAWY PLATFORMY ELEKTRONICZNE DLA PKO

Egzamin : administrowanie systemem Windows Server 2012 R2 / Charlie Russel. Warszawa, Spis treści

Spis treści. 1. Konfiguracja systemu ewuś Logowanie się do systemu ewuś Korzystanie z systemu ewuś Weryfikacja cykliczna...

Client Management Solutions i Universal Printing Solutions

Tomasz Zawicki CISSP Passus SA

PR P E R Z E E Z N E T N A T C A JA C JA KO K RP R O P RA R C A Y C JN Y A JN ACTINA DATA MANAGER

POLITYKA E-BEZPIECZEŃSTWA

AE/ZP-27-16/14. Oprogramowanie do wykonywania kopii zapasowych oraz zarządzania maszynami wirtualnymi

Xopero Backup Appliance

Instrukcja instalacji Control Expert 3.0

Świadczenie usługi hurtowej wysyłki wiadomości SMS dla Urzędu Miasta Torunia w latach

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Asseco IAP Integrated Analytical Platform. asseco.pl

Wprowadzenie do Active Directory. Udostępnianie katalogów

Monitoring procesów z wykorzystaniem systemu ADONIS. Krok po kroku

Zdobywanie fortecy bez wyważania drzwi.

DOKUMENT INFORMACYJNY COMARCH BUSINESS INTELLIGENCE:

Symantec Backup Exec System Recovery 7.0 Server Edition. Odtwarzanie systemu Windows w ciągu najwyżej kilkudziesięciu minut nie godzin czy dni

Transkrypt:

Problem tożsamości uprzywilejowanych Każdorazowe zalogowanie w sieci to konieczność wprowadzenia hasła, które aby zapewniało odpowiedni poziom bezpieczeństwa powinno spełniać pewne wymagania, np. co do: długości, składni, powtarzalności, częstotliwości zmian. Systemy IAM (Identity Access Management) pilnują, aby reguły wymuszone polityką bezpieczeństwa były stosowane. Wszelkie działania podejmowane w stosunku do takich kont i ich haseł są logowane, co pozwala utrzymać rozliczalność. Tożsamość uprzywilejowana Tak tradycyjnie rozumiane zarządzanie tożsamością w większości przypadków związane jest z tożsamością użytkownika, metadanymi (np. polityką haseł, uprawnieniami powiązanymi z tożsamością użytkownika), a przede wszystkim z kontem dostępowym. Konta takie nie są jedynymi, jakie występują w organizacjach. Administratorzy, kontraktorzy i serwisanci, którzy utrzymują systemy, aplikacje czy urządzenia sieciowe, korzystają ze specjalnych kont i haseł umożliwiających wykonywanie czynności wymagających wysokiego poziomu uprawnień. Te specjalne konta, tzw. tożsamości uprzywilejowane, pozwalają na swobodny dostęp do oraz ich modyfikację. Z reguły nie są powiązane z osobą, a ze sprzętem, systemem czy aplikacją. Osoba korzystająca z tych kont otrzymuje uprawnienia super-użytkownika (np. root czy Administrator), który uzyskuje nielimitowany dostęp np. do: systemów operacyjnych, usług katalogowych, aplikacji krytycznych oraz powiązanych z nimi baz, urządzeń sieciowych, rozwiązań archiwizacji i składowania, środowisk zwirtualizowanych. Poszczególne konta uprzywilejowane wykorzystywane są nie tylko i wyłącznie przez pojedyncze osoby, ale równie często np. przez: usługi systemowe (usługi, harmonogramy zadań), aplikacje biznesowe (w tym ich elementy), obiekty COM+/DCOM. Zasoby te, wykorzystując konta uprzywilejowane, przechowują także informacje o hasłach.

Administratorzy systemowi Integratorzy Kadra zarządzająca IT Kadra zarządzająca IT Ryzyko związane z tożsamością uprzywilejowaną W przeciwieństwie do standardowych kont użytkowników konta uprzywilejowane z reguły nie są objęte spójnym mechanizmem zarządzania. To może oznaczać: brak pełnego obrazu wszystkich kont uprzywilejowanych w organizacji, brak informacji o osobach posiadających dostęp do kont uprzywilejowanych, brak informacji na temat tego kto, kiedy i co zmienił podczas korzystania z konta uprzywilejowanego, brak centralnego mechanizmu wymuszania polityki bezpieczeństwa kont uprzywilejowanych, brak kompletnej listy haseł kont uprzywilejowanych przechowywanych przez aplikacje, a co za tym idzie wiedzy na temat osób (personelu wewnętrznego i zewnętrznego), które znają te hasła. Podsumowanie typowych tożsamości uprzywilejowanych wykorzystywanych w organizacji oraz działań, które mogą być wykonywane anonimowo przy ich udziale, przedstawia poniższa tabela: Jaka rola Jaki zasób Jakie konta Administratorzy aplikacji Deweloperzy Webmasterzy Administratorzy baz Deweloperzy Administratorzy aplikacji Integratorzy Komputery i serwery Katalogi Warstwa aplikacyjna Bazy Administrator Super user Administrator Admin Odczyt, kopiowanie, zmiana Pliki konfiguracyjne ASP.Net Uruchom jako Połączenia do bazy SA SYS SYSDBA Jakie anonimowe działania Odczyt, kopiowanie, zmiana Zmiana ustawień bezpieczeństwa Tworzenie i usuwanie kont Tworzenie i usuwanie udziałów sieciowych Uruchamianie programów Odczyt, kopiowanie, zmiana użytkowników Dodawanie i usuwanie kont użytkowników Zmiana uprawnień kont użytkowników Aktywowanie dostępu zdalnego Modyfikacja aplikacji back-end Modyfikacja serwisów dostępnych publicznie Odczyt i zmiana rekordów w bazie Dostęp do transakcyjnych Odczyt i zmiana rekordów w bazie Dostęp do transakcyjnych Zmiana konfiguracji i schemy bazy Modyfikacje (dodawanie) procedur składowanych Cele biznesowe a tożsamość uprzywilejowana Głównym czynnikiem motywującym do zajęcia się problemem tożsamości uprzywilejowanej jest negatywna opinia audytorów i wymóg wprowadzenia poprawek w GMC (Governance, Risk Management, Compliance). Warto jednak zwrócić uwagę, że źródłem motywacji powinny być przede wszystkim: chęć obniżenia poziomu ryzyka związanego z tożsamością uprzywilejowaną, objęcie kontrolą działań o szczególnym wpływie na funkcjonowanie systemów krytycznych w szczególności tych delegowanych na zewnątrz, obniżenie kosztów związanych z każdorazowymi przygotowaniami przed audytem, wdrożenie powtarzalnego i dobrze udokumentowanego procesu zarządzania tożsamością uprzywilejowaną, który zminimalizuje nakład pracy, zautomatyzowanie procesu zarządzania tożsamością uprzywilejowaną, który skróci czas potrzebny na codzienne czynności administracyjne. Przykładowe wymogi regulatorów związane z procesem zarządzania tożsamością uprzywilejowaną: udokumentowanie wszystkich kont uprzywilejowanych oraz miejsc ich występowania (urządzenia, aplikacje, usługi itp.), posiadanie kompletnej listy wszystkich osób, które mają dostęp do kont uprzywilejowanych oraz zakresu tego dostępu, dostarczenie informacji historycznych odnoszących się do koncepcji least privilege poprzez wskazanie, kto wnioskował o dostęp, kiedy i w jakim celu, posiadanie weryfikowalnego procesu natychmiastowej zmiany haseł kont uprzywilejowanych po każdorazowej sesji dostępowej, posiadanie mechanizmu powiadamiania o nietypowych działaniach związanych z kontami uprzywilejowanymi, posiadanie mechanizmów monitorowania wizualnego działań podejmowanych z wykorzystaniem kont uprzywilejowanych. Droga do zarządzania tożsamością uprzywilejowaną Podstawowym kryterium sukcesu wdrożenia procesu zarządzania tożsamością jest zorganizowanie go jako procesu ciągłego i cyklicznego. Proces ten można zobrazować poniższym diagramem: Informacja Administratorzy sieci Urządzenia sieciowe i rozwiązania bezpieczeństwa Enable Admin Zmiana ustawień konfiguracji Zmiana polityk bezpieczeństwa i QoS Przyznawanie lub odbieranie dostępu sieciowego Wyłączanie monitoringu Monitoring Audyt Raportowanie Delegacja Administratorzy systemowi Operatorzy Administratorzy sieci Infrastruktura backupowa i serwisowa Admnistrator Super user Przeglądanie i odczyt zarchiwizowanych Dostęp do transakcyjnych Usuwanie z archiwów i kopii zapasowych Zmiana ustawień Wymuszanie

Identyfikacja identyfikacja wszystkich zasobów, ich kont uprzywilejowanych i wzajemnych zależności na wszelkich platformach (sprzętowych, systemowych, aplikacyjnych). Delegowanie delegowanie praw dostępu wskazanym osobom z wykorzystaniem zasady least privilege, przy pełnym dokumentowaniu celu uzyskania dostępu, jego zakresu i czasu trwania. Wymuszanie wymuszanie wymogów polityki względem haseł (złożoność, powtarzalność, cykl zmiany) i ich synchronizacja bez wprowadzania zakłóceń w środowisku. Monitoring - utrzymanie stałej dokumentacji (także wizualnej) procesu zarządczego tak, aby informacje o zgłaszającym, celu, czasie oraz działaniach były dostępne do niezwłocznej weryfikacji. Celem monitoringu jest także wychwytywanie naruszeń polityki dostępowej oraz niepokojących zachowań (anomalii). Odpowiedź Compfort Meridian Skutecznym rozwiązaniem powyższych problemów jest wdrożenie kompleksowego rozwiązania zarządzania tożsamością uprzywilejowaną (ang. Privileged Identity Management PIM). bazach, systemach operacyjnych, usługach webowych, aplikacjach biznesowych, stacjach roboczych, urządzeniach sieciowych, rozwiązaniach bezpieczeństwa, systemach archiwizacji i składowania. Przestrzeganie polityki bezpieczeństwa w odniesieniu do kont uprzywilejowanych, np. poprzez: automatyczną zmianę haseł dla kont uprzywilejowanych, automatyczną propagacja zmiany haseł wszędzie tam, gdzie są one wymagane, aby uniknąć blokady kont czy zatrzymania usług, pilnowanie jakości haseł, wymuszanie haseł unikatowych i tymczasowych. Integracje z aktualną infrastrukturą i aplikacjami, np. z: W naszej opinii rozwiązanie takie powinno spełniać poniższe postulaty: systemami SIEM (np. ArcSight, Symantec Security Information Manager), centralne zarządzanie kontami uprzywilejowanymi i ich hasłami, systemami zarządzania zgłoszeniami (np. BMC Remedy), szybka i skuteczna dystrybucja oraz synchronizacja dostępowych, systemami IDM, bezpieczna i sprawna reglamentacja dostępu do kont uprzywilejowanych, systemami uwierzytelniania (np. RSA), systemami Microsoft SCOM/ SCCM/SCSM. Zarządzanie dostępem do kont uprzywilejowanych: integracje z systemami provisioningu, delegacja uprawnień oparta na rolach z ograniczeniem czasu i zakresu, nagrywanie oraz monitorowanie sesji dostępowych, audyt wykorzystania kont ze względu na logowanie, raportowanie oraz audyt podejmowanych czynności, - cel elementy wykrywania anomalii w ramach środowiska PIM, - czas możliwość łatwej integracji z istniejącymi elementami infrastruktury w celu zminimalizowania kosztów implementacji. - osobę Do realizacji wyżej postawionych wymagań CompFort Meridian proponuje wykorzystanie platformy Lieberman ERPM (Enterprise Random Password Manager) wraz z potrzebnymi modułami, np.: nagrywania sesji (moduł ObserveIT), integracji z systemem Help Desk, integracji z systemami klasy SIEM. Lieberman Enterprise Random Password Manager Rozwiązanie Lieberman ERPM pozwala na kompleksowe zarządzanie tożsamością uprzywilejowaną w organizacji, a dzięki modularnej i otwartej architekturze pozwala na integrację z istniejącą infrastrukturą oraz narzędziami firm trzecich. Podstawowe cechy rozwiązania: Automatyczny proces ciągłego wykrywania oraz katalogowania tożsamości uprzywilejowanych obecnych w szerokiej gamie systemów, np.: łatwe do przygotowania alerty i powiadomienia. Integracja z systemem Symantec SIM Zaopatrywanie systemu SIEM w zdarzenia pochodzące z ERPM oraz możliwość monitorowania i reagowania na nie. Wszelkie zdarzenia związane z operacjami na tożsamości uprzywilejowanej przekazywane są do systemu klasy SIEM, gdzie prowadzone jest ich filtrowanie, normalizacja, agregacja oraz korelacja. Dzięki temu zespół reagowania na incydenty otrzymuje możliwość powiązania zdarzeń pochodzących z ERPM z innymi zdarzeniami bezpieczeństwa, np. pochodzącymi z systemów zdalnego dostępu (VPN), bezpieczeństwa fizycznego.

Integracja z systemem BMC (Remedy) BMC Remedy staje się głównym punktem kontroli dla bezpieczeństwa i zgodności haseł uprzywilejowanych. Dzięki integracji autoryzowany personel uzyskuje dostęp do systemów/aplikacji wrażliwych na określony czas oraz w określonym celu w powiązaniu z konkretnym incydentem założonym w Remedy. Wszelkie transakcje będące częścią dostępu do systemów/aplikacji stają się elementem zgłoszenia. Sprawdzane są następujące elementy: czy istnieje zgłoszenie w Remedy? czy zgłoszenie dotyczy systemu, do którego będzie realizowany dostęp? czy zgłoszenie ma status otwartego? czy zgłaszający ma prawo uzyskania dostępu do systemu/aplikacji? ObserveIT W wielu przypadkach wymagania, które stawiane są systemowi klasy PIM wykraczają poza sam proces zarządzania tożsamością uprzywilejowaną. Przykładem może być konieczność nagrania sesji zdalnej oraz zarejestrowania aktywności użytkowników podczas jej trwania. Z pomocą w tej sytuacji przychodzi rozwiązanie ObserveIT. Umożliwia ono rejestrowanie/odtwarzanie wszystkich czynności wykonywanych przez użytkowników podczas sesji zdalnych, np. Remote Desktop, Citrix, VDI, VMware View itp. Sesja taka może być również obserwowana w czasie rzeczywistym, w trakcie jej trwania lub odtwarzana w innym czasie. Podstawowe cechy rozwiązania: Identyfikacja sesji zdalnej oraz powiązanie jej z konkretnym użytkownikiem Optymalny zapis wizualny aktywności użytkowników Godzinne nagranie to ok. 10 MB Wsparcie szeregu metod zdalnego dostępu, np. Terminal Services, Citrix, Remote Desktop, PC-Anywhere, VMware, VNC, Dameware Szybki dostęp do krytycznych informacji Dotarcie do poszukiwanej informacji/zdarzenia nie wymaga odtwarzania całości nagrania - wraz z nagraniem zachowanych jest szereg meta, np. tytuł okna aplikacji, nazwy aplikacji, wykorzystywane pliki, wpisywane polecenia itp. Następnie dzięki wbudowanej wyszukiwarce możliwe jest odszukanie pożądanej informacji. Dostęp do szczegółowych logów i raportów audytowych zawierających informacje o wykonywanych operacjach przez wskazanych użytkowników na wskazanych systemach. Przykładowe zdarzenia, które mogą znaleźć się w raporcie: edycja plików systemowych, zmiany w systemie operacyjnym, wykonanie zapytania SQL, pobranie pliku z internetu, przesłanie pliku na serwer FTP, zmiana w kodzie źródłowym, wysłanie poczty, edycja arkusza Excel, logowanie do aplikacji, dostęp do zasobów współdzielonych, zmiana hasła, dostęp do stron klientów w ramach systemu CRM/ERP. Dzięki integracji z Lieberman ERPM możliwe jest powiązanie monitoringu sesji z reglamentacją dostępu do systemów/aplikacji. Rozpoczęcie nagrywania sesji następuje w momencie przekazania użytkownikowi dostępu do tożsamości uprzywilejowanej i trwa do momentu upłynięcia czasu, który sesji został przydzielony.

Przykładowa architektura rozwiązania www.compfort.pl bezpieczenstwo@compfort.pl CompFort Meridian Polska Sp. z o.o., Al. Jerozolimskie 65/79, 00-697 Warszawa, tel. 22 630 26 60, faks 22 630 26 69 Wszelkie prawa autorskie do materiałów zawartych w broszurze należą do CompFort Meridian Polska Sp. z o.o. Wszystkie znaki towarowe zostały użyte tylko w celach informacyjnych i należą do ich właścicieli. Treść broszury i wszystkie jej elementy podlegają ochronie przewidzianej przez polskie oraz międzynarodowe prawo, w tym w szczególności przepisom o prawie autorskim i prawach pokrewnych oraz o zwalczaniu nieuczciwej konkurencji.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres