Hvis du er systemadministrator, har du hørt om risikoen forbundet med mange kontoer med privilegert tilgang til kritiske IT-ressurser. Les om de beste løsningene for å holde dem under kontroll.
Situasjonen med privilegert tilgang kan raskt komme ut av kontroll når antall brukere vokser, sammen med antall applikasjoner, enheter og til og med infrastrukturtyper.
Du må bruke en privilegert tilgangsadministrasjonsløsning for å unngå en slik problematisk situasjon. La oss starte med å svare på det mest åpenbare spørsmålet:
Innholdsfortegnelse
Hva er Privileged Access Management?
Privileged Access Management (PAM) er et sett med cybersikkerhetsstrategier og -teknologier for å utøve kontroll over forhøyet («privilegert») tilgang og tillatelser for brukere, kontoer, prosesser og systemer i et IT-miljø.
Ved å definere riktig nivå av privilegerte tilgangskontroller, hjelper PAM organisasjoner med å redusere angrepsflatene sine og forhindre (eller i det minste redusere) skade fra eksterne angrep, samt interne forsøk på sabotasje eller uaktsomhet.
Selv om rettighetsbehandling omfatter mange strategier, er et sentralt mål å bruke minst rettigheter, definert som begrensning av tilgangsrettigheter og tillatelser til det absolutte minimum som er nødvendig for at brukere, kontoer, applikasjoner og enheter skal utføre sine rutinemessige autoriserte aktiviteter.
Mange analytikere og teknologer anser PAM som et av de mest kritiske sikkerhetsinitiativene for å redusere cyberrisiko og oppnå høy avkastning på sikkerhetsinvesteringer.
Hvordan fungerer Privileged Access Management (PAM)?
Privilegert tilgangsadministrasjon fungerer etter prinsippet om minste privilegium, slik at selv de mest privilegerte brukerne bare kan få tilgang til det de trenger. Administrasjonsverktøy for privilegert tilgang er vanligvis deler av bredere PAM-løsninger designet for å møte ulike utfordringer knyttet til overvåking, sikring og administrasjon av privilegerte kontoer.
En løsning designet for privilegert tilgangsadministrasjon må gi muligheten til å overvåke og logge all privilegert tilgangsaktivitet og deretter rapportere det til en administrator. Administratoren kan holde styr på privilegert tilgang og oppdage i hvilke situasjoner den kan bli misbrukt.
Løsningen må gjøre det enkelt for systemadministratorer å identifisere uregelmessigheter og potensielle trusler for å iverksette tiltak umiddelbart og begrense skaden. De essensielle egenskapene til en privilegert tilgangsadministrasjonsløsning bør inkludere:
- Identifiser, administrer og overvåk privilegerte kontoer på alle systemer og applikasjoner i et nettverk.
- Kontroller tilgangen til privilegerte kontoer, inkludert tilgang som kan deles eller være tilgjengelig i nødssituasjoner.
- Opprett tilfeldig og sikker legitimasjon for privilegerte kontoer, inkludert passord, brukernavn og nøkler.
- Gi multifaktorautentisering.
- Begrens og kontroller privilegerte kommandoer, oppgaver og aktiviteter.
- Administrer deling av legitimasjon mellom tjenester for å begrense eksponeringen.
PAM vs. IAM
Privileged Access Management (PAM) og Identity Access Management (IAM) er vanlige måter å opprettholde høye sikkerhetsnivåer og gi brukere tilgang til IT-ressurser uavhengig av plassering og enhet.
Det er viktig for forretnings- og IT-ansatte å forstå forskjellen mellom de to tilnærmingene og deres rolle i å bruke dem for å sikre tilgang til privat og sensitiv informasjon.
IAM er et mer generelt begrep. Den brukes først og fremst til å identifisere og autorisere brukere i hele organisasjonen. På den annen side er PAM en undergruppe av IAM som fokuserer på privilegerte brukere, dvs. de som trenger tillatelse for å få tilgang til de mest sensitive dataene.
IAM refererer til å identifisere, autentisere og autorisere brukerprofiler som bruker unike digitale identiteter. IAM-løsninger gir bedrifter en kombinasjon av funksjoner som er kompatible med en null-tillit-tilnærming til cybersikkerhet, som krever at brukere bekrefter identiteten sin når de ber om tilgang til en server, applikasjon, tjeneste eller annen IT-innsats.
Følgende oversikt over de ledende PAM-løsningene som er tilgjengelige, både som skybaserte og lokalt installerte on-prem-systemer.
SterkDM
SterkDM gir en infrastrukturtilgangsplattform som eliminerer endepunktløsninger og dekker alle protokoller. Det er en proxy som kombinerer autentiserings-, autorisasjons-, nettverks- og observerbarhetsmetoder i en enkelt plattform.
I stedet for å komplisere tilgang, øker StrongDMs tillatelsestildelingsmekanismer tilgang ved å umiddelbart gi og tilbakekalle granulær, minst privilegert tilgang ved å bruke rollebasert tilgangskontroll (RBAC), attributtbasert tilgangskontroll (ABAC) eller endepunktsgodkjenninger for alle ressurser.
Ansattes onboarding og off-boarding utføres med et enkelt klikk, noe som tillater midlertidig godkjenning av forhøyede privilegier for sensitive operasjoner med Slack, Microsoft Teams og PagerDuty.
StrongDM lar deg koble hver sluttbruker eller tjeneste til de nøyaktige ressursene de trenger, uavhengig av hvor de befinner seg. I tillegg erstatter den VPN-tilgang og bastion-verter med null-tillit-nettverk.
StrongDM har en rekke automatiseringsalternativer, inkludert integrering av tilgangsarbeidsflyter i din eksisterende distribusjonspipeline, strømming av logger inn i SIEM-en din og innsamling av bevis for ulike sertifiseringsrevisjoner, inkludert SOC 2, SOX, ISO 27001 og HIPAA.
ManageEngine PAM360
PAM360 er en helhetlig løsning for bedrifter som ønsker å innlemme PAM i sine sikkerhetsoperasjoner. Med PAM360s kontekstuelle integrasjonsevner kan du lage en sentral konsoll der ulike deler av IT-styringssystemet er sammenkoblet for en mer dyptgripende korrelasjon av privilegert tilgangsdata og overordnede nettverksdata, noe som muliggjør meningsfulle slutninger og raskere utbedring.
PAM360 sikrer at ingen privilegert tilgangssti til dine virksomhetskritiske eiendeler blir uadministrert, ukjent eller uovervåket. For å gjøre dette mulig, tilbyr den et legitimasjonshvelv der du kan lagre privilegerte kontoer. Dette hvelvet tilbyr sentralisert administrasjon, rollebaserte tilgangstillatelser og AES-256-kryptering.
Med just-in-time kontroller for domenekontoer, gir PAM360 forhøyede rettigheter kun når brukere trenger dem. Etter en viss periode trekkes tillatelser automatisk tilbake, og passord tilbakestilles.
I tillegg til å administrere privilegert tilgang, gjør PAM360 det enkelt for privilegerte brukere å koble til eksterne verter med et enkelt klikk, uten nettleserplugin-moduler eller endepunktagenter. Denne funksjonaliteten gir en tunnel av tilkoblinger gjennom krypterte, passordfrie gatewayer som gir maksimal beskyttelse.
Teleporter
Teleporter strategi er å konsolidere alle aspekter av infrastrukturtilgang på én enkelt plattform for programvareingeniører og applikasjonene de utvikler. Denne enhetlige plattformen tar sikte på å redusere angrepsoverflaten og driftskostnadene samtidig som den forbedrer produktiviteten og sikrer overholdelse av standarder.
Teleports Access Plane er en åpen kildekode-løsning som erstatter delt legitimasjon, VPN-er og eldre teknologier for privilegert tilgangsadministrasjon. Den ble spesielt designet for å gi nødvendig tilgang til infrastrukturen uten å hindre arbeidet eller redusere produktiviteten til IT-personalet.
Sikkerhetseksperter og ingeniører kan få tilgang til Linux- og Windows-servere, Kubernetes-klynger, databaser og DevOps-applikasjoner som CI/CD, versjonskontroll og overvåkingsdashboards gjennom ett enkelt verktøy.
Teleport Server Access bruker blant annet åpne standarder som X.509-sertifikater, SAML, HTTPS og OpenID Connect. Skaperne fokuserte på enkel installasjon og bruk, da disse er pilarene i en god brukeropplevelse og en solid sikkerhetsstrategi. Derfor består den av bare to binærfiler: en klient som lar brukere logge på for å få kortvarige sertifikater, og Teleport-agenten, installert på en hvilken som helst Kubernetes-server eller -klynge med en enkelt kommando.
Okta
Okta er et selskap dedikert til autentiserings-, katalog- og enkeltpåloggingsløsninger. Den leverer også PAM-løsninger gjennom partnere, som integreres med produktene for å gi sentralisert identitet, tilpassbare og adaptive tilgangspolicyer, sanntidsrapportering av hendelser og reduserte angrepsflater.
Gjennom Oktas integrerte løsninger kan bedrifter automatisk tilrettelegge/deprovisionere privilegerte brukere og administrative kontoer samtidig som de gir direkte tilgang til kritiske eiendeler. IT-administratorer kan oppdage unormal aktivitet gjennom integrasjon med sikkerhetsanalyseløsninger, varsle og iverksette tiltak for å forhindre risiko.
Grense
HashiCorp tilbyr sine Grense løsning for å tilby identitetsbasert tilgangsadministrasjon for dynamiske infrastrukturer. Det gir også enkel og sikker sesjonsadministrasjon og ekstern tilgang til alle pålitelige identitetsbaserte systemer.
Ved å integrere HashiCorps Vault-løsning er det mulig å sikre, lagre og strukturelt kontrollere tilgang til tokens, passord, sertifikater og krypteringsnøkler for å beskytte hemmeligheter og andre sensitive data via et brukergrensesnitt, en CLI-sesjon eller en HTTP API.
Med Boundary er det mulig å få tilgang til kritiske verter og systemer gjennom flere leverandører separat, uten behov for å administrere individuell legitimasjon for hvert system. Den kan integreres med identitetsleverandører, og eliminerer behovet for å eksponere infrastrukturen for publikum.
Boundary er en plattformagnostisk åpen kildekode-løsning. Ved å være en del av HashiCorp-porteføljen, gir det naturligvis muligheten til å integreres enkelt i sikkerhetsarbeidsflyter, noe som gjør det enkelt å distribuere på tvers av de fleste offentlige skyplattformer. Den nødvendige koden er allerede på GitHub og klar til å brukes.
Delinea
Delinea sin privilegerte tilgangsadministrasjonsløsninger tar sikte på å forenkle installasjonen og bruken av verktøyet så mye som mulig. Selskapet gjør sine løsninger intuitive, og letter definisjonen av tilgangsgrenser. Enten i skyen eller lokale miljøer, er Delineas PAM-løsninger enkle å distribuere, konfigurere og administrere uten å måtte ofre funksjonalitet.
Delinea tilbyr en skybasert løsning som tillater distribusjon på hundretusenvis av maskiner. Denne løsningen består av en Privilege Manager for arbeidsstasjoner og Cloud Suite for servere.
Privilege Manager lar den oppdage maskiner, kontoer og applikasjoner med administratorrettigheter, enten det er på arbeidsstasjoner eller servere som er vert i skyen. Den opererer til og med på maskiner som tilhører forskjellige domener. Ved å definere regler kan den automatisk bruke retningslinjer for å administrere privilegier, permanent definere lokal gruppemedlemskap og automatisk rotere ikke-menneskelig privilegert legitimasjon.
En policyveiviser lar deg heve, avslå og begrense programmer med bare noen få klikk. Til slutt gir Delineas rapporteringsverktøy innsiktsfull informasjon om applikasjoner som er blokkert av skadelig programvare og den minst privilegerte overholdelse. Den tilbyr også Privileged Behavior Analytics-integrasjon med Privilege Manager Cloud.
BeyondTrust
BeyondTrust Privilege Management gjør det enkelt å heve privilegier til kjente og pålitelige applikasjoner som krever dem ved å kontrollere applikasjonsbruk og logge og rapportere privilegerte aktiviteter. Den gjør dette ved å bruke sikkerhetsverktøy som allerede er på plass i infrastrukturen din.
Med Privilege Manager kan du gi brukere de nøyaktige rettighetene de trenger for å fullføre oppgavene sine uten risiko for overprivilegering. Du kan også definere retningslinjer og rettighetsfordelinger, justere og bestemme tilgangsnivået som er tilgjengelig i hele organisasjonen. På denne måten vil du unngå malware-angrep på grunn av overskytende privilegier.
Du kan bruke finmaskede retningslinjer for å heve applikasjonsprivilegier for standard Windows- eller Mac-brukere, og gi tilstrekkelig tilgang til å fullføre hver oppgave. BeyondTrust Privilege Manager integreres med pålitelige helpdesk-applikasjoner, sårbarhetsadministrasjonsskannere og SIEM-verktøy gjennom koblinger innebygd i verktøyet.
BeyondTrusts endepunktsikkerhetsanalyse lar deg korrelere brukeratferd med sikkerhetsintelligens. Den gir deg også tilgang til et komplett revisjonsspor for all brukeraktivitet, slik at du kan fremskynde rettsmedisinske analyser og forenkle bedriftens overholdelse.
Én identitet
Én identitet«s Privileged Access Management (PAM)-løsninger reduserer sikkerhetsrisikoer og muliggjør bedriftsoverholdelse. Produktet tilbys i SaaS eller lokal modus. Begge variantene lar deg sikre, kontrollere, overvåke, analysere og styre privilegert tilgang på tvers av flere miljøer og plattformer.
I tillegg gir den fleksibiliteten til å gi fulle privilegier til brukere og applikasjoner kun når det er nødvendig, ved å bruke en null trust, minst privilege-operativmodell i alle andre situasjoner.
CyberArk
Med CyberArk Privileged Access Manager, du kan automatisk oppdage og innlemme privilegert legitimasjon og hemmeligheter brukt av menneskelige eller ikke-menneskelige enheter. Gjennom sentralisert policyadministrasjon lar CyberArks løsning systemadministratorer definere retningslinjer for passordrotasjon, passordkompleksitet, tildeling av hvelv per bruker og mer.
Løsningen kan distribueres som en tjeneste (SaaS-modus), eller du kan installere den på dine servere (selvhostet).
Sentrifiser
De Sentrifiser Privilege Threat Analytics-tjenesten oppdager misbruk av privilegert tilgang ved å legge til et lag med sikkerhet til skyen og lokale infrastrukturer. Den gjør dette ved å bruke avansert atferdsanalyse og adaptiv multifaktorautentisering. Med Centrifys verktøy er det mulig å få nesten sanntidsvarsler om unormal oppførsel til alle brukerne i et nettverk.
Centrify Vault Suite lar deg tildele privilegert tilgang til delte kontoer og legitimasjon, holde passord og programhemmeligheter under kontroll og sikre eksterne økter. På sin side, med Centrify Cloud Suite, kan organisasjonen din, uavhengig av størrelse, globalt styre privilegert tilgang gjennom sentralt administrerte policyer som håndheves dynamisk på serveren.
Konklusjon
Misbruk av privilegier er en av de største cybersikkerhetstruslene i dag, som ofte resulterer i kostbare tap og til og med forkrøplede virksomheter. Det er også en av de mest populære angrepsvektorene blant nettkriminelle fordi det, når det utføres vellykket, gir fri tilgang til et selskaps innerste, ofte uten å slå noen alarm før skaden er gjort. Å bruke en passende løsning for rettighetsadgangsadministrasjon er et must når risikoen for misbruk av kontoprivilegier blir vanskelig å kontrollere.