Clico 2020

78_CyberArk-Expands.jpg
Forrás: ITB
Rend és átláthatóság kell

Ön tudja, hogy ki és mivel foglalatoskodik a védett belső rendszerein?

Napjainkban egyre több ember dolgozik távolról a céges kritikus rendszereken, akár kényszerből egy rendkívüli helyzet, például világjárvány miatt, akár kényelmi szempontból. A cégen belüli dolgozókon kívül a szakemberhiány, illetve a különböző gyártói rendszerek támogatói hozzáférése miatt alkalmanként előttünk teljesen ismeretlenek számára is hozzáférést kell biztosítanunk üzletileg és kiberbizonságilag kritikus rendszereinkhez, hogy a szükséges karbantartást el tudják végezni rajtuk.

A legtöbb cég által használt, hagyományos távoli hozzáférésre bevezetett megoldás egy VPN- (Virtual Private Network) kliens telepítése a végpontokra, és bizonyos hálózatokhoz és rendszerekhez való hozzáférés engedélyezése a dolgozóknak, illetve külsős támogatói csapatoknak ezen keresztül. Ez elég sok kérdést és problémát vet fel üzemeltetési és biztonsági szempontból. Például nem látjuk, és nem tudjuk korlátozni se, hogy az engedélyezett szervereken mit csinálnak pontosan a felhasználók, hova kattintanak, miket másolnak le.

Ilyenkor jobb esetben a rendszer saját logjaira tudunk hagyatkozni, de ezeket viszonylag könnyű módosítani vagy megsemmisíteni nagyobb fokú hozzáértés nélkül is. Ezen felül legtöbbször nem tudjuk egyszerűen és dinamikusan kezelni a hozzáféréseket, ezért sokszor már nem használt felhasználói fiókok is rendelkeznek hozzáféréssel, így növelve egy kiszivárgott jelszó felhasználásának az esélyét.

Az Alero

A PAS (Priviledge Account Security) megoldás, bár érdekesen hangzik, de a cikk elején vázolt problémák közül a VPN igényét még nem tudja kiváltani önmagában. Nem véletlenül van egy Alero nevű terméke a gyártónak. Ezt a PAS megoldás alapjaira épül, azt kiegészítve képes kiváltani a kritikus rendszerekhez való hagyományos VPN alapú távoli hozzáférést. Kliens telepítése nélkül egy HTML5 alapú webes felület használatával hozzáférést tudunk adni az érintett dolgozóknak, legyen akár cégen belüli vagy külsős karbantartó. A felület használatához nem szükséges több üzemeltetési csoport az együttműködése.

A rendszer támogatja előre definiált időablakok megadását, hogy csak a jóváhagyott ideig lehessen hozzáférni a rendszerhez, majd ezután a hozzáférés visszavonása és törlése automatikus. A biztonságos belépést akár egy okostelefon biometrikus azonosítása is tudja segíteni, így biztosíthatjuk, hogy csak az arra valóban jogosult felhasználók férhetnek hozzá a rendszerhez. Az Alero korábban nem látott egyszerűséget ad a felhasználóknak, miközben teljes vizibilitást és biztonságot kapunk.

A felsorolt problémákon kívül sokszor maguk a VPN-kliensek is rejtenek sérülékenységeket, elég csak az OpenVPN-kliensre gondolni, de a gyártók által karbantartott VPN-kliensek sem támadhatatlanok, frissítésük, karbantartásuk pedig sokszor munkaigényes feladat. Ez egyrészt üzemeltetési problémát, akár kimaradást jelent a frissítés idejére, másrészt, ha nem frissítünk, akkor biztonsági problémáink lehetnek, és akár a titkosnak hitt adataink is olvashatóvá válnak.

Ezeket a különböző problémákat egyszerűen el lehet kerülni a Cyberark megoldásával. A gyártó egy biztonságos jelszó-széf rendszert nyújt, ahol tárolni tudjuk a magas privilégiummal rendelkező hozzáférési jelszavainkat és ezeknek a cseréjét is elvégzi használat után, így például a hálózati eszközökön használt root jelszavakat nem tudják felhasználni egy támadásban. A korábban említett vizibilitási problémákra egy jumphost használatakor egyszerűen bekapcsolható felhasználók számára nem hozzáférhető teljes audit és session logok készítésével nyújt megoldást, így pontosan láthatjuk, hogy ki, mikor és mit csinál a belső védett rendszereinken, akár olyan rendszereken is, ahova egynél több felhasználó definiálása nem lehetséges.