H διαχείριση ταυτότητας και πρόσβασης στο επίκεντρο μιας ολιστικής προσέγγισης στην ασφάλεια δεδομένων

ΠΟΙΟΣ ΕΙΣΑΙ; Σε αυτό το ερώτημα, καθώς και στις επιπλοκές και τις προκλήσεις που το συνοδεύουν, προσπαθούμε να απαντήσουμε σήμερα με τη βοήθεια του IAM, δηλαδή μέσω του Identity & Access Management (Διαχείριση Ταυτότητας & Πρόσβασης) και των σχετικών λύσεων. Πρόκειται για εργαλεία που μπορούν να βοηθήσουν αποτελεσματικά στην επαλήθευση της ταυτότητας, του λογαριασμού και του ευρύτερου πλαισίου για το ποιος είστε πραγματικά στο ψηφιακό περιβάλλον

Γιώργος Καπανίρης
Executive Director , NSS
www.nss.gr

Είσαι όντως αυτός που πιστεύω ότι είσαι ή είσαι πράγματι εκείνος που ισχυρίζεσαι ότι είσαι; Δεν είναι και πολύ τραβηγμένο να κάνετε κάποια τέτοια ερώτηση, αν αυτός που βρίσκεται απέναντι σας στον εργασιακό χώρο ή έστω και χιλιάδες χιλιόμετρα μακριά μπροστά από μία οθόνη, είναι ένας φορέας απειλής με κακόβουλα κίνητρα ή κάποιος που ζει μέσα στην υποκρισία και στο ψέμα, σωστά; Και οι λύσεις διαχείρισης της ταυτότητας και της πρόσβασης είναι ότι πιο προηγμένο έχουμε στη σημερινή εποχή της οικονομίας της πληροφορίας για να έχουμε απαντήσεις. Τι προσδιορίζει η λέξη ταυτότητα; Το σύνολο των ιδιοτήτων που προσδιορίζουν την ιδιαίτερη φύση ενός ατόμου ή το σύνολο των χαρακτηριστικών που ξεχωρίζουν το μέλος ενός συνόλου από τα υπόλοιπα μέλη. Στα τυπικά περιβάλλοντα πληροφορικής, μία ταυτότητα αντιπροσωπεύει τη μίας-προς-μία σχέση μεταξύ μίας οργανικής, με βάση τον άνθρακα, μορφή ζωής και της ψηφιακής της παρουσίας. Στη «ψηφιακή ζωή» κάθε ταυτότητα μπορεί να έχει πολλαπλά ψευδώνυμα (nicknames) να την «αντιπροσωπεύουν» καθώς και πολλούς λογαριασμούς αντιστοιχισμένους με τα διαπιστευτήρια της για αυθεντικοποίηση. Αυτό με απλά λόγια σημαίνει ότι μπορείτε να έχετε μόνο μία, μοναδική ταυτότητα, αλλά πολλαπλούς λογαριασμούς και πολλαπλές, ταυτόχρονες «παρουσίες» να την «αντιπροσωπεύουν». Επίσης κάθε λογαριασμός μπορεί να έχει διαφορετικά στοιχεία ελέγχου της πρόσβασης ανά πόρο ή και ανά πλαίσιο. Για παράδειγμα, ένας λογαριασμός μπορεί να έχει πρόσβαση σε ένα στοιχείο ή σε μία εφαρμογή ενώ ένας άλλος λογαριασμός που σχετίζεται με την ίδια ταυτότητα να μην έχει πρόσβαση. 

Προνομιακή πρόσβαση

Στην επιβολή αυτής της πρακτικής η της πολιτικής αναφερόμαστε συνήθως ως διαχείριση της προνομιακής πρόσβασης (PAM / Privileged Access Management) που ονομάζεται επίσης και διαχείριση προνομιακής ταυτότητας (PIM / Privileged Identity Management) και που αποτελούν υποσύνολο της διαχείρισης ταυτότητας και πρόσβασης (IAM / Identity & Access Management). Οποιοσδήποτε από τους προαναφερθέντες λογαριασμούς μπορεί να επιτρέπεται να λειτουργεί μόνο από μια συγκεκριμένη γεωγραφική τοποθεσία (και ώρα, ημερομηνία ή πόρο κ.ο.κ.) αλλά όχι και από μια άλλη. Οι περιορισμοί πρόσβασης σε ένα πόρο μπορούν να βασίζονται σε οτιδήποτε, από την πηγή του αιτήματος μέχρι την επικινδυνότητα της σύνδεσης και τη συσκευή κ.ά. Ο έλεγχος δικτυακής πρόσβασης, τα εικονικά ιδιωτικά δίκτυα (VPN), οι λίστες ελέγχου πρόσβασης και η επαλήθευση ταυτότητας πολλαπλών παραγόντων (MFA / Multi Factor Authentication) χρησιμοποιούνται συνήθως για να συνεισφέρουν στο πλαίσιο της λήψης αποφάσεων που σχετίζονται με τη πρόσβαση. Μαζί, τα παραπάνω, μπορούν να βοηθήσουν στην αυθεντικοποίηση ή αλλιώς στη επαλήθευση της ταυτότητας, ότι δηλαδή εκείνος που ισχυρίζεστε ότι είστε, είναι στην πραγματικότητα εκείνος που λέτε ότι είστε. Το πλαίσιο για την επαλήθευση της πρόσβασης είναι απαραίτητο. Άραγε αυτός που εμπιστεύεστε από έναν αξιόπιστο υπολογιστή σε μια αξιόπιστη ώρα μήπως είναι κάποιο bot, ένα κακόβουλο λογισμικό ή ένα πραγματικό άτομο; Τι είναι λοιπόν η διαχείριση ταυτότητας & πρόσβασης για τις επιχειρήσεις σήμερα; Είναι η διαδικαστική και καθοδηγούμενη από πολιτικές εφαρμογή της τεχνολογίας και της ροής εργασίας για τη διαχείριση των ταυτοτήτων και των λογαριασμών σας από την άποψη του «ποιος». Οι διαθέσιμες λύσεις σας επιτρέπουν να αυτοματοποιήσετε τη δημιουργία μιας ταυτότητας και τους σχετικούς τεχνολογικούς λογαριασμούς (διαπιστευτήρια) καθώς και να καθορίσετε όλες τις πτυχές της πολιτικής πρόσβασης σε στοιχεία (εταιρικά δεδομένα), εφαρμογές και άλλους πόρους πληροφορικής. Οποιαδήποτε στιγμή, μπορείτε να θέσετε το ερώτημα σε μια λύση διαχείρισης ταυτότητας και πρόσβασης: Ποιος έχει πρόσβαση; Που, και σε τι; Και αυτό αποτελεί κλειδί για την κανονιστική συμμόρφωση και ζωτικό κλειδί για την ασφάλεια. Το πρόβλημα με το «ποιος» στη συγκεκριμένη περίπτωση είναι τι έκαναν στην πραγματικότητα η ταυτότητα και οι λογαριασμοί με τα δικαιώματα πρόσβασής που τους έχουν εκχωρηθεί. Και εδώ είναι που εισέρχεται η διαχείριση της προνομιακής πρόσβασης (PAM) καθώς θα σας επιτρέψει να ελέγξετε αν οι ενέργειες που έγιναν ήταν σωστές και νόμιμες ή όχι. 

Ποιος έχει πρόσβαση και σε τι

Η διαχείριση της ταυτότητας και της πρόσβασης λοιπόν υποδηλώνει ποιος είστε και τι μπορείτε να κάνετε ενώ η διαχείριση της προνομιακής πρόσβασης απαντά στο βαθύτερο ερώτημα σχετικά με το τι πραγματικά κάνατε με την πρόσβαση που είχατε και αν οι προθέσεις σας ήταν ειλικρινείς και καλοπροαίρετες. Καμία ταυτότητα ή λογαριασμός δεν θα πρέπει να λαμβάνεται υπόψη χωρίς το πλαίσιο (context) και χωρίς τη δυνατότητα να μπορείτε να ελέγξετε και να παρακολουθήσετε πραγματικά τη συμπεριφορά τους. Η διαχείριση ταυτότητας και πρόσβασης (IAM) ή η διαχείριση ταυτότητας (IdM) είναι ένα πλαίσιο πολιτικών που αξιοποιείται για να διασφαλιστεί ότι οι χρήστες έχουν τα απολύτως κατάλληλα δικαιώματα πρόσβασης σε συστήματα, αρχεία, δίκτυα, βάσεις δεδομένων και άλλους πόρους με βάση τον ρόλο τους σε έναν οργανισμό. Το IAM παρέχει ένα πλαίσιο για τη διαχείριση των ταυτοτήτων, την πρόσβασή τους στα συστήματα καθώς και τους ρόλους και τα προνόμιά τους εντός της επιχείρησης. Καθώς οι οργανισμοί αναπτύσσονται, παράλληλα αυξάνεται και ο αριθμός των εφαρμογών, των διακομιστών και των βάσεων δεδομένων που χρησιμοποιούνται. Η διαχείριση της πρόσβασης στους πόρους του οργανισμού γίνεται συνήθως μέσω λύσεων IAM, οι οποίες προσφέρουν δυνατότητες όπως single sign-on, provisioning και διαχείριση χρηστών, access control και διακυβέρνηση. Αλλά η προστασία και η διασφάλιση των ευαίσθητων δεδομένων και των εφαρμογών ενός οργανισμού απαιτεί περισσότερα. Οι χρήστες, ανεξαρτήτως προνομίων, μπορούν να αφήσουν έναν οργανισμό εκτεθειμένο αν η δραστηριότητες τους δεν παρακολουθούνται και δεν καταγράφονται και τεκμηριώνονται σωστά. Οι λύσεις IAM βοηθούν τις ομάδες πληροφορικής και ασφαλείας να απαντούν στο ερώτημα «ποιος έχει πρόσβαση σε τι;» ωστόσο προκειμένου να επιτευχθεί πλήρης ορατότητα στις δραστηριότητες των χρηστών χρειάζονται οι λύσεις διαχείρισης προνομιακής πρόσβασης που «δίνουν απαντήσεις» στα υπόλοιπα ερωτήματα: «Είναι κατάλληλη αυτή η πρόσβαση;» ή «Χρησιμοποιείται σωστά αυτή η πρόσβαση;» Η απόκτηση του ελέγχου της πρόσβασης των χρηστών, των αδειών και των δικαιωμάτων για την αντιμετώπιση των προκλήσεων στην ασφάλεια, στη συμμόρφωση ή στην αποδοτικότητας παίζει τον μεγαλύτερο ρόλο στην υιοθέτηση μιας λύσης IAM από έναν οργανισμό. Όμως, από μόνη της μία λύση IAM δεν αρκεί. Οι λύσεις IAM πηγαίνουν την ασφάλεια και τη συμμόρφωση ένα βήμα παραπέρα, βοηθώντας τις ομάδες πληροφορικής και ασφάλειας πληροφορικής να αποκτήσουν τον έλεγχο των χρηστών και των προνομιούχων λογαριασμών παρέχοντας πλήρη και λεπτομερή ορατότητα για τους τρόπους που χρησιμοποιούνται οι ταυτότητες.

Ασφάλεια δεδομένων

Η ίδια απόλυτη εξουσία με διαφορετικά ονόματα: administrator ή admin (διαχειριστής), superuser (υπερχρήστης) ή root. Ανεξάρτητα από την ονομασία, όλοι αυτοί οι εξαιρετικά προνομιούχοι λογαριασμοί σε Windows, Linux, Unix ή macOS, έχουν τη μεγαλύτερη εξουσία και δύναμη και επομένως, ένας οργανισμός οφείλει να λάβει μέτρα για την αντιμετώπιση των κινδύνων που συνοδεύουν τα υπερβολικά προνόμια. Μία από τις λύσεις, είναι η εφαρμογή της αρχής του ελάχιστου προνομίου (Principle of Least Privilege ή PoLP) που μπορεί να περιλαμβάνει την επιβολή διαχωρισμού των προνομίων, όπως η διάσπαση των ευθυνών διαχείρισης σε διαφορετικούς λογαριασμούς. Αυτό σημαίνει ότι αντί να έχετε έναν μόνο λογαριασμό με δυνατότητες προσθήκης/ διαγραφής χρηστών, δυνατότητες αλλαγής διαμορφώσεων και τη λήψη αντιγράφων ασφαλείας, μπορείτε όλες αυτές τις εργασίες να τις κατανείμετε σε τρεις λογαριασμούς, μειώνοντας τον κίνδυνο πρόκλησης σημαντικής ζημιάς σε κάποιον διακομιστή σας από έναν και μόνο χρήστη. Η επιβολή της αρχής του ελάχιστου προνομίου σημαίνει επίσης και τον περιορισμό της πρόσβασης κάθε χρήστη μόνο σε αυτό που απαιτείται για να κάνει σωστά τη δουλειά του. Αν για παράδειγμα δεν υπάρχει λόγος για κάποιον χρήστη να εγκαταστήσει νέο λογισμικό στον φορητό (εταιρικό) υπολογιστή, προχωρήστε στην αφαίρεση του συγκεκριμένου προνομίου από τον λογαριασμό του. Αν υπάρχουν υπάλληλοι που δεν απαιτείται -για τη δουλειά τους- να έχουν πρόσβαση στη βάση δεδομένων που περιέχει ευαίσθητη πνευματική ιδιοκτησία μπορείτε να αποκλείσετε την πρόσβαση τους. Αν και η αρχή της επιβολής του ελάχιστου προνομίου αποτελεί μία δοκιμασμένη σε πραγματικές συνθήκες προσέγγιση, κάποιες εταιρείες δεν την εφαρμόζουν επειδή δεν γνωρίζουν πως να το κάνουν ή επειδή πιστεύουν ότι απαιτείται χρόνος για τη σωστή συντήρησή της. Και είναι κρίμα, επειδή είναι ένα εργαλείο που μπορεί να προσφέρει εξαιρετική προστασία περιορίζοντας σημαντικά την επιφάνεια επίθεσης. 

Ζητήματα…

Οι περισσότερες εταιρικές διευθύνσεις ηλεκτρονικού ταχυδρομείου βασίζονται στο όνομα και το επώνυμο ή σε κάποιο συνδυασμό τους. Καθώς ένας οργανισμός μεγαλώνει, είναι πολύ πιθανό να πέσετε πάνω σε ζητήματα σχετικά με τις ονομασίες λογαριασμών. Εξετάστε το ενδεχόμενο να υιοθετήσετε κάποια ονοματολογία για τους λογαριασμούς που να βασίζεται στο πλήρες όνομά των χρηστών, συμπεριλαμβανομένου του αρχικού, του μεσαίου ονόματος. Με αυτόν τον τρόπο θα σταματήσει η αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου στα λάθος άτομα που θα μπορούσε να οδηγήσει στην αποκάλυψη ευαίσθητων εταιρικών πληροφοριών.

Αν ο οργανισμός σας διαθέτει πόρους που «μετακινούνται» συχνά μεταξύ τμημάτων (π.χ. αναλυτές, σύμβουλοι) τότε ενδέχεται να αντιμετωπίσετε  προβλήματα διαβάθμισης ταυτότητας. Κανονικά, θα πρέπει να πραγματοποιούνται αλλαγές σε δικαιώματα, προνόμια και στον ρόλο κάθε φορά που αλλάζουν τμήμα, ωστόσο πολλές φορές, οι οργανισμοί χορηγούν δικαιώματα πρόσβασης και στη συνέχεια αποτυγχάνουν να τα ανακαλέσουν όταν αλλάζει ο ρόλος του υπάλληλου ενώ άλλες φορές, εκχωρούνται υπερβολικά δικαιώματα και προνόμια για να καλυφθούν οι διευρυμένοι ρόλοι τους. Κανονικά, θα έπρεπε να υπάρχουν ελάχιστοι, αν όχι καθόλου, λογαριασμοί διαχειριστή ή υπερχρήστη σε μια επιχείρηση καθώς παρουσιάζουν κινδύνους.

Το να πιστοποιηθεί ποιος έχει δικαιώματα διαχείρισης αλλά και το να καθοριστεί η καταλληλότητα αυτής της πρόσβασης αποτελεί πρόκληση για τους περισσότερους οργανισμούς. Αν ένας χρήστης γνωρίζει τα διαπιστευτήρια του διαχειριστή, αλλά δεν αποτελεί μέλος κάποιας ομάδας διαχειριστών, τότε σίγουρα έχετε πρόβλημα. Τα διαπιστευτήρια admin ή root δεν πρέπει ποτέ να κοινοποιούνται ενώ ο διαχειριστής πρέπει να είναι μέλος ομάδων διαχειριστών προκειμένου να αναφέρεται σχολαστικά και καταλλήλως ποιος έχει πιθανή πρόσβαση. Στη συνέχεια, η ίδια η πρόσβαση μπορεί να περιοριστεί με τη χρήση μιας λύσης PAM ή ακόμη και να περιοριστεί με τη χρήση μίας προσέγγισης διαχείρισης πρόσβασης just-in-time. Οι υπερβολικές παροχές (δικαιωμάτων) και το over-provisioning (ειδικά στις περιπτώσεις συγχωνεύσεων ή εξαγορών εταιρειών) αποτελούν κοινό πρόβλημα για λόγους… ευκολίας. Είναι πολύ πιο εύκολο για ορισμένους να παρέχουν στους χρήστες τους υψηλού επιπέδου προνόμια και επομένως πρόσβαση σε υψηλού επιπέδου πόρους ώστε τα πάντα «να λειτουργούν εύκολα και απλά» (παρακάμπτοντας τις βέλτιστες πρακτικές) από το να εφαρμόσουν ένα κλειστό μοντέλο ασφάλειας που βασίζεται στην αρχή του ελάχιστου προνομίου. Σε αυτή τη περίπτωση, δυστυχώς, έχουμε να κάνουμε με μία επικίνδυνη πρακτική. Στην πληροφορική, οι ταυτότητες συνδέονται κατά πρώτο λόγο με ανθρώπινους χρήστες. Στα σύγχρονα ωστόσο περιβάλλοντα computing περιλαμβάνονται και μη ανθρώπινες ταυτότητες (ταυτότητες μηχανής), οι οποίες φαίνεται να πολλαπλασιάζονται διαρκώς καθιστώντας τη διαχείριση τους μία αρκετά περίπλοκή υπόθεση. Και επειδή πολλές φορές, οι οργανισμοί αποτυγχάνουν να διαβαθμίσουν κατάλληλα τις ταυτότητες για τη ρομποτική, τον αυτοματισμό, τα βιομηχανικά συστήματα ελέγχου, πολλοί συχνά «πέφτουν θύματα εκμετάλλευσης» από παράγοντες και φορείς απειλών. Η σωστή λύση του προβλήματος είναι να έχει εκχωρηθεί ιδιοκτησία σε όλες οι machine–based ταυτότητες. Και έπειτα έχουμε και τις τρίτες οντότητες (π.χ. προμηθευτές, εργολάβους, προσωρινούς υπαλλήλους) που αναλαμβάνουν διάφορες εργασίες ή λειτουργίες και απαιτείται να έχουν πρόσβαση στο περιβάλλον μίας επιχείρησης. Σε αυτή τη περίπτωση, θα πρέπει να υπάρχουν ειδικοί ελεγκτικοί μηχανισμοί που να διαχειρίζονται τις ταυτότητες των προμηθευτών και να επικυρώνουν ότι οποιαδήποτε δραστηριότητά τους να είναι η ενδεδειγμένη.

…και λύσεις

Το IAM παίζει κρίσιμο ρόλο στην προστασία ευαίσθητων εταιρικών συστημάτων, περιουσιακών στοιχείων και πληροφοριών από τη μη εξουσιοδοτημένη πρόσβαση ή την κατάχρηση. Μια end-to-end, ολοκληρωμένη υλοποίηση IAM διασφαλίζει ότι μόνο νόμιμοι, πιστοποιημένοι χρήστες έχουν πρόσβαση σε ευαίσθητα εταιρικά δεδομένα ελαχιστοποιώντας τον κίνδυνο ή τον αντίκτυπο μίας παραβίασης δεδομένων.

Το προϊοντικό χαρτοφυλάκιο BeyondTrust Privileged Access Management (PAM) είναι ένα ολοκληρωμένο σύνολο λύσεων που παρέχει ορατότητα και έλεγχο σε ολόκληρο το σύμπαν των προνομίων, ταυτοτήτων, τερματικών και συνεδριών (περιόδων σύνδεσης). Η επεκτάσιμη, κεντρικά διαχειριζόμενη πλατφόρμα της εταιρείας σας επιτρέπει να αναπτύξετε ένα πλήρες σύνολο δυνατοτήτων PAM με τη μία ή να αυξήσετε σταδιακά τις δυνατότητες με την πάροδο του χρόνου και με τον δικό σας ρυθμό. Το IAM είναι κρίσιμης σημασίας για την προστασία των ευαίσθητων εταιρικών συστημάτων, των περιουσιακών στοιχείων και των εταιρικών πληροφοριών από μη εξουσιοδοτημένη πρόσβαση και χρήση. Μια ολοκληρωμένη υλοποίηση IAM θα μειώσει την πιθανότητα μίας παραβίασης δεδομένων και τον αντίκτυπο της και θα διασφαλίσει ότι μόνο νόμιμοι, πιστοποιημένοι χρήστες έχουν πρόσβαση.   

Η πλατφόρμα BeyondTrust αποτελείται από τις ακόλουθες λύσεις:

• Το Privileged Password Management, που επιτρέπει την αυτοματοποιημένη ανακάλυψη και την εισαγωγή (onboarding) όλων των προνομιακών λογαριασμών, την ασφαλή πρόσβαση σε προνομιακά διαπιστευτήρια και μυστικά (secrets management) και τον έλεγχο όλων των προνομιακών δραστηριοτήτων.
• Το Secure Remote Access, που δίνει τη δυνατότητα στους οργανισμούς να εφαρμόσουν την αρχή του ελάχιστου προνομίου και ισχυρούς ελέγχους στην απομακρυσμένη πρόσβαση που απαιτείται από υπαλλήλους, προμηθευτές και γραφεία εξυπηρέτησης.
• Το Endpoint Privilege Management συνδυάζει τη διαχείριση προνομίων και τον έλεγχο εφαρμογών για την αποτελεσματική διαχείριση των δικαιωμάτων διαχείρισης σε συσκευές Windows, Mac, Unix, Linux και άλλες δικτυακές συσκευές χωρίς να παρεμποδίζεται η παραγωγικότητα.
• Το Cloud Security Management βοηθά τους οργανισμούς να εντοπίζουν και να μετριάζουν τους κινδύνους που σχετίζονται με τις άδειες και τα δικαιώματα πρόσβασης σε cloud ή multicloud περιβάλλοντα.
• Το Password Safe είναι μια λύση διαχείρισης προνομιακών διαπιστευτηρίων που σχεδιάστηκε για να εισάγετε (onboard), να διαχειρίζεστε ή να εναλλάσσετε κωδικούς πρόσβασης καθώς και να παρακολουθείτε και ελέγχετε τη χρήση τους σε όλη την επιχείρηση. Επιτρέπει επίσης τη δημιουργία OTP (One-Time Passwords).