CyberbezpieczeństwoPREZENTACJA PARTNERA
Polityka „zero trust” a wymagania dyrektywy NIS2
Advertorial
Za ok. 10 miesięcy wiele polskich organizacji będzie zobligowanych do spełniania założeń dyrektywy NIS2. Oznacza to m.in. potrzebę wdrożenia reguł cyberhigieny i mechanizmów bezpieczeństwa opartych na koncepcji zerowego zaufania. W takie wymagania dobrze wpisują się systemy klasy PAM (Privileged Access Management), a rozwiązaniem pozwalającym odpowiedzieć na wyzwania związane z wdrożeniem NIS2 jest platforma Senhasegura. Może ona przynieść też wymierne oszczędności na kosztach usług IT.
NIS2 to nowelizacja wcześniejszej dyrektywy NIS, która ma na celu dostosowanie obowiązujących w Unii Europejskiej standardów cyberbezpieczeństwa do nowych rodzajów zagrożeń. Wprowadza ona również nowe, zaostrzone wymogi m.in. w zakresie wykrywania i obsługi luk bezpieczeństwa w środowiskach IT, proaktywnego poszukiwania wszelkich podatności, a także raportowania incydentów z obszaru cyberbezpieczeństwa. Wymusza też stosowanie stosunkowo prostych praktyk, które przekładają się na podniesienie poziomu bezpieczeństwa użytkowników, infrastruktury IT oraz danych. W dużej mierze dotyczy to m.in. zarządzania uprawnieniami oraz tożsamością użytkowników.
Jednocześnie, wprowadzone w ramach NIS2 zwiększone obowiązki w kwestii raportowania oznaczają potrzebę zapewnienia większej przejrzystości w obszarze wykorzystania posiadanych zasobów IT. Co jednak ważne, dyrektywa ta nie definiuje jednoznacznie, które organizacje należą do grupy podmiotów ważnych lub kluczowych dla funkcjonowania gospodarek poszczególnych krajów członkowskich UE.
NIS2 nie narzuca także wyboru konkretnych rozwiązań. W tym zakresie istnieje dobrowolność, powiązana jednak z odpowiedzialnością. Do poszczególnych organizacji należy bowiem zarówno określenie zakresu obowiązków wynikających z dyrektywy NIS2, przeprowadzenie audytu wykorzystywanej infrastruktury, jak i wdrożenie stosownych rozwiązań. To zaś oznacza, że firmy – w szczególności prowadzące działalność kluczową lub ważną dla funkcjonowania gospodarki – powinny zawczasu zadbać o wprowadzenie choćby podstawowych rozwiązań z zakresu zarządzania tożsamością i dostępem, a także zastosować podejście do bezpieczeństwa oparte na zasadzie zerowego zaufania.
Centralne zarządzanie uprawnieniami i poświadczeniami
W jaki sposób na wymagania związane z dyrektywą NIS2 odpowiada platforma Senhasegura? Jest to system klasy Privileged Access Management, który zapewnia kompleksową funkcjonalność w zakresie zarządzania i kontroli nad działaniami użytkowników z dostępem uprzywilejowanym. Mowa tu więc zarówno o administratorach i kluczowych użytkownikach biznesowych, jak i pracownikach zewnętrznych, zarządzających firmowymi zasobami na zasadzie outsourcingu.
Co ważne, już w ramach podstawowej funkcjonalności system Senhasegura wspiera całościowo działania związane z przydzielaniem, zabezpieczaniem i odbieraniem wysokich uprawnień. Zapewnia też mechanizmy bezpiecznego przechowywania oraz śledzenia wykorzystania poświadczeń konkretnych użytkowników. Tego typu scentralizowane zarządzanie poświadczeniami dla użytkowników o podwyższonych uprawnieniach pozwala zwiększyć ogólny poziom bezpieczeństwa środowiska IT.
Dzięki takiemu podejściu dbamy o właściwą higienę uprawnień, co ma duże znaczenie w kontekście dyrektywy NIS2. Senhasegura nie dopuszcza do pozostawiania nieaktywnych kont na systemach docelowych, realizując politykę bezpieczeństwa na zasadzie ‘just in time’. W zdecydowany sposób ogranicza to pole do potencjalnego ataku na organizacje. Jednocześnie, oferowane przez nas rozwiązanie wspiera automatyzację w tym zakresie, oszczędzając przy tym dużo pracy administratorom
Mateusz Bielas, product manager Senhasegura w DAGMA Bezpieczeństwo IT
Ogromne znaczenie ma też możliwość scentralizowania procesów związanych z obsługą uwierzytelniania i zarządzania poświadczeniami, w tym udostępnianiem oraz zmianą haseł w systemach docelowych dla konkretnych osób lub grup użytkowników. Co więcej, działania takie mogą zostać zautomatyzowane.
W ujęciu technicznym Senhasegura pozwala na szyfrowanie danych uwierzytelniających z użyciem standardów, takich jak AES 256-bit, SHA 256-bit, RSA 2048-bit i wyższych. Platforma ta może być także zintegrowana m.in. z popularnymi rozwiązaniami wspierającymi obsługę techniczną (help desk) i zarządzanie zmianami.
Dostęp do zasobów bez wpisywania hasła
Cenną zaletą platformy Senhasegura jest również – w obliczu koncepcji bezpieczeństwa opartego na ograniczonym zaufaniu, m.in. w organizacjach charakteryzujących się dużą rotacją pracowników lub korzystających z usług wielu kontraktorów – możliwość zapewnienia użytkownikom dostępu do przydzielonych zasobów bez potrzeby faktycznego przekazywania im danych dostępowych. Dostęp może być realizowany za pośrednictwem tego rozwiązania, pełniącego funkcję bramy uwierzytelniającej użytkowników.
Mechanizm transparentnego logowania stanowi z jednej strony element odpowiednej ochrony kluczowych poświadczeń, a z drugiej – jest po prostu wygodny dla użytkownika, który poprzez jedno kliknięcie znajduje się w systemie docelowym
Mateusz Bielas
Precyzyjne zarządzanie uprawnieniami
Co nie mniej istotne, Senhasegura pozwala na łatwe tworzenie wysoce granularnych grup dostępu i przypisywanie konkretnych użytkowników do wielu z nich jednocześnie. Takie podejście odpowiada dobrym praktykom oraz zaleceniom, aby użytkownikom przypisywać minimalne uprawnienia niezbędne do wykonywania zleconych obowiązków. Tego typu funkcjonalność, podobnie jak reguła minimalnego uprzywilejowania, wpisuje się też w wytyczne dyrektywy NIS2 w kontekście zerowego zaufania i pomaga w utrzymaniu kluczowych dostępów pod ścisłym nadzorem.
Platforma Senhasegura całkowicie przejmuje również obsługę danych uwierzytelniających. Oznacza to, że użytkownicy nie muszą samodzielnie wprowadzać poświadczeń do każdej aplikacji z osobna. Co więcej, nie muszą nawet znać poszczególnych haseł. Ma to znaczenie dla możliwości zabezpieczenia złożonych i rozproszonych środowisk pracy, często spotykanych dziś m.in. w kontekście pracy zdalnej i hybrydowej. Ten sam mechanizm może znaleźć również zastosowanie w kontroli dostępu do poszczególnych urządzeń końcowych.
Zautomatyzowane zarządzanie i zmiana haseł
Poza mechanizmami łatwego przyznawania i odbierania uprawnień, Senhasegura zapewnia funkcje zautomatyzowanej zmiany, realizowanej cyklicznie lub w sposób masowy, zmiany danych uwierzytelniających. Co ważne, dotyczy to nie tylko uprawnień dostępu do funkcji administracyjnych kluczowych systemów, lecz także urządzeń – błędnie uznawanych za mało newralgiczne – takich jak choćby drukarki sieciowe.
Jest to o tyleż istotne, że funkcjonalność Senhasegura w tym zakresie uwalnia administratorów od obowiązków związanych z ręczną zmianą danych dostępowych do wszelkich zasobów, które mogą stać się celem ataku lub narzędziem w rękach cyberprzestępców. Dostęp do aplikacji i urządzeń podlega precyzyjnej kontroli w ramach wielopoziomowego systemu przyznawania uprawnień.
Wykrywanie niepożądanych zachowań i monitoring real-time
Funkcjonalność platformy Senhasegura obejmuje też kompleksowy monitoring sesji użytkowników dysponujących wysokimi uprawnieniami, m.in. pod kątem działań audytorskich czy wykrywania nieprawidłowości. I tak, sesje zdalne mogą być nagrywane np. na potrzeby analizy i wykrywania niepożądanych zachowań. Jest to istotne w kontekście możliwości oceny działań podejmowanych w kluczowych systemach m.in. przez administratorów i kontraktorów posiadających prawa administracyjne.
Możliwe jest również łatwe określenie, których użytkowników dotyczyć ma jedynie logowanie sesji, a także wskazanie, czyje sesje mają być monitorowane lub w pełni nagrywane. Dotyczy to też sesji równoległych. Ponadto, poszczególne sesje mogą być rejestrowane w formie nagrania wideo lub logów poleceń wprowadzanych z użyciem zdalnego pulpitu (RDP) oraz połączeń wykorzystujących protokół SSH.
Jeśli partner zewnętrzny wie, że jest poddawany kontroli, to sama świadomość tego faktu może wpłynąć na podniesienie jakości świadczonych przez niego usług. Na tę kwestię można spojrzeć jeszcze w inny sposób. Po pierwsze, monitoring ogranicza zachowania niepożądane po stronie wykonawcy, a jeśli już będzie on chciał podjąć działanie niewłaściwe z punktu widzenia polityki bezpieczeństwa organizacji – administrator Senhasegury zostanie o tym poinformowany, a dane działanie – odpowiednio wcześnie zablokowane. Po drugie, monitoring takich sesji może przynieść korzyści od strony optymalizacji kosztów, które trzeba ponieść w związku z korzystaniem za usługi outsourcingu. Rozliczalność sesji może być do tego odpowiednią podstawą
Mateusz Bielas
Efektem prowadzonego w czasie rzeczywistym monitoringu jest zaś możliwość sprawnego przeciwdziałania błędom i nadużyciom – także personelu zewnętrznego – skrócenia czasu rozwiązywania ewentualnych problemów oraz identyfikacja podejrzanych zachowań.
Optymalizacja kosztów usług kontraktorów
Innym zastosowaniem mechanizmów platformy Senhasegura do monitoringu sesji użytkowników posiadających wysokie uprawnienia jest zapewnienie pełnej i wiarygodnej rozliczalności usług realizowanych w ramach outsourcingu IT. Monitoring taki zapewnia istotne argumenty w zakresie uwiarygodnienia faktycznego wykorzystania zasobów ludzkich dostarczonych przez zewnętrznego partnera. Pozwala zestawić faktyczny czas pracy uprawnionych użytkowników w kluczowych systemach z dokumentacją rozliczeniową. Jako taki, może stanowić podstawę do optymalizacji kosztów outsourcingu.
Automatyzacja kontroli
W ramach mechanizmów monitoringu Senhasegura możliwe jest także zdefiniowanie alertów i powiadomień dotyczących poleceń realizowanych w ramach sesji SSH, Telnet oraz baz danych dla wszystkich użytkowników, również z uprawnieniami administratora. Oznacza to m.in. możliwość bieżącego śledzenia wykonywanych komend, potencjalnych zagrożeń oraz podejrzanej aktywności użytkowników uprzywilejowanych, co umożliwia podjęcie szybkiej reakcji w przypadku wykrycia potencjalnego ataku. Jednocześnie, platforma Senhasegura pozwala na ograniczenie rzeczywistych możliwości działania konkretnych użytkowników uprzywilejowanych podczas prac z systemami krytycznymi za sprawą audytu komend lub zmniejszenia dostępu do konkretnych, ograniczonych funkcjonalnie narzędzi.
Administratorzy samodzielnie określają, jakie komendy i które dostępy w ich systemach są zabronione. Dzięki temu automatyzacja w tym zakresie skutecznie powstrzymuje nadgorliwych użytkowników przed działaniami niepożądanymi
Mateusz Bielas
Co istotne, platforma Senhasegura automatycznie generuje bezpieczną, odizolowaną bazę potencjalnych materiałów dowodowych. Wbudowane mechanizmy wyszukiwania pozwalają w łatwy sposób ustalić, jakie działania podejmowali poszczególni użytkownicy podczas każdej sesji. Tego rodzaju dane znajdują zastosowanie nie tylko do działań sprawdzających czy dochodzeniowych, ale też mogą zostać łatwo wyeksportowane, m.in. w celu zapewnienia zgodności z regulacjami, działań audytorskich i nadzorczych.
Przejrzyste raportowanie
Tego typu funkcjonalność platformy Senhasegura oznacza również wiele dodatkowych możliwości w kontekście wykrywania błędów, zapewnienia bezpieczeństwa, rozliczania, a także kontroli efektywności pracy. Możliwe jest również wykorzystanie zgromadzonych w ten sposób informacji na temat faktycznego sposobu użycia aplikacji biznesowych na potrzeby optymalizacji procesów w organizacji czy racjonalizacji funkcjonalności udostępnianych użytkownikom.
Warto też wspomnieć, że Senhasegura pozwala na intuicyjne generowanie czytelnych i łatwych do interpretacji raportów. Oznacza to, że nawet osoby nietechniczne są w stanie w łatwy sposób uzyskać cenne wnioski z informacji gromadzonych przez tę platformę. Intuicyjność obsługi jest zresztą cechą całego rozwiązania, które zostało bardzo wysoko ocenione m.in. przez użytkowników Gartner Peer Insight.
Wybrane cechy i możliwości wykorzystania platformy Senhasegura:
- zarządzanie uprawnieniami i poświadczeniami,
- monitorowanie, nagrywanie oraz logowanie sesji użytkowników,
- automatyzacja cyklicznej zmiany haseł do aplikacji oraz urządzeń sieciowych,
- zapewnienie uwierzytelniania użytkowników bez potrzeby przekazywania im haseł,
- wsparcie dla koncepcji bezpieczeństwa opartego na zerowym zaufaniu,
- optymalizacja procesów i kontrola efektywności pracy użytkowników,
- precyzyjne rozliczanie czasu pracy kontraktorów,
- wsparcie działań mających na celu zapewnienie zgodności z regulacjami,
- budowanie bazy potencjalnych materiałów dowodowych,
- intuicyjna obsługa i raportowanie.