Skuteczne zabezpieczanie i uwierzytelnianie sesji uprzywilejowanych

Ryzyko związane z nieautoryzowanym dostępem dotyczy nie tylko konsultantów zewnętrznych lub serwisantów, ale w równym stopniu administratorów i innych pracowników działu IT, a więc osoby „uprzywilejowane”. Dostęp do krytycznej infrastruktury przedsiębiorstwa niesie ze sobą prawdziwy dylemat. Jak udzielać dostępu nie tracąc ani na chwilę nad nim kontroli?

Skutki udanego ataku wykorzystującego niedostateczną kontrolę sesji uprzywilejowanych lub niedostatki stosowanych tam zabezpieczeń mogą być niezwykle poważne. Obejmują one m.in.: utratę danych, zablokowanie działania systemów IT przedsiębiorstwa, straty finansowe oraz naruszenie reputacji firmy. Z drugiej strony możliwość zdalnego połączenia do kluczowych systemów sprawia, że specjaliści IT nie muszą tracić czasu np. na dojazdy.

W dobie powszechnego outsourcingu oraz zewnętrznych usług serwisowych zdalny dostęp jest często stosowany i stanowi odpowiedź na szczególne wymagania związane z krótkim czasem reakcji, oczekiwanym przez firmowy dział IT. Ryzyko związane ze zdalnym dostępem administracyjnym jest jednak znane w IT od lat, a zatem można i należy nim zarządzać. Wielką pomoc w ograniczaniu ryzyka dostarcza nowoczesna technologia, która umożliwia prowadzenie ciągłego audytu działań, zapewnia mocne uwierzytelnienie i zabezpieczenie połączenia.

Zdalny administrator wewnętrzny i zewnętrzny

Rozważania na temat zarządzania sesjami o podwyższonych uprawnieniach można zacząć od typowego przypadku, którym jest udostępnienie upoważnionemu pracownikowi dostępu na poziomie administratora (systemowym) do kluczowego elementu infrastruktury IT. Dopóki jest to pracownik firmy, można ograniczyć ryzyko, wprowadzając odpowiednie procedury i zabezpieczenia techniczne, takie jak logowanie wyłącznie z firmowego komputera w zaufanej lokalizacji, ochronę połączenia za pomocą uznanych standardów kryptograficznych, silne uwierzytelnienie. Nadal pozostaje możliwość nadużyć, niedopatrzeń lub szkód wywołanych przez złośliwe oprogramowanie na stacji roboczej administratora, ale ryzyko jest znacznie mniejsze niż w przypadku dostępu z zewnątrz.

Redukcję ryzyka osiąga się także za pomocą ograniczenia dostępu do wybranych elementów infrastruktury i wprowadzenie spójnej polityki kontroli dostępu. Użytkownik zaloguje się tylko do wyznaczonych zasobów, na swoje hasło, bez konieczności używania haseł dla użytkowników „generycznych” takich jak administrator czy root oraz rejestracji całej sesji. Powstałe w ten sposób nagrania mogą później z powodzeniem posłużyć do dokumentowania wprowadzonych modyfikacji, do celów szkoleniowych. Można je również zapisać w systemach obsługujących zarządzanie zmianą. W praktyce można zastosować np. rozwiązania takie, jak: Wheel Systems Fudo lub Wallix Admin Bastion.

Jednak udzielenie dostępu pracownikowi zewnętrznej firmy do krytycznej infrastruktury IT wewnątrz przedsiębiorstwa jest obarczone bardzo wysokim ryzykiem. Nie zawsze możemy mówić tutaj o zalogowaniu z bezpiecznej lokalizacji, w której działa zarządzana przez firmowe IT stacja robocza. Pojawiają się też problemy związane z bezpieczeństwem samego połączenia oraz uwierzytelnieniem pracownika, który określone prace ma zdalnie wykonać. W obliczu podobnych zagrożeń przedsiębiorstwa często rezygnują ze zdalnego dostępu mimo to, że dostępne są rozwiązania techniczne, które umożliwiają prowadzenie bezpiecznych zdalnych sesji użytkowników uprzywilejowanych.

Wobec tego nie można ograniczać zagadnień związanych ze zdalnym dostępem jedynie do nagrania aktywności. Rejestracja sesji jest oczywiście niezbędna przy dostępie uprzywilejowanym do krytycznych zasobów firmy, ale stanowi zapis tego, co w danej chwili się wydarzyło. Prawdziwą siłą nowoczesnych rozwiązań jest wprowadzenie zarządzania całą sesją, włącznie z inicjowaniem połączenia, uwierzytelnieniem, udzielaniem dostępu per aplikacja i detale protokołu, prowadzeniem rejestracji sesji, wykrywaniem podejrzanej aktywności, aż po zakończenie sesji, znakowanie czasem, zapis nagrania oraz wysłanie logów do systemów korelacji zdarzeń.

Login, hasło… ale czyje?

Szczególnie istotnym etapem jest uwierzytelnienie pracownika. Zazwyczaj odbywa się to za pomocą nadawania uprawnień bazujących na rolach. Każda z ról określa identyfikację użytkownika (LDAP, TACACS+, Kerberos, Radius, wewnętrzna baza urządzenia), politykę uwierzytelnienia (np. klucze SSH), docelowe konto, na którego uprawnieniach będą wykonywane polecenia, detale protokołu oraz docelowe systemy, wliczając w to także jednokrotne logowanie do wybranych zasobów. W ten sposób można będzie w locie podmienić login i hasło (tak robi Fudo) lub uwierzytelnić specjalistę za pomocą osobno wygenerowanych haseł, które dodatkowo można zmienić przed i po sesji (to potrafi Wallix Admin Bastion). Hasła mogą być przekazane innym kanałem komunikacji, można także użyć haseł jednorazowych.

Polityka udzielania dostępu powinna zakładać logowanie do wybranych elementów włącznie z detalami używanych protokołów, zapis całej sesji z możliwością monitoringu online i przerwania w przypadku stwierdzenia problemów lub nadużyć. Automatyczna zmiana haseł ma znaczenie w przypadku dostępu do urządzeń takich, jak routery i przełączniki sieciowe. Dzięki odseparowaniu loginu i hasła od ogólnej polityki haseł osoba z zewnątrz nie musi znać detali uwierzytelnienia. Ponadto kradzież hasła z np. historii poleceń lub konfiguracji przełącznika sieciowego nie umożliwi ponownego nawiązania połączenia.

Działania pod lupą

Nowoczesne rozwiązania do uwierzytelniania potrafią rozpoznać aktywność polegającą na przeglądaniu katalogów, wykryć uruchamianie aplikacji (np. SAP lub klient aplikacji Oracle), a także wybieranych przez te aplikacje plików. Informacje związane z aktywnością użytkownika w monitorowanej sesji powinny być niezwłocznie skierowane do firmowych systemów korelacji zdarzeń – w ten sposób można wykryć zdarzenia, które mogłyby doprowadzić do utraty danych, a w klasycznym środowisku – pozbawionym monitoringu i urządzeń klasy SIEM – byłyby to bardzo trudne do wykrycia.

Najbezpieczniejszą metodą – powszechnie stosowaną przy dostępie do krytycznie ważnych zasobów – jest zasada zatwierdzania na dwie ręce. Sesja uprzywilejowana jest monitorowana przez drugą osobę, która nie ma prawa interakcji, ale może w każdej chwili ją przerwać. W niektórych środowiskach zatwierdzaniu podlega każde wydawane polecenie.

Przy uruchamianiu zdalnego dostępu do szczególnie istotnych systemów zazwyczaj przyjmuje się następujące założenia:

• – połączenie odbywa się w ustalonym przedziale czasowym z dokładnie określonymi zasadami dostępu, listą niezbędnych zadań do wykonania, a także listą osób, które z tego połączenia skorzystają,
• – całe połączenie musi odbywać się w bezpiecznym, szyfrowanym połączeniu, wykorzystującym uznane standardy kryptograficzne,
• – stosuje się integrację z systemami mocnego uwierzytelnienia (na przykład z użyciem tokenów lub haseł jednorazowych wysyłanych innym kanałem komunikacji),
• – logowanie do serwisu odbywa się za pomocą innych haseł, niż rzeczywiście wykorzystywane, dzięki czemu pracownik nie zna detali uwierzytelnienia stosowanych na odcinku urządzenie monitorujące – infrastruktura docelowa,
• – po stronie firmy, która korzysta z usług zdalnych znajduje się specjalista, który monitoruje połączenie i w razie wykrycia problemów lub ewentualnych nadużyć może takie połączenie natychmiast przerwać,
• – system posiada narzędzia, które zatrzymają typowe komendy, które mogłyby spowodować zniszczenie danych (by uniemożliwić wandalizm po udanym włamaniu i kradzieży haseł),
• – jeśli jest to technicznie możliwe i uzasadnione, stosuje się zatwierdzanie komend przez drugą osobę,
  cała sesja jest rejestrowana,
• – narzędzia potrafią wykryć wskazane operacje (na przykład szczególnie ryzykowne polecenia) bez konieczności oczekiwania na zakończenie sesji, możliwe jest również automatyczne powiadomienie,
• – działania zarejestrowane w sesjach są wysyłane do systemów korelacji zdarzeń,
• – wprowadzone zmiany są dokumentowane, razem z zapisem sesji utworzą kolejny wpis w bazie wiedzy lub posłużą do rozliczeń za wykonane prace,
• – zapisy sesji zawierające zarejestrowane nadużycia można przedstawić organom ścigania,
• – aktywność administracyjna nagrana w rejestrowanych sesjach może posłużyć w przyszłości przy prowadzeniu szkoleń.