PAM, czyli przywileje pod specjalnym nadzorem

Kiedy Edward Snowden
ujawnił kilkaset tysięcy tajnych i ściśle tajnych dokumentów NSA, prasa
opisała to zdarzenie jako największy wyciek informacji w historii USA,
który miał bardzo poważne konsekwencje w polityce międzynarodowej.
Z kolei wykradzenie danych około 80 mln klientów
i pracowników amerykańskiego zakładu ubezpieczeń zdrowotnych Anthem będzie
zapewne skutkowało lawiną pozwów i wypłatą gigantycznych odszkodowań, jak
również utratą reputacji na zawsze. Podobnie jak stało się w przypadku
Korea Credit Bureau, której pracownik zdobył poufne informacje dotyczące
20 mln Koreańczyków (40 proc. krajowej populacji!), a wszystkie
wynikłe z tego straty finansowe muszą pokryć związane z tą firmą
instytucje wydające karty kredytowe.

Każde z trzech
wspomnianych zdarzeń łączy to, że przestępcy mieli uprzywilejowany dostęp do
systemów IT – taki z prawami administratora, przydzielany pracownikom
firmy, ale także zewnętrznym partnerom. Snowden był właśnie zewnętrznym
zleceniobiorcą zatrudnionym przez NSA. Również sprawca wycieku z Korea
Credit Bureau miał zapewniony dostęp do wewnętrznych systemów koreańskich
operatorów kart kredytowych, zaś w przypadku Anthem posłużono się danymi
logowania jednego z administratorów firmy. Jeśli tak potężne instytucje
nie potrafiły zadbać o kontrolę dostępu uprzywilejowanego, to znaczy, że
problem jest poważny. Potwierdzają to statystyki. Według „2015 Verizon Data
Breach Report” aż 55 proc. naruszeń bezpieczeństwa określanych jako wewnętrzne
jest związanych z wykorzystaniem kont uprzywilejowanych.

Wobec tego bez wątpienia warto zainteresować się rynkiem PAM
– rozwiązań, które mają chronić przed tego rodzaju zagrożeniem. Rynkiem,
który według szacunków analityków odnotowuje około 30-proc. wzrost rok do
roku.

Zaufanie ma swoje granice

Firmowe systemy IT są pod kontrolą administratorów, ale czy
ktoś ma kontrolę nad nimi? Mariusz Stawowski, dyrektor działu technicznego
w Clico, zwraca uwagę, że często informatycy w ramach wykonywania
swoich obowiązków zyskują ogromną władzę, co sprawia, że mogą stanowić realne
zagrożenie dla bezpieczeństwa przedsiębiorstwa.

– W firmach, w których nie
zostały zastosowane odpowiednie środki nadzoru, administratorzy baz danych mają
dostęp do najbardziej poufnych informacji, administratorzy poczty
elektronicznej mogą śledzić korespondencję innych pracowników, administratorzy
aplikacji mogą podszywać się pod jej użytkowników, a administratorzy
zabezpieczeń mogą je wyłączyć w celu umożliwienia naruszenia
bezpieczeństwa – wylicza ekspert z Clico.

Podobne zagrożenie
stanowią zewnętrzni serwisanci, którzy często mają zdalny dostęp do najbardziej
krytycznych systemów przedsiębiorstwa. Mariusz Stawowski przypomina, że atak,
który w ubiegłym roku sparaliżował system energetyczny Ukrainy, polegał na
wykorzystaniu zdalnego dostępu do stacji SCADA, a więc urządzeń
odpowiedzialnych za sterowanie systemem dystrybucji energii. Dlatego jego
zdaniem zastosowanie przez klientów specjalistycznych narzędzi PAM, służących
do kontroli i zarządzania dostępem użytkowników uprzywilejowanych, ma duże
uzasadnienie biznesowe.

Piotr Kawa, Network
Departament Manager Poland & CEE w Bakotechu, powołuje się na raporty
wiodących organizacji zajmujących się bezpieczeństwem, takie jak „Insider
Threat Report” oraz „CERT Insider Threat Center”. Na ich podstawie twierdzi, że
dużo trudniej wykrywa się i zapobiega zagrożeniom wewnętrznym (generowanym
w dużej mierze przez użytkowników uprzywilejowanych) niż tym pochodzącym
z zewnątrz. Chcąc im przeciwdziałać, klienci muszą odpowiedzieć sobie na
pytania: jacy uprzywilejowani użytkownicy mają dostęp do krytycznych zasobów,
jak z nich korzystają i czy nie dochodzi do wykroczeń bądź naruszeń
polityk bezpieczeństwa.

Privileged Access Management – made in Poland

 

Polska nie jest białą plamą na mapie producentów PAM.
Z tego powodu światowi dostawcy tego rodzaju rozwiązań mają z jednej
strony łatwiej, bo często nie muszą polskim klientom od początku tłumaczyć,
czym są takie narzędzia. A z drugiej strony wchodzą w obszar, na
którym od kilku lat prężnie działa lokalny producent i zdążył już odnieść
spory sukces. Mowa o firmie Wheel Systems, sprzedającej swoje rozwiązania
informatyczne największym klientom na polskim rynku – z sektora
finansowego, energetycznego, telekomunikacyjnego, przemysłu, branży
internetowej i wielu innych.

Działający za pośrednictwem partnerów polski producent
stworzył najpierw CERB AS – wieloskładnikowy system uwierzytelnienia,
który umożliwia scentralizowane zarządzanie użytkownikami oraz kontrolę dostępu
do zasobów z wykorzystaniem różnych metod uwierzytelnienia. Zdobył uznanie
głównie w sektorze finansowym. A ponieważ klienci zgłaszali Wheel
Systems potrzebę posiadania rozwiązania do nagrywania sesji i zarządzania
hasłami, powstał system FUDO. To obecnie sztandarowy produkt warszawskiej
firmy, służący do stałego monitoringu, kontroli i rejestracji zdalnych
sesji dostępu do systemów informatycznych.

Przedstawiciel Bakotechu
zauważa, że choć wiele organizacji korzysta z systemów zbierania logów, to
nie są one zbyt użyteczne, z uwagi na zbyt wiele danych do interpretacji.
Poza tym są one również zasobochłonne.

– Kluczem jest monitorowanie
i analizowanie działań użytkowników uprzywilejowanych w czasie
rzeczywistym – przekonuje Piotr Kawa.

Zdaniem Pawła Rybczyka,
business developera CEE&Russia w firmie Wallix, w ostatnim czasie
na rozwiązania PAM patrzy się bardziej w kontekście monitoringu dostępu i
rejestracji dostępu zdalanego. Choć elementem tego typu systemów jest funkcja
zarządzania kontami uprzywilejowanymi i hasłami, to moduł ten może zabierać
bardzo dużo czasu przy implementacji polityki bezpieczeństwa.

Trzy pytania do…

 

Pawła Rybczyka, business developera
CEE&Russia w firmie Wallix

CRN
PAM to nisza na rynku bezpieczeństwa?

Paweł
Rybczyk Staram się unikać
nazywania PAM niszowym rozwiązaniem. Jeśli już tak je traktujemy, to tylko
z zastrzeżeniem, że jest to stan przejściowy. Staram się tłumaczyć
partnerom, że choć klient jest najczęściej wyposażony w firewalle
i inne zabezpieczenia, to potrzebuje jeszcze czegoś, co będzie zachowywać
się jak system kamer w budynku – monitorować i rejestrować wszystkie
działania administracyjne. Takie elementy PAM, jak nagrywanie sesji i
zarządzanie hasłami, staną się niedługo podstawowym elementem polityki
bezpieczeństwa dowolnej wielkości firmy.

 

CRN
Na czym to dokładnie polega?

Paweł
Rybczyk Bardzo ważną funkcjonalnością PAM jest wspomniane nagrywanie
sesji. Nie jest ono tym, co robi firewall, który może jedynie „odnotować” fakt
zainicjowania połączenia i jego zakończenia (np. przez jednego
z zewnętrznych kontraktorów IT). PAM dostarczy pełne nagranie sesji
– informacje, co działo się na docelowym serwerze, routerze, sterowniku
itp. – między zalogowaniem a wylogowaniem. Również to, co zostało
wpisane z klawiatury, jakie procesy zostały uruchomione itp.
W efekcie powstaje zapis wszystkiego, co zrobił konkretny człowiek, ktory
dysponuje uprzywilejowanym dostępem do infrastruktury firmowej.

 

CRN Czy
łatwo jest przekonać klienta do zakupu PAM?

Paweł
Rybczyk Choć w przypadku rozwiązań ochronnych czasem nie jest prosto
przedstawić ROI, czyli zwrot z inwestycji, to z PAM sprawa może być znacznie
prostsza. W rozmowach z klientami wciąż napotykam na potrzebę kontrolowania
wynajętych firm outsourcingowych, co do których nie ma pewności, że uczciwie
wykonują i wyceniają swoją pracę. PAM pokaże dokładnie, co, kiedy i jak
zrobili, a to będzie miało swoje przełożenie na wystawiane przez zewnętrzne
firmy faktury i potencjalne, bardzo wymierne oszczędności. Niektórzy klienci
mówią mi wprost, że w ten sposób zakup rozwiązania PAM zwróci się u nich bardzo
szybko.

– Nagrywanie sesji jest dużo
łatwiejsze i możliwe do zastosowania od razu, bez potrzeby dodatkowej
edukacji firm zewnętrznych czy użytkowników lokalnych – uważa
przedstawiciel Wallixa.

Gdy przyjrzeć się bliżej ofercie PAM, widać znaczne różnice
w tym, co oferują poszczególne produkty. Z jednej strony można
znaleźć kompleksowe rozwiązania zapewniające wiele funkcji zarządzania
uprzywilejowanym dostępem, z drugiej – rozwiązania punktowe, których
zadaniem jest wypełnienie konkretnej luki w firmowym systemie
zabezpieczeń. Duża jest także rozpiętość cenowa produktów różnych dostawców.
Opisując branżę Privileged Access Management, Gartner zestawia kilkadziesiąt
firm z większymi i mniejszymi udziałami w światowym rynku.
W Polsce działa obecnie kilku producentów PAM: Balabit, CyberArk, Dell
Software, Imperva, ObserveIT, Wallix i Wheel Systems.

Kto potrzebuje ochrony PAM?

Zdaniem Gábora Marosvári,
product marketing managera w firmie Balabit, rozwiązania do zarządzania
uprzywilejowanym dostępem, a w szczególności do monitorowania
uprzywilejowanej aktywności użytkowników, w pierwszym rzędzie są
wykorzystywane przez duże przedsiębiorstwa, zobowiązane przepisami prawa do
przestrzegania restrykcyjnych regulacji i wymogów polityki bezpieczeństwa
IT oraz zasad compliance (np. PCI DSS, ISO 27?001 czy lokalnych rozporządzeń prawnych). Poza tym
zainteresować się nimi muszą te firmy i instytucje, które korzystają
z zewnętrznych dostawców usług IT, w tym usług w chmurze.
A także te utrzymujące skomplikowaną sieć IT, do której dostęp ma kilku
różnych administratorów. I wreszcie organizacje, które mogą być celem
zaawansowanych cyberataków ze względu na charakter swojej działalności.

Z kolei, gdy przyjrzeć się poszczególnym branżom, to widać,
że takich, które teoretycznie powinny być zainteresowane zakupem PAM-u, jest
coraz więcej. Oczywiście przoduje sektor finansowy, bo wydana przez KNF dla
banków Rekomendacja D mówi wprost, że „obowiązujące w banku zasady
zarządzania uprawnieniami powinny w szczególności uwzględniać zagrożenia
związane z nieprawidłowym wykorzystaniem uprawnień użytkowników uprzywilejowanych”.
PAM staje się niezbędny także dla firm z tak strategicznych sektorów jak
produkcja i dostawy energii czy gazu. Do grona potencjalnych klientów
należą operatorzy telekomunikacyjni, dostawcy usług IT w chmurze,
instytucje rządowe oraz zarządzający obiektami użyteczności publicznej. Ze
względu na ochronę danych osobowych zarządzaniem dostępem uprzywilejowanym
interesuje się branża medyczna. Systemy PAM są poza tym coraz bardziej
potrzebne przedsiębiorstwom, które wykorzystują outsourcing i chcą chronić
się przed wrogimi działaniami konkurencji. Przede wszystkim chodzi o duże
firmy, ale także mniejsze, choć w wypadku tych drugich barierą może być
cena. Niektóre z nich ratują się w ten sposób, że nagrywają sesje
przy użyciu darmowej aplikacji Team Viewer.

– Gdy ktoś się
łączy za pomocą tego oprogramowania, uruchamia funkcję „nagraj”, a czasem na
żywo śledzi na monitorze połączenie i w razie zagrożenia rozłącza sesję. Nie
jest to jednak w żadnym razie optymalne i bezpieczne podejście – mówi Paweł Rybczyk.

Lepszym sposobem na
obejście bariery cenowej może być „PAM as a Service”. Przedstawiciel
Wallixa daje przykład prowadzonego obecnie projektu, który ma działać
w modelu usługowym – kilku partnerów chce oferować rozwiązanie tej
marki klientom dysponującym tylko dwoma, trzema serwerami, przekierowując ruch
do swoich zasobów i nagrywając u siebie sesje. W tym modelu PAM
jest sprzedawany głównie w w centrach danych – oprócz hostingu klient
otrzymuje dodatkową usługę, dzięki której na specjalnym panelu może uzyskać
dostęp do kompleksowej informacji na temat każdej sesji zdalnej.

Nowość szansą dla partnerów

Gábor Marosvári
z Balabitu wymienia korzyści, jakich mogą spodziewać się partnerzy
sprzedający rozwiązania PAM. Po pierwsze mają oni okazję wdrażać nową
technologię oferowaną przez zaledwie kilka firm na rynku. A rynek ten ma
duży potencjał, generując roczny wzrost przychodów szacowany przez analityków
na ponad 30 proc. W tej sytuacji mogą oni liczyć na rozsądną marżę na
sprzedaży oprogramowania, a dodatkowy przychód da im implementacja usług,
które obejmują także serwisowanie. Powinni też pamiętać, że pracę
nad projektami ułatwi im możliwość skorzystania z bezpośredniego
technicznego i sprzedażowego wsparcia od dostawcy.

Rozwiązania PAM to nowy
typ produktu w obszarze security, więc dla integratorów wciąż świeży temat
do rozmów z klientami, zarówno obecnymi, jak i nowymi. Handlowiec
może dość łatwo przedstawić potencjalnemu użytkownikowi (w tym osobom
mniej technicznym) zasadę jego działania i korzyści z zastosowania.
Pomocą w sprzedaży będą na pewno pojawiające się kolejne przepisy, które
wymuszają lub rekomendują zarządzanie dostępem użytkownika uprzywilejowanego.
Mowa np. o certyfikatach ISO/COBIL, audytach wewnętrznych (sektor
publiczny) lub zbliżającym się wejściu w życie unijnej dyrektywy General
Data Protection Regulation (GDPR).