Zarządzanie dostępem coraz ważniejsze
Wcale nietrudno wytłumaczyć klientowi, jakie są korzyści z wdrożenia narzędzia do zarządzania uprzywilejowanym dostępem do systemów informatycznych. Trzeba tylko trzymać się kluczowych faktów.
Wraz z postępującą cyfryzacją rośnie potrzeba coraz większej kontroli nad dostępem do systemu informatycznego. Obecnie nie ma mowy o wydzielonej, bezpiecznej sieci, w której w każdej chwili wiadomo: kto, skąd i w jaki sposób łączy się z firmowymi zasobami. W dodatku pracownicy chcą korzystać z dostępu w dowolnym czasie, z dowolnego miejsca i z dowolnego urządzenia. Trzeba też zapewnić możliwość łączenia się z systemem przedstawicielom firm zewnętrznych, świadczących określone usługi IT. Użytkownicy stają więc przed wyzwaniem, jak to umożliwić, by jednocześnie nie rosło ryzyko dla bezpieczeństwa systemu informatycznego. Szczególnie że „kradzież tożsamości” nie należy obecnie do rzadkości.
Rozwiązanie stanowi nowa generacja zaawansowanych platform do zarządzania tożsamością i dostępem (IAM – Identity and Access Management) oraz narzędzia do zarządzania dostępem uprzywilejowanym (PAM – Privileged Access Management). PAM zapewnia kontrolę i monitoring działania tych użytkowników, którym przyznano prawa administratora systemu. Bezpieczeństwo dostępu dodatkowo zwiększy wdrożenie wieloskładnikowego uwierzytelniania.
Marcin Marciniak, inżynier systemów bezpieczeństwa w Versim, zwraca uwagę, że zainteresowanie rozwiązaniami PAM rośnie z dwóch powodów. Po pierwsze bardzo wzrasta wykorzystanie outsourcingu, co wymaga dokładnego rozliczania ludzi z dostępu i wykonanej pracy. Po drugie klienci zdali sobie sprawę, że dają dostęp do najważniejszych zasobów firmy (w tym poufnych danych) także użytkownikom z zewnątrz – często na poziomie uprzywilejowanym, często bardzo słabo kontrolowanym.
– Wykorzystanie narzędzi do zarządzania dostępem uprzywilejowanym sprawi, że nadużycia staną się niemożliwe albo, jako rejestrowane, przestaną mieć sens dla nieuczciwego użytkownika – wyjaśnia ekspert Versimu.
Mówiąc o potrzebie wprowadzania zarządzania dostępem, w tym uprzywilejowanym, Paweł Rybczyk, Business Developer CEE & Russia w firmie Wallix, przytacza analogię do systemu kontroli dostępu do budynku i związanego z tym procesu. W biurowcu nie możemy ominąć recepcji czy biura ochrony. Należy wpisać się do książki wejść/wyjść, gdzie odnotowywana jest godzina wejścia i cel naszej wizyty. Sprawdzana jest nasza tożsamość, a uprawnienia do wizyty są weryfikowane krótkim telefonem do podanej przez nas osoby. Ma to zagwarantować, by nikt niepowołany nie dostał się na teren obiektu. W trakcie wizyty, gdy przechodzimy przez kolejne korytarze i jedziemy windą, jesteśmy rejestrowani przez system CCTV. Posługując się podobnym przykładem, integrator może klientowi zadać pytanie, czy w jego infrastrukturze IT jest zdefiniowany podobny proces, opisany w polityce bezpieczeństwa i określający reguły dostępu. Choćby taką, że nie można po prostu podejść do przełącznika i wpiąć się do niego bez uwierzytelnienia.
Bez określonego przez politykę bezpieczeństwa procesu nie można myśleć o rozwiązaniach zarządzania tożsamością czy narzędziach typu PAM. Uzmysłowienie potrzeby zastosowania polityki bezpieczeństwa i pomoc w jej stworzeniu może być zadaniem dla integratora. Dopiero wtedy, gdy polityka jest zdefiniowana i gotowa do wprowadzenia, klient może rozważać wdrożenie rozwiązania kontroli dostępu.
Zarządzania dostępem potrzebują duzi i mali
Trudno dziś prowadzić działalność biznesową bez połączenia z podmiotami zewnętrznymi. Nic dziwnego, że są klienci, którzy sami zgłaszają się z pytaniem, co zrobić, gdy muszą udostępniać swoje zasoby komuś z zewnątrz, a nie mają nad tym kontroli. Chcą wiedzieć, co wynajęty konsultant tak naprawdę robi w ich systemach. Próbują też ustrzec się przed problemami, gdy będą musieli zmienić swojego administratora – chcą mieć pewność, że prawa dostępu odchodzącego pracownika zostaną w całości przekazane nowemu.
– Wymienionych problemów nie będzie, gdy jedynym sposobem dotarcia do systemu informatycznego dla uprzywilejowanych użytkowników stanie się rozwiązanie klasy PAM – tłumaczy Marcin Marciniak.
W przypadku zarządzania dostępem nie ma znaczenia wielkość klienta, bo ściśle określonych reguł potrzebuje duże przedsiębiorstwo, ale może go wymagać także mniejsza firma. Jednak nie jest równie łatwo sprzedać im narzędzia PAM. Największa walka pomiędzy dostawcami toczy się na rynku enterprise, na którym jest najwięcej pieniędzy. Większa konkurencja sprawia, że klient dostaje kilka ofert, więc dochodzi do bardziej agresywnego grania ceną. Jak twierdzi Paweł Rybczyk z Wallixa, inaczej jest na rynku średnich firm, bo tam często ma się do czynienia z klientem, który nie zetknął się jeszcze z rozwiązaniami konkurencji. A ponieważ średniej wielkości firma często korzysta z outsourcingu, łatwiej przekonać ją do zakupu oferowanego produktu.
– Gdy dojdzie do pokazu, a następnie do testów u klienta, zazwyczaj szybko kończy się to sprzedażą. Zwłaszcza, gdy rozwiązanie wdraża się szybko i bezboleśnie – uważa Paweł Rybczyk.
Także zupełnie małe firmy mają potrzeby związane z zarządzaniem dostępem. Jednak ze względu na specyfikę, ograniczony budżet oraz brak własnej kadry technicznej (szczególnie w obszarze bezpieczeństwa) najbardziej odpowiednią formą wydaje się dla nich usługa „PAM as a Service”. Dostawcy umożliwiają partnerom sprzedaż swoich rozwiązań w modelu abonamentowym i – jak się dowiedzieliśmy – trwają prace nad przygotowaniem tego rodzaju ofert na rynku polskim. Inna rzecz, że będzie to wymagało pokonania dużego oporu klientów przed powierzaniem swojego bezpieczeństwa komuś z zewnątrz.
RODO pomaga w sprzedaży
Znaczenie zabezpieczeń typu PAM rośnie w kontekście mającego niebawem wejść w życie rozporządzenia RODO. Mówi się o tym bardzo wiele, a informacje o konsekwencjach jego wprowadzenia stale docierają do zarządów firm. Choć nowe przepisy nie regulują technicznych kwestii związanych z bezpieczeństwem, to ważne będzie zapewnienie odpowiedniej „higieny” w dostępie do chronionych informacji. Gdy będą one przetwarzane w aplikacji, do której uprzywilejowany dostęp ma ktoś dokonujący np. aktualizacji oprogramowania, wtedy duże znaczenie będzie miało rejestrowanie sesji, mogące wykazać, co działo się z poufnymi danymi, do jakich ta osoba miała dostęp.
Jaki system jest odpowiedni dla klienta?
O wyborze konkretnego rozwiązania może zdecydować prostota jego wdrożenia i użytkowania. W takim ujęciu porównywanie poszczególnych narzędzi może przypominać sytuację z produktami do zapobiegania wyciekom danych z organizacji. Wdrożenie zaawansowanej platformy DLP (Data Leak/Loss Protection) o wielu funkcjach może trwać długo, bo w dużej firmie sporo czasu zabierze określenie, jak zastosować granularną ochronę w poszczególnych jej działach. Dlatego zarówno na rynku ochrony przed wyciekami, jak i narzędzi do zarządzania dostępem można znaleźć produkty oferujące wybrane funkcje, które łatwiej jest wdrożyć i używać. Mogą one być dla klienta rozwiązaniem docelowym bądź przejściowym, zanim firma zdecyduje się na wdrożenie rozbudowanej platformy o wielu zabezpieczeniach i parametrach. Takiej jak IAM, w której PAM jest jednym z wielu dostępnych modułów.
>>> Trzy pytania do…
Jean-Noëla de Galzaina, założyciela i CEO firmy WALLIX
CRN Co skłania klienta do zainteresowania się rozwiązaniami PAM?
Jean-Noël de Galzain Są trzy powody, dla których klient powinien rozważyć użycie narzędzia do zarządzania dostępem uprzywilejowanym. Pierwszym jest compliance, czyli potrzeba zachowania zgodności z wewnętrznymi standardami. Potrzeba zgodności może być też narzucona poprzez zewnętrzne regulacje – prawne i branżowe. W tym kontekście coraz ważniejsze jest wejście w życie rozporządzenia RODO. Drugim powodem jest współpraca z zewnętrznymi firmami – usługodawcami, którym należy zapewnić dostęp, ale powinien być on kontrolowany. Wreszcie o zastosowaniu PAM będzie decydować skala przedsiębiorstwa, bo w dużym podmiocie poziom zaufania do wewnętrznych administratorów powinien być ograniczony.
CRN Czy więc o PAM będą myśleć głównie banki i duże firmy?
Jean-Noël de Galzain Nie jest problemem wielkość firmy, tylko kwestia dojrzałości klienta w podejściu do bezpieczeństwa systemu informatycznego. Czy w danym przedsiębiorstwie jest wprowadzona polityka, która wynikła z zadania sobie różnego rodzaju pytań. Choćby takich: czy po godz. 16.00 każdy może się podłączyć do firmowej infrastruktury? Jeśli ochroniarze powinni zareagować zgodnie z procedurami na powrót po godzinach pracownika do biura, który czegoś zapomniał, to czemu system kontroli dostępu do infrastruktury nie ma zadziałać zgodnie ze zdefiniowanymi regułami?
CRN A dlaczego partnerzy powinni rozważyć możliwość oferowania tego rodzaju systemów?
Jean-Noël de Galzain Dam taki przykład: pyta mnie partner, niewielki integrator, który dotychczas zajmował się systemami do kontroli wydruków – jak wejść w obszar security? Czy powinny to być rozwiązania UTM, firewalle, może antywirusy? Odpowiadam, że zamiast oferować powszechnie dostępne produkty na bardzo konkurencyjnym rynku, lepiej poszukać czegoś świeżego. Łatwo jest bowiem handlowcowi przejść od wyjaśniania klientowi, że zarządzanie wydrukami da kontrolę nad tym, co się drukuje, spowoduje obniżenie kosztów itp., do tłumaczenia, dlaczego warto kontrolować zdalny dostęp administratorów IT czy firm outsourcingowych.
Przy dostosowaniu rozwiązania do konkretnej firmy przede wszystkim musi zostać zadane klientowi pytanie o jego problemy. Wówczas okaże się, czy da się je rozwiązać jedynie poprzez wdrożenie w pełni funkcjonalnego „kombajnu” IAM – nawet jeśli byłoby to czasochłonne. Ewentualnie może stać się oczywiste, że warto skupić się np. na nagrywaniu sesji, które można uruchomić od razu.
Obecni na polskim rynku dostawcy narzędzi PAM to: Balabit, BeyondTrust, Bomgar, CyberArk, Wallix i Wheel Systems. Na wdrożenie ich systemów mogą się decydować także ci klienci, którzy nie mają zamiaru stosować IAM, bo najbardziej zależy im na kontrolowaniu użytkowników uprzywilejowanych. Tak może być w przypadku przedsiębiorstw nastawionych na współpracę z firmami zewnętrznymi, co będzie wymagać zarządzania zdalnym dostępem do systemów informatycznych. PAM z rejestrowaniem sesji będzie w tym przypadku pełnić z jednej strony rolę zabezpieczenia, a z drugiej narzędzia kontroli pracy wykonywanej przez zewnętrzne firmy. Jeśli „obcy” pracownik przy łączeniu zobaczy komunikat „uwaga, twój dostęp może być rejestrowany”, to efektem mogą być zdrowsze relacje pomiędzy stronami.
– Z jednej strony PAM zabezpieczy zleceniodawcę przed zawyżonymi fakturami, a z drugiej może być dla zleceniobiorcy dowodem, że praca została właściwie wykonana – tłumaczy Marcin Marciniak z Versimu.
Gdy klient wreszcie będzie mieć wiedzę, za co płaci, to inwestycja w rozwiązanie do zarządzania dostępem uprzywilejowanym może mu się szybko zwrócić. Dlatego rozmów z przedstawicielami firmy, której oferuje się narzędzia PAM, nie powinno się ograniczać do personelu technicznego. Warto zwracać się do dyrektorów finansowych i zadawać im pytanie, jak dużo obecnie kosztuje ich firmę outsourcing.
Zdaniem integratora
• Grzegorz Kowalczyk, kierownik zespołu IDM, Qumak
Od pewnego czasu obserwujemy rosnące zainteresowanie systemami zarządzania tożsamością oraz zarządzania uprzywilejowanymi kontami. Jeszcze kilka lat temu niewiele firm inwestowało w tego typu narzędzia, skupiając się na bardziej palących potrzebach, takich jak np. systemy DLP czy SIEM. Jednak w wyniku zmiany podejścia do organizacji IT oraz coraz większego wykorzystania chmury rozwiązania IAM/PAM zyskały na popularności. Zarządzający firmami zrozumieli, że bez skupienia się na użytkowniku nie da się zbudować wydajnego systemu ochrony informacji i zasobów. W rezultacie do 2020 r. przedsiębiorstwa mają udostępnić ok. 80 proc. swoich niemających znaczenia dla bezpieczeństwa zasobów (dzisiaj to nie więcej niż 5 proc.), koncentrując się na lepszej ochronie kluczowych danych. W zakresie kont uprzywilejowanych będzie obowiązywała zasada ograniczania ich liczby, większego wykorzystania metod monitorowania oraz bardziej restrykcyjnego przyznawania dostępu na podstawie poziomu ryzyka.
W obszarze bezpieczeństwa rozwiązania PAM mają tę zaletę, że nawet handlowiec, który nie jest mocny w sprawach technicznych, będzie umiał wytłumaczyć potencjalnemu nabywcy, na czym polegają korzyści, jakie osiągnie on w wyniku wdrożenia.
MFA – ważne uzupełnienie zarządzania dostępem
Zarówno IAM, jak i PAM zwiększą ochronę systemu informatycznego, ale stanie się ona jeszcze bardziej skuteczna po zastosowaniu uwierzytelniania wieloskładnikowego (MFA –Multi-Factor Authentication). MFA w dużym stopniu minimalizuje wady tradycyjnej metody dostępu wykorzystującej login i hasło. Hasła można wykraść, zwłaszcza że często są zapisywane przez użytkowników w łatwo dostępnych miejscach i wielu z nich używa tych samych haseł do różnych celów. Nawet jeśli są odpowiednio chronione przed dostępem osób niepowołanych, to mogą zostać złamane – wystarczy odpowiednio wydajna infrastruktura i czas. Aby ułatwić sobie pracę, administratorzy zbyt rzadko wymuszają zmianę haseł, nie lubią też tego sami użytkownicy.
– Największą wadą tradycyjnego systemu z loginem i hasłem jest to, że w przypadku np. kradzieży danych uwierzytelniających nie ma możliwości zidentyfikowanie próby użycia ich przez osobę do tego niepowołaną. Dla systemu IT logowanie wygląda bowiem całkowicie poprawnie – tłumaczy Krzysztof Strąk, Security Business Development Manager w S4E.
Uwierzytelnianie wieloskładnikowe dodaje kolejny poziom logowania się użytkownika do sieci i wymaga dostarczenia dodatkowej informacji. W prostszych metodach jest to coś, co zna jedynie użytkownik, np. jednorazowy kod lub hasło. Formą zabezpieczenia może być również sprawdzenie, czy użytkownik loguje się ze swojego urządzenia (telefon, laptop, PC). Często korzysta się z różnego rodzaju tokenów – sprzętowych albo w postaci oprogramowania na telefon lub komputer, SMS-ów wysyłanych na numer użytkownika bądź też funkcji rozpoznawania głosu.
W najbardziej zaawansowanych systemach uwierzytelniania wykorzystuje się biometrię – odcisk palca, skan twarzy czy tęczówki oka. Jednak zdaniem eksperta z S4E rozwiązania biometryczne, choć są niezwykle skuteczne i zapewniają najwyższy poziom bezpieczeństwa, ze względu na relatywnie wysoki koszt stosuje się najrzadziej.
Warto przekonywać klientów, że zastosowanie MFA to dobra praktyka, która znacząco zwiększy poziom bezpieczeństwa informatycznego firmy. Użycie np. dodatkowych haseł jednorazowych pozwala uniknąć ryzyka związanego z przechwyceniem danych uwierzytelniających przez osoby nieuprawnione, a tym samym minimalizuje ryzyko kradzieży danych lub tożsamości. Co istotne dla klienta, stosowanie uwierzytelnienia wieloskładnikowego może znacząco wpłynąć na zwiększenie produktywności i elastyczności IT. Przy zwiększonym poziomie bezpieczeństwa można bowiem udostępniać użytkownikom kluczowe systemy bez zwiększania ryzyka.
Podobne artykuły
Absolutna kontrola dostępu do sieci
Głównym zadaniem rozwiązania NACVIEW jest zarządzanie dostępem do sieci. Po jego wdrożeniu administrator wie dokładnie kto, za pomocą jakiego urządzenia, w jaki sposób oraz do której części sieci ma dostęp. Dzięki temu możliwe staje się skuteczne egzekwowanie reguł polityki bezpieczeństwa.
NACVIEW: świadome zarządzanie dostępem do sieci
Rozwój rynku inteligentnych rozwiązań IoT, wzrost trendu BYOD, rosnąca ilość zagrożeń płynących z internetu, a także nowe regulacje prawne – to tylko niektóre wyzwania, którym muszą sprostać współcześni przedsiębiorcy. Istnieje wiele rozwiązań, które ich w tym wspierają, wśród nich na szczególną uwagę zasługuje system kontroli dostępu do sieci NACVIEW. Nie tylko podnosi bezpieczeństwo całej sieci korporacyjnej, lecz także wspomaga administratorów w ich codziennej pracy.
Zarządzanie dostępem: hasło to za mało
Hasła są wciąż najpopularniejszym zabezpieczeniem, a przy tym jednym z najsłabszych. Warto więc zainteresować klientów profesjonalną kontrolą dostępu, uwierzytelnianiem wieloskładnikowym, a także biometrią.