Jednym z największych wyzwań związanych z bezpieczeństwem IT, jest zapobieganie wykonywania nieuprawnionych czynności przez uprzywilejowanych użytkowników (administratorów). Podczas gdy uprawnienia zwykłych użytkowników stron internetowych, aplikacji biznesowych czy systemów operacyjnych są dobrze zdefiniowane i ograniczone, to niestety administratorzy pozostają̨ zazwyczaj poza wszelką kontrolą i nadzorem. Należy pamiętać, że ryzyko niesione przez konta użytkowników uprzywilejowanych, rośnie wraz ze wzrostem ich uprawnień w systemach informatycznych.

Administratorzy systemów i inni uprzywilejowani użytkownicy na ogół mają możliwość nawiązania zdalnego połączenia do administrowanych systemów ze swojej stacji roboczej, w taki sposób, że widzą ekran zdalnego urządzenia/serwera, jakby faktycznie siedzieli przed monitorem do niego podłączonym. W rzeczywistości, sami administratorzy zazwyczaj znajdują się nawet w innej części świata. Obecnie duże centra danych są lokalizowane w różnych regionach świata. Duże firmy mają także wiele centrów danych i różnych działów biznesowych (IT, HR, obsługi klienta, sprzedaży, finansów, itp.), które często działają w różnych częściach świata. Dlatego zdalny dostęp do serwerów/urządzeń jest w zasadzie standardem codziennej pracy administratorów.

Kim są użytkownicy uprzywilejowani? Na pierwszą myśl, odpowiedź jest prosta – są to administratorzy. Ale tak naprawdę pojęcie użytkowników uprzywilejowanych obejmuje nie tylko administratorów, ale znaczną szerszą grupę tożsamości w przedsiębiorstwie. Można ich podzielić na następujące rodzaje:

• użytkownicy korzystający ze współdzielonych kont administracyjnych – współdzielone konta administracyjne istnieją w prawie każdym systemie, urządzeniu lub aplikacji. Wybrane przykłady to: Administrator w Microsoft Windows czy root w systemie UNIX/Linux. W Oracle istnieje konto SYS, a w Microsoft SQL Server konto SA. Takie konta mają pełne uprawnienia i na ogół są współdzielone przez kilka osób w działach IT,
• użytkownicy korzystający z osobistych kont uprzywilejowanych – czyli kont imiennych, które są wykorzystywane przez użytkowników biznesowych i pracowników IT. Konta te mają wysoki poziom uprawnień i ich zastosowanie (lub nadużycie) może znacząco wpłynąć na działalność organizacji. Użytkownikami mającymi dostęp do tych kont są zazwyczaj menedżerowie lub pracownicy IT,
• użytkownicy korzystający z kont alarmowych (ang. break-glass users) – specjalne, awaryjne konta posiadające podwyższone uprawnienia, a używane w nagłych sytuacjach np. w konieczności naprawy awarii lub gdy podstawowy mechanizm uwierzytelniania nie jest dostępny. Na ogół skorzystanie z nich wymaga specjalnej zgody kierownictwa,
• konta serwisowe lub techniczne – specjalne konta, posiadające nierzadko nieograniczony dostęp do pewnych fragmentów infrastruktury np. bazy danych finansowych lub systemu transakcyjnego banku, które są wykorzystywane do uruchamiania usług lub do komunikacji aplikacji między sobą,
• użytkownicy korzystający z wrażliwych systemów biznesowych – w każdej firmie, istnieje kilku „specjalnych” pracowników, którzy mają dostęp do poufnych danych przechowywanych w kluczowych aplikacjach, takich jak SAP czy aplikacje biznesowe. Przykłady takich użytkowników to księgowi, menedżerowie HR lub niektórzy pracownicy obsługi klienta.

Jak widać, poza administratorami istnieje kilka innych rodzajów użytkowników w środowisku IT, które mają wysokie przywileje. By skomplikować sprawę, często kilku pracowników współdzieli dostęp do tych kont, co utrudnia śledzenie, który z nich w rzeczywistości korzystał z danego konta w konkretnym momencie, gdy miał miejsce np. incydent.

Użytkownicy uprzywilejowani są potencjalnym źródłem zagrożenia dla bezpieczeństwa w wielu różnych sytuacjach. W większości firm, użytkownicy na różnych poziomach organizacyjnych mają możliwość bezpośredniego dostępu i manipulowania najbardziej poufnymi informacjami, takimi jak CRM, ewidencja danych kadrowych lub numery kart kredytowych. Użytkownikami tymi mogą być pracownicy działów prawnych, menedżerowie HR, księgowi oraz szereg innych osób w organizacji. Poprzez utratę danych lub ich wyciek, użytkownicy biznesowi mogą spowodować ogromne szkody dla reputacji firmy.

Poza uprzywilejowanymi użytkownikami biznesowymi, istnieją osoby będące administratorami IT, zewnętrznymi konsultantami czy kierownikami poziomu CxO, które często mają praktycznie nieograniczony i niekontrolowany dostęp do zasobów informacyjnych firmy. Większość pracowników jest wiarygodna i uczciwa, jednak zawsze w dużej grupie ludzi mogą znaleźć się osoby, które nadużywają pokładanego w nich zaufania, i administratorzy nie są tutaj wyjątkiem. Ci użytkownicy mogą celowo – lub przypadkowo – podejmować szkodliwe działania w systemach informatycznych, które mogą spowodować ogromne szkody dla firmy.

Jakie najważniejsze cechy powinien posiadać dojrzały i profesjonalny system klasy PIM/PUM/PAM?

• Kontrolowanie dostępu użytkowników do uprzywilejowanych kont (uwierzytelnienie użytkownika, ograniczenie dostępu na podstawie polityki czasowych i innych zasad),
• Zarządzanie i kontrolowanie sesji uprzywilejowanych (np. ograniczając dostęp administracyjny do serwerów),
• Rejestrowanie sesji wykorzystujących konta współdzielone i super-administratorów (np. root),
• Zbieranie informacji przydatnych z punktu widzenia informatyki śledczej, zarządzania zgodnością itp.

Rozwiązanie oferowane przez APIUS spełnia wszystkie w/w cechy i jest oparte na czterech podstawowych elementach:

• Balabit ShellControlBox (SCB) – narzędzie służące kontroli zdalnych dostępów do administrowanych zasobów,
• Lieberman Enterprise Random Password Manager (ERPM) – oprogramowanie służące do zarządzania kontami i hasłami użytkowników uprzywilejowanych i współdzielonych,
• Splunk – oprogramowanie pozwalające na rejestrowanie zdarzeń i incydentów bezpieczeństwa,
• Apius App for Balabit&Liebsoft.