Správa přístupových práv uživatelů je nezbytnou součástí práce každého správce sítě. Zajištění toho, že každý uživatel má přístup pouze ke zdrojům, které potřebuje, je nejzákladnějším krokem v zabezpečení jakékoli sítě. Bývaly doby, kdy počítačové hrozby pocházely z internetu a dostávaly se do sítí prostřednictvím e-mailů nebo škodlivých webových stránek. I když tomu tak stále je, stále větší riziko pro vzácná firemní data přichází zevnitř. Zdrojem úniků vašich dat mohou být vaši uživatelé, ať už kvůli zlým úmyslům nebo hloupé neznalosti. Nástroje pro správu přístupových práv vám mohou pomoci zajistit, že uživatelé budou mít přístup pouze k tomu, co skutečně potřebují, a že ke každému zdroji budou mít přístup pouze uživatelé, kteří to skutečně potřebují. Čtěte dále, když si projdeme některé z nejlepších nástrojů pro správu přístupových práv, které jsou dnes k dispozici.
Než se však blíže podíváme na nejlepší dostupné nástroje, pojďme nejprve prozkoumat správu přístupových práv. Vysvětlíme, proč je to tak důležitý aspekt zabezpečení vašich dat a jakým problémům čelí správci sítí. Prozkoumáme také správu přístupových práv z pohledu ITIL. Ostatně Access Management je jedním ze základních procesů rámce ITIL. A zakončíme diskuzí o správě přístupových práv z hlediska zabezpečení. Nakonec se podíváme na několik nejlepších nástrojů pro správu přístupových práv, které jsme mohli najít.
Table of Contents
Správa přístupových práv
Každý v komunitě informačních technologií ví, že úniky dat se staly běžným – a téměř nevyhnutelným – výskytem. A i když můžeme být v pokušení myslet si, že to dělají pouze zlomyslní hackeři a zločinci nebo zpravodajské agentury temných zemí, které mají přístup k sofistikovaným technologiím navrženým tak, aby pronikly i do těch nejbezpečnějších sítí, je to bohužel daleko od pravdy. I když tyto vnější útoky existují, část rizika přichází zevnitř. A vnitřní riziko může být stejně vysoké jako to vnější.
Toto vnitřní riziko může mít mnoho podob. Na jedné straně mohou bezohlední zaměstnanci hledat způsob, jak rychle vydělat peníze prodejem důvěrných dat konkurentům. Ale kromě toho, že jde o akt neúmyslných jednotlivců v rámci společnosti, může k porušení dat dojít také náhodně. Někteří zaměstnanci mohou například ignorovat bezpečnostní zásady. Ještě horší je, že mohou mít příliš velký přístup k podnikovým datům a dalším zdrojům.
CA Technologies uvádí ve svém Zpráva o vnitřní hrozbě za rok 2018 (!pdf odkaz), že 90 % organizací se cítí zranitelných vůči útokům zevnitř. Zpráva dále také uvádí, že hlavními příčinami útoků zevnitř jsou nadměrná přístupová oprávnění, zvyšující se počet zařízení s přístupem k důvěrným datům a celkově rostoucí složitost informačních systémů jako celku. To ukazuje důležitost správy přístupových práv. Poskytnout uživatelům omezený přístup ke sdíleným souborům, službě Active Directory a dalším zdrojům v rámci organizace na základě skutečných potřeb je jedním z nejlepších způsobů, jak snížit možnost škodlivých i náhodných útoků a narušení a ztrát dat.
Bohužel se to snadněji řekne, než udělá. Dnešní sítě se často rozprostírají do širokých geografických oblastí a skládají se z tisíců zařízení. Správa přístupových práv se může rychle změnit v obrovský úkol, plný rizik a nástrah všeho druhu. Zde se mohou hodit nástroje pro správu přístupových práv.
Správa přístupových práv a ITIL
IT Infrastructure Library neboli ITIL je soubor pokynů a doporučených procesů pro týmy informačních technologií. Cílem ITIL je konkrétně vyvinout efektivní a efektivní metody pro poskytování IT služeb nebo jinými slovy katalog druhů nejlepších praktik pro IT organizaci. Správa přístupu je jedním z procesů ITIL. Cíl procesu je velmi zjednodušeně popsán jako „udělit oprávněným uživatelům právo používat službu a zároveň zabránit přístupu neoprávněným uživatelům“.
Správa přístupových práv jako bezpečnostní opatření
Zatímco někteří budou tvrdit, že správa přístupových práv je součástí správy sítě, jiní budou tvrdit, že je to součást bezpečnosti IT. Ve skutečnosti je to asi trochu obojí. Ale ve skutečnosti na tom záleží pouze ve větších podnicích, které mají samostatné týmy pro správu sítě a zabezpečení IT. V menších organizacích se stejné týmy často starají jak o administraci, tak o zabezpečení, což efektivně řeší otázku.
Nejlepší nástroje pro správu přístupových práv
Najít vyhrazené nástroje pro správu přístupových práv se ukázalo být těžší, než se očekávalo. To je pravděpodobně způsobeno skutečností, že mnoho nástrojů se ve skutečnosti prodává jako bezpečnostní nástroje nebo jako nástroje pro audit AD. To, co jsme se rozhodli zahrnout do našeho seznamu, jsou nástroje, které mohou správcům pomoci zajistit, aby uživatelé měli přístup k tomu, co potřebují, a k ničemu jinému. Některé jsou nástroje, které pomáhají s přidělováním práv a jejich správou, zatímco jiné jsou nástroje pro audit, které mohou skenovat vaši síť a hlásit, kdo má k čemu přístup.
1. Správce přístupových práv SolarWinds (bezplatná zkušební verze)
SolarWinds není třeba u správců sítě představovat. Společnost, která existuje již léta, je známá tím, že vydává některé z nejlepších nástrojů pro správu sítě. Jeho vlajkový produkt, nazvaný SolarWinds Network Performance Monitor, trvale boduje mezi nejlepšími nástroji pro monitorování sítě. SolarWinds je také známý tím, že vytváří skvělé bezplatné nástroje, které řeší specifické potřeby síťových administrátorů. Mezi tyto nástroje patří bezplatná kalkulačka podsítě a jednoduchý, ale užitečný server TFTP.
The Správce přístupových práv SolarWinds (který je často označován jako PAŽE) byl vytvořen s cílem pomoci správcům sítě udržet si přehled o uživatelských oprávněních a přístupových oprávněních. Tento nástroj pracuje se sítěmi založenými na Active Directory a je zaměřen na usnadnění zřizování a zrušení poskytování, sledování a monitorování uživateli. A může samozřejmě pomoci minimalizovat šance na útoky zevnitř tím, že nabízí snadný způsob správy a monitorování uživatelských oprávnění a zajišťuje, že nebudou udělena žádná zbytečná oprávnění.
Jedna věc, která vás pravděpodobně napadne, když používáte Správce přístupových práv SolarWinds je jeho intuitivní ovládací panel pro správu uživatelů, kde můžete vytvářet, upravovat, mazat, aktivovat a deaktivovat uživatelské přístupy k různým souborům a složkám. Tento nástroj také obsahuje šablony specifické pro role, které mohou uživatelům snadno poskytnout přístup ke konkrétním zdrojům ve vaší síti. Tento nástroj vám umožňuje snadno vytvářet a mazat uživatele pomocí několika kliknutí. A to je jen začátek, Správce přístupových práv SolarWinds nezanechává mnoho funkcí. Zde je přehled některých nejzajímavějších funkcí tohoto nástroje.
Tento nástroj lze použít ke sledování a auditu změn jak služby Active Directory, tak zásad skupiny. Správci sítě jej mohou použít ke snadnému zobrazení toho, kdo provedl jaké změny v nastavení zásad skupiny nebo služby Active Directory, a také datum a časové razítko těchto změn. Tyto informace jistě usnadní odhalení neoprávněných uživatelů a jak škodlivých, tak nevědomých činů spáchaných kýmkoli. Toto je jeden z prvních kroků k zajištění toho, že si udržíte určitou míru kontroly nad přístupovými právy a že budete informováni o všech potenciálních problémech dříve, než budou mít nepříznivý dopad.
K útokům často dochází, když ke složkám a/nebo jejich obsahu přistupují uživatelé, kteří nemají – nebo by neměli mít – oprávnění k přístupu k nim. Tato situace je běžná, když je uživatelům udělen široký přístup ke složkám nebo souborům. SolarWinds Access Rights Manager vám může pomoci zabránit těmto typům úniků a neoprávněným změnám důvěrných dat a souborů tím, že administrátorům poskytne vizuální znázornění oprávnění pro více souborových serverů. Stručně řečeno, nástroj vám umožňuje zjistit, kdo má jaké oprávnění k jakému souboru.
Monitorování AD, GPO, souborů a složek je jedna věc – a důležitá – ale Správce přístupových práv SolarWinds jde mnohem dále než to. Nejen, že jej můžete použít ke správě uživatelů, ale můžete také analyzovat, kteří uživatelé přistupovali ke kterým službám a zdrojům. Tento produkt vám poskytuje bezprecedentní přehled o členství ve skupinách v rámci Active Directory a souborových serverů. Staví vás, správce, do jedné z nejlepších pozic, jak zabránit útokům zevnitř.
Žádný nástroj není kompletní, pokud nemůže hlásit, co dělá a co najde. Pokud potřebujete nástroj, který dokáže generovat důkazy, které lze použít v případě budoucích sporů nebo případných soudních sporů, tento nástroj je pro vás. A pokud potřebujete podrobné zprávy pro účely auditu a pro splnění specifikací stanovených regulačními standardy, které se vztahují na vaši firmu, najdete je také.
SolarWinds Access Rights Manager vám snadno umožní vytvářet skvělé zprávy, které přímo řeší obavy auditorů a shodu s regulačními standardy. Lze je rychle a snadno vytvořit pomocí několika kliknutí. Zprávy mohou obsahovat jakékoli informace, na které si vzpomenete. Do zprávy lze například zahrnout aktivity protokolu ve službě Active Directory a přístupy k souborovému serveru. Je na vás, abyste je sestavili tak souhrnně nebo tak podrobně, jak potřebujete.
The Správce aktivních práv SolarWinds nabízí správcům sítě možnost ponechat správu přístupových práv k danému objektu v rukou toho, kdo jej vytvořil. Například uživatel, který vytvořil soubor, mohl určit, kdo k němu má přístup. Takový samopovolovací systém slouží k zabránění neoprávněnému přístupu k informacím. Koneckonců, kdo ví, kdo by měl ke zdroji přistupovat lépe než ten, kdo jej vytváří? Tento proces se provádí prostřednictvím webového portálu pro vlastní povolení, který vlastníkům zdrojů usnadňuje zpracování požadavků na přístup a nastavení oprávnění.
The Správce přístupových práv SolarWinds lze také použít k odhadu úrovně rizika pro vaši organizaci v reálném čase a kdykoli. Toto procento rizika se vypočítá pro každého uživatele na základě jeho úrovně přístupu a oprávnění. Tato funkce umožňuje správcům sítě a členům bezpečnostních týmů IT mít úplnou kontrolu nad činností uživatelů a úrovní rizika, které každý zaměstnanec představuje. Když budete vědět, kteří uživatelé mají nejvyšší úrovně rizika, budete je moci lépe sledovat.
Tento nástroj nezahrnuje pouze správu práv Active Directory, ale také se postará o práva Microsoft Exchange. Tento produkt vám může výrazně pomoci zjednodušit monitorování a audit na serveru Exchange a také vám může pomoci zabránit narušení dat. Může sledovat změny poštovních schránek, složek poštovních schránek, kalendářů a veřejných složek.
A stejně jako to můžete použít s Exchange, můžete také použít tento Správce přístupových práv SolarWinds vedle SharePointu. The PAŽE systém správy uživatelů zobrazí oprávnění SharePointu ve stromové struktuře a umožní správcům rychle zjistit, kdo má oprávnění k přístupu k danému prostředku SharePointu.
Jakkoli je skvělé mít automatizovaný systém, který monitoruje vaše prostředí, je ještě lepší, když má možnost vás upozornit, kdykoli je detekováno něco neobvyklého. A přesně k tomuto účelu slouží Správce přístupových práv SolarWinds“ výstražný systém. Subsystém bude informovat pracovníky podpory o tom, co se děje v síti, vydáváním upozornění na předem definované události. Mezi typy událostí, které mohou spouštět výstrahy, patří změny souborů a změny oprávnění. Tato upozornění mohou pomoci zmírnit a zabránit únikům dat.
SolarWinds Access Rights Manager je licencován na základě počtu aktivovaných uživatelů v rámci Active Directory. Aktivovaný uživatel je buď aktivní uživatelský účet nebo servisní účet. Ceny za produkt začínají na 2 995 USD pro až 100 aktivních uživatelů. Pro více uživatelů (až 10 000) lze podrobné ceny získat kontaktováním prodejců SolarWinds, ale očekávejte, že za takový počet uživatelů zaplatíte více než 130 000 USD. A pokud byste si nástroj před zakoupením raději vyzkoušeli, lze získat bezplatnou, uživatelem neomezenou 30denní zkušební verzi.
2. Netwrix
Netwrix ve skutečnosti není nástrojem pro správu přístupových práv. Je to podle vlastních slov vydavatele „platforma viditelnosti pro analýzu chování uživatelů a zmírňování rizik“. Páni! To je vymyšlené jméno, ale ve skutečnosti Netwrix je typ nástroje, který můžete použít k dosažení stejných cílů, jaké máte při používání.
Konkrétně můžete použít Netwrix k odhalení rizik zabezpečení dat a anomálního chování uživatelů dříve, než povedou k narušení dat. Tento nástroj vám poskytne pohled z ptačí perspektivy na vaši bezpečnostní pozici pomocí interaktivních panelů pro hodnocení rizik. Může pomoci rychle identifikovat vaše největší bezpečnostní mezery a využít svou vestavěnou akční inteligenci ke snížení schopnosti vetřelců a zasvěcených osob způsobit škody.
Produkt také obsahuje upozornění, která lze použít k upozornění na jakoukoli neoprávněnou aktivitu, jakmile k ní dojde, což vám dává větší šanci zabránit narušení bezpečnosti. Můžete si například vybrat, zda chcete být upozorněni, kdykoli je někdo přidán do skupiny Enterprise Admins nebo když uživatel během krátké doby upraví mnoho souborů, což může být známkou ransomwarového útoku.
Informace o cenách pro Netwrix lze získat přímým kontaktováním prodejce. A pokud chcete ochutnat produkt, je k dispozici bezplatná zkušební verze, i když trvá pouze 20 dní, zatímco většina zkoušek je 30denní.
3. Varonis
Varonis je společnost zabývající se kybernetickou bezpečností, jejímž hlavním posláním je chránit vaše data před ztrátou. Takže navzdory skutečnosti, že nemají k dispozici nástroj pro správu přímého uživatelského přístupu, cítili jsme, že si zaslouží být na našem seznamu. Není to koneckonců primárním cílem jakéhokoli systému správy přístupových práv?
VaronisŠpičková platforma je navržena tak, aby chránila vaše nejcennější a nejzranitelnější data. A abychom toho dosáhli, začíná to u srdce: samotných dat. Pomocí platformy mohou uživatelé bránit svá data před útoky zevnitř i zvenčí. Systém eliminuje opakované procesy ručního čištění a automatizuje postupy ruční ochrany dat. Tento koncept je jedinečný v tom, že spojuje bezpečnost a úsporu nákladů, což není příliš obvyklé.
The Varonis platforma detekuje vnitřní hrozby a kybernetické útoky pomocí analýzy dat, aktivity účtu a chování uživatelů. Předchází a omezuje katastrofu uzamčením citlivých a zastaralých dat a efektivně a automaticky udržuje vaše data v zabezpečeném stavu.
4. STEALTH bity
STEALTHbits nabízí sadu řešení pro správu a zabezpečení Active Directory, která organizacím umožňují inventarizovat a čistit Active Directory, auditovat oprávnění a spravovat přístup, vrátit zpět a zotavit se z nechtěných nebo škodlivých změn a monitorovat a odhalovat hrozby v reálném čase. Nabízí všestrannou ochranu vašich firemních dat. Proces čištění a řízení přístupu může účinně bránit Active Directory proti útokům zevnitř i zvenčí.
Mezi hlavní funkce nástroje patří auditování AD. Bude inventarizovat, analyzovat a hlásit o službě Active Directory, aby ji zabezpečil a optimalizoval. STEALTHbits mohou také provádět auditování změn Active Directory, čímž dosahují zabezpečení a souladu prostřednictvím hlášení v reálném čase, upozorňování a blokování změn. Další užitečnou funkcí tohoto nástroje je funkce čištění Active Directory, kterou můžete použít k vyčištění zastaralých objektů AD, toxických podmínek a vlastníků skupin.
Auditování a vytváření sestav oprávnění Active Directory nástroje lze použít k vytváření sestav o doméně AD, organizační jednotce a oprávněních k objektům. K dispozici je také vrácení a obnovení služby Active Directory, které snadno opraví nežádoucí změny služby Active Directory a konsolidaci domén, což vám umožní získat zpět kontrolu nad službou Active Directory prostřednictvím snadného pracovního postupu.