Zabezpečení sítě: Význam správy přístupových práv
Správa uživatelských přístupových práv představuje klíčovou úlohu každého správce sítě. Zajištění, aby každý uživatel měl přístup pouze k nezbytným zdrojům, je základním kamenem zabezpečení jakékoliv sítě. V minulosti hrozby pocházely primárně z internetu, pronikaly do sítí prostřednictvím e-mailů či škodlivých webových stránek. Přestože tyto hrozby stále přetrvávají, stále větší nebezpečí pro firemní data přichází zevnitř. Vaši vlastní uživatelé, ať už úmyslně či neúmyslně, se mohou stát zdrojem úniku dat. Proto nástroje pro správu přístupových práv jsou klíčové pro zajištění, aby uživatelé měli přístup jen k tomu, co skutečně potřebují, a aby k citlivým zdrojům měli přístup pouze oprávnění jedinci. Pojďme se blíže podívat na některé z nejlepších nástrojů pro správu přístupových práv dostupných na trhu.
Než se ale pustíme do detailního rozboru konkrétních nástrojů, podívejme se nejprve na význam správy přístupových práv. Vysvětlíme, proč je tento aspekt zabezpečení dat tak důležitý a jaké výzvy představuje pro správce sítě. Dále prozkoumáme správu přístupových práv z pohledu ITIL (Information Technology Infrastructure Library), kde správa přístupu představuje jeden ze základních procesů. Nakonec si shrneme pohled na správu přístupových práv z hlediska bezpečnosti a představíme několik nejlepších nástrojů pro správu přístupových práv.
Základní principy správy přístupových práv
Všichni, kdo pracují v informačních technologiích, jsou si vědomi, že úniky dat se staly téměř každodenní realitou. Ačkoliv by se mohlo zdát, že za úniky dat stojí především zlomyslní hackeři či zpravodajské agentury s pokročilými technologiemi, realita je odlišná. I když vnější hrozby existují, značná část rizika plyne zevnitř. A vnitřní rizika mohou být stejně závažná jako vnější.
Vnitřní rizika mohou mít mnoho podob. Mohou pramenit z úmyslných činů zaměstnanců, kteří se snaží nelegálně obohatit prodejem důvěrných informací konkurenci. Stejně tak však mohou vzniknout i z neúmyslných chyb, kdy například někteří zaměstnanci ignorují bezpečnostní pravidla, nebo mají příliš široký přístup k firemním datům a dalším zdrojům.
Podle zprávy o vnitřních hrozbách z roku 2018 (odkaz vede na PDF), 90 % organizací se cítí zranitelných vůči útokům zevnitř. Mezi hlavní příčiny patří nadměrná přístupová oprávnění, rostoucí počet zařízení s přístupem k důvěrným datům a celková složitost informačních systémů. Proto je správa přístupových práv tak důležitá. Omezením přístupu uživatelů ke sdíleným souborům, službě Active Directory a dalším zdrojům na základě skutečných potřeb, se významně sníží riziko škodlivých i náhodných útoků, narušení a ztráty dat.
Avšak takový přístup se snadněji říká, než dělá. Moderní sítě se často rozprostírají do velkých geografických oblastí a skládají se z tisíců zařízení. Správa přístupových práv se tak může rychle stát obrovským a rizikovým úkolem. V takových situacích se nástroje pro správu přístupových práv stávají nepostradatelnými.
Správa přístupových práv a ITIL
IT Infrastructure Library (ITIL) představuje soubor osvědčených postupů a procesů pro týmy informačních technologií. Jeho cílem je vyvinout efektivní metody pro poskytování IT služeb, neboli katalog nejlepších postupů pro IT organizace. Správa přístupu je jedním z klíčových procesů ITIL. Zjednodušeně lze cíl tohoto procesu popsat jako „poskytnout oprávněným uživatelům právo používat službu a zároveň zabránit přístupu neoprávněným uživatelům.“
Správa přístupových práv jako bezpečnostní opatření
Někteří odborníci považují správu přístupových práv za součást správy sítě, jiní za součást bezpečnosti IT. Ve skutečnosti jde o kombinaci obojího. V menších organizacích se o administraci i bezpečnost často starají stejné týmy, takže toto rozlišení není příliš důležité. Nicméně ve větších podnicích, které mají oddělené týmy pro správu sítě a zabezpečení IT, toto rozlišení může být důležité.
Nejlepší nástroje pro správu přístupových práv
Hledání vyhrazených nástrojů pro správu přístupových práv se ukázalo být náročnější, než se zdálo. Důvodem je, že mnoho nástrojů je prodáváno spíše jako bezpečnostní nástroje nebo jako nástroje pro audit Active Directory. Náš seznam proto zahrnuje nástroje, které mohou pomoci správcům zajistit, aby uživatelé měli přístup pouze k tomu, co skutečně potřebují. Některé z těchto nástrojů usnadňují přidělování a správu oprávnění, zatímco jiné slouží k auditu a kontrole, kdo má k čemu přístup.
1. SolarWinds Access Rights Manager (bezplatná zkušební verze)
Společnost SolarWinds není v síťařské komunitě žádným nováčkem. Je známá tím, že vyvíjí špičkové nástroje pro správu sítě. Například její produkt SolarWinds Network Performance Monitor patří k nejlepším nástrojům pro monitorování sítě. Kromě placených řešení nabízí SolarWinds také bezplatné nástroje, které řeší specifické potřeby správců sítí, jako je například bezplatná kalkulačka podsítě či jednoduchý server TFTP.
SolarWinds Access Rights Manager (často označovaný jako ARM) je nástroj navržený tak, aby pomáhal správcům sítě udržovat přehled o uživatelských oprávněních a přístupových právech. Tento nástroj je optimalizován pro sítě založené na Active Directory a usnadňuje zřizování a rušení uživatelských účtů, sledování a monitorování uživatelských aktivit. Pomáhá minimalizovat riziko vnitřních útoků tím, že umožňuje snadnou správu a monitorování uživatelských oprávnění, a zajišťuje, aby nebyla udělena žádná zbytečná oprávnění.
Po spuštění SolarWinds Access Rights Manager vás pravděpodobně zaujme jeho intuitivní ovládací panel, který umožňuje vytvářet, upravovat, mazat, aktivovat a deaktivovat uživatelské přístupy k různým souborům a složkám. Nástroj také obsahuje šablony pro specifické role, které usnadňují udělení uživatelům přístup ke konkrétním zdrojům. Vytváření a rušení uživatelských účtů je záležitostí několika kliknutí. To je jen malý náhled funkcí, které SolarWinds Access Rights Manager nabízí. Podívejme se na přehled některých z nejvýznamnějších funkcí tohoto nástroje.
Nástroj umožňuje sledování a auditování změn jak ve službě Active Directory, tak v zásadách skupiny. Správci sítě mohou snadno zjistit, kdo provedl jaké změny v nastavení zásad skupiny nebo služby Active Directory, včetně data a časové značky změn. Tyto informace usnadňují odhalení neoprávněných uživatelů a škodlivých, či nevědomých, činů. Je to zásadní krok k udržení kontroly nad přístupovými právy a k včasnému zjištění potenciálních problémů.
Útoky často pramení z toho, že uživatelé, kteří nemají mít oprávnění, přistupují ke složkám a/nebo jejich obsahu. Tato situace je běžná, pokud uživatelé mají široký přístup ke složkám či souborům. SolarWinds Access Rights Manager pomáhá těmto typům úniků a neoprávněným změnám důvěrných dat a souborů zabránit tím, že správcům poskytuje vizuální znázornění oprávnění napříč více souborovými servery. Jednoduše řečeno, nástroj vám umožňuje zjistit, kdo má jaké oprávnění k jakému souboru.
Monitorování Active Directory, GPO, souborů a složek je důležitá funkce, ale SolarWinds Access Rights Manager jde ještě dál. Kromě správy uživatelů můžete také analyzovat, kteří uživatelé přistupovali ke kterým službám a zdrojům. Nástroj poskytuje přehled o členství ve skupinách v rámci Active Directory a souborových serverů, což správcům usnadňuje předcházení útokům zevnitř.
Žádný nástroj není kompletní, pokud neumí generovat reporty. Pokud potřebujete nástroj, který dokáže vytvářet důkazy pro budoucí spory nebo soudní řízení, pak je tento nástroj pro vás. Stejně tak je užitečný pro vytváření podrobných reportů pro účely auditu a splnění regulačních standardů.
SolarWinds Access Rights Manager usnadňuje vytváření reportů, které reagují na požadavky auditorů a splňují regulační normy. Lze je rychle vytvořit pomocí několika kliknutí. Reporty mohou obsahovat jakékoli informace, na které si vzpomenete, jako jsou například aktivity protokolu ve službě Active Directory a přístupy k souborovému serveru. Je jen na vás, jak podrobný report vytvoříte.
SolarWinds Access Rights Manager nabízí možnost ponechat správu přístupových práv v rukou tvůrce daného objektu. Například uživatel, který vytvořil soubor, má právo určit, kdo k němu má mít přístup. Tento samo-opravňovací systém pomáhá zamezit neoprávněnému přístupu k informacím. Vlastník zdroje má nejlepší přehled o tom, kdo k němu má mít přístup. Tento proces je řízen webovým portálem, který usnadňuje vlastníkům zdrojů zpracování žádostí o přístup a nastavení oprávnění.
SolarWinds Access Rights Manager umožňuje odhadovat úroveň rizika v reálném čase. Tato hodnota se vypočítává pro každého uživatele na základě jeho přístupových práv a oprávnění. Správci sítě a členové bezpečnostních týmů IT tak mají přehled o aktivitě uživatelů a míře rizika, které každý zaměstnanec představuje. Díky této funkci mohou lépe monitorovat uživatele s vyšším rizikem.
Tento nástroj se nezaměřuje pouze na správu práv Active Directory, ale také na práva Microsoft Exchange. Produkt významně zjednodušuje monitorování a audit na serveru Exchange a pomáhá předcházet narušení dat. Může sledovat změny poštovních schránek, složek poštovních schránek, kalendářů a veřejných složek.
Stejně jako v případě Exchange, SolarWinds Access Rights Manager funguje i v součinnosti se SharePointem. Systém správy uživatelů ARM zobrazuje oprávnění SharePointu ve stromové struktuře, což umožňuje správcům rychle zjistit, kdo má přístup ke konkrétnímu prostředku SharePointu.
Automatizovaný systém, který monitoruje vaše prostředí, je skvělá věc. Ještě lepší je, pokud vás dokáže upozornit, jakmile dojde k něčemu neobvyklému. A právě k tomu slouží SolarWinds Access Rights Manager s výstražným systémem. Podsystém informuje pracovníky podpory o dění v síti pomocí upozornění na předem definované události, jako jsou například změny souborů nebo změny oprávnění. Tato upozornění pomáhají zmírnit a předcházet únikům dat.
SolarWinds Access Rights Manager je licencován na základě počtu aktivních uživatelů v Active Directory. Aktivní uživatel je buď aktivní uživatelský účet, nebo servisní účet. Cena za produkt začíná na 2 995 USD pro až 100 aktivních uživatelů. Ceny pro větší počet uživatelů (až 10 000) lze získat kontaktováním prodejců SolarWinds, ale za takový počet uživatelů počítejte s částkou vyšší než 130 000 USD. Před zakoupením si můžete nástroj vyzkoušet zdarma, a to v 30denní zkušební verzi bez omezení počtu uživatelů.
2. Netwrix
Netwrix není primárně nástroj pro správu přístupových práv. Jedná se o „platformu pro viditelnost, analýzu chování uživatelů a zmírňování rizik“, jak uvádí výrobce. Nicméně, Netwrix je nástroj, který vám může pomoci dosáhnout podobných cílů jako s nástrojem pro správu přístupových práv.
Konkrétně, Netwrix vám pomůže odhalit rizika zabezpečení dat a anomální chování uživatelů dříve, než povedou k narušení dat. Nástroj poskytuje přehled o vašem zabezpečení pomocí interaktivních panelů pro hodnocení rizik. Pomáhá rychle identifikovat slabá místa a využívá vestavěnou inteligenci pro snížení rizika zneužití ze strany útočníků i zaměstnanců.
Produkt také obsahuje upozornění, která vás varují před neoprávněnou aktivitou, a umožňují tak rychle reagovat a zabránit narušení bezpečnosti. Můžete například nastavit upozornění, kdykoliv je někdo přidán do skupiny Enterprise Admins, nebo když uživatel v krátké době upraví velké množství souborů, což může indikovat ransomware útok.
Ceny nástroje Netwrix lze získat přímo od prodejce. K dispozici je také bezplatná zkušební verze, která trvá 20 dní (většina zkušebních verzí trvá 30 dní).
3. Varonis
Varonis je společnost zabývající se kybernetickou bezpečností, jejímž hlavním posláním je chránit data před ztrátou. Ačkoli nenabízí nástroj pro přímou správu uživatelského přístupu, zaslouží si být na našem seznamu. Není koneckonců primárním cílem jakéhokoli systému správy přístupových práv ochrana dat?
Platforma Varonis je navržena tak, aby chránila vaše nejcennější a nejzranitelnější data. Jejím klíčovým principem je ochrana dat samotných. Uživatelé mohou s její pomocí bránit svá data před útoky zevnitř i zvenčí. Systém eliminuje opakované manuální procesy a automatizuje postupy ochrany dat. Tento koncept je jedinečný tím, že kombinuje bezpečnost s úsporou nákladů, což není příliš běžné.
Platforma Varonis detekuje vnitřní hrozby a kybernetické útoky pomocí analýzy dat, aktivity účtů a chování uživatelů. Předchází katastrofám tím, že chrání citlivá a zastaralá data, a efektivně a automaticky udržuje vaše data v zabezpečeném stavu.
4. STEALTHbits
STEALTHbits nabízí sadu řešení pro správu a zabezpečení Active Directory. Umožňuje inventarizovat a čistit Active Directory, auditovat oprávnění a spravovat přístup, vracet nežádoucí nebo škodlivé změny, a monitorovat a odhalovat hrozby v reálném čase. Nabízí komplexní ochranu firemních dat. Proces čištění a řízení přístupu pomáhá bránit Active Directory proti útokům zevnitř i zvenčí.
Mezi hlavní funkce nástroje patří auditování Active Directory. Inventarizuje, analyzuje a generuje reporty o Active Directory za účelem jeho zabezpečení a optimalizace. STEALTHbits dokáže auditovat změny v Active Directory a dosahovat tak bezpečnosti a souladu s normami prostřednictvím reportů v reálném čase, upozornění a blokování změn. Další užitečnou funkcí je čištění Active Directory, které umožňuje odstranit zastaralé objekty, toxické podmínky a vlastníky skupin.
Auditování a reporting oprávnění Active Directory umožňuje generovat reporty o doméně, organizační jednotce a oprávněních k objektům. Dále nabízí vrácení a obnovu Active Directory, které umožňují snadno opravit nežádoucí změny a konsolidovat domény. To vám dává zpět kontrolu nad Active Directory pomocí jednoduchého pracovního postupu.