Što je upravljanje pristupom s ovlastima (privileged access management, PAM)?
Zaštitite svoju tvrtku ili ustanovu od računalnih prijetnji praćenjem, prepoznavanjem i sprječavanjem neovlaštenog pristupa s ovlastima kritičnim resursima.
Što je upravljanje pristupom s ovlastima (privileged access management, PAM)?
Upravljanje pristupom s ovlastima (privileged access management, PAM) rješenje je za sigurnost identiteta koje tvrtkama i ustanovama pomaže u zaštiti od računalnih prijetnji nadzorom, prepoznavanjem i sprječavanjem neovlaštenog pristupa s ovlastima kritičnim resursima. PAM funkcionira putem kombinacije osoba, procesa i tehnologija te vam daje uvid u to tko koristi račune s ovlastima i što te osobe rade dok su prijavljene. Ograničavanjem broja korisnika koji imaju pristup administrativnim funkcijama povećava se sigurnost sustava, a dodatni slojevi zaštite umanjuju ozbiljnost kršenja sigurnosti podataka od strane izvršitelja prijetnji.
Kako upravljanje pristupom s ovlastima funkcionira?
PAM rješenje identificira osobe, procese i tehnologije za koje je potreban pristup s ovlastima i navodi pravilnike koji se primjenjuju na njih. Vaše PAM rješenje mora imati mogućnosti podrške za pravilnike koje uspostavite (npr. automatsko upravljanje lozinkama i višestruku provjeru autentičnosti), a administratori bi trebali imati mogućnost automatizacije postupka stvaranja, pohrane i brisanja računa. Vaše rješenje mora i neprekidno nadzirati sesije kako biste mogli generirati izvješća radi prepoznavanja i istraživanja anomalija.
Dva su glavna primjera upotrebe upravljanja pristupom s ovlastima sprječavanje krađe vjerodajnica i postizanje usklađenosti.
Krađa vjerodajnica događa se kad neki izvršitelj prijetnje ukrade podatke za prijavu da bi dobio pristup korisnikovu računu. Nakon prijave oni mogu pristupati podacima tvrtke ili ustanove, instalirati zlonamjerni softver na razne uređaje i dobiti pristup sustavima više razine. PAM rješenje može ublažiti taj rizik jer osigurava pravodoban i odgovarajući pristup i višestruku provjeru autentičnosti za sve administratorske identitete i račune.
Bez obzira na standarde usklađenosti koji se primjenjuju u vašoj tvrtki ili ustanovi, vjerojatno je potreban pravilnik upotrebe najmanjih potrebnih ovlasti da bi se zaštitili povjerljivi podaci, kao što su podaci za naplatu ili osobni zdravstveni podaci. PAM rješenje omogućuje vam i da dokažete usklađenost generiranjem izvješća o aktivnosti korisnika s ovlastima: tko pristupa kojim podacima i zašto.
Dodatni primjeri upotrebe obuhvaćaju automatizaciju životnog ciklusa korisnika (npr. stvaranje računa, dodjelu resursa i uklanjanje resursa), nadzor i bilježenje računa s ovlastima, osiguravanje udaljenog pristupa i upravljanje pristupom treće strane. PAM rješenja mogu se primijeniti i na uređaje (internet stvari), okruženja u oblaku i DevOps projekte.
Zloupotreba pristupa s ovlastima računalna je sigurnosna prijetnja koja može prouzročiti ozbiljnu i opsežnu štetu u svakoj tvrtki ili ustanovi. PAM rješenje nudi robusne značajke koje će vam pomoći da predvidite posljedice tog rizika.
- Omogućite pravodoban pristup kritičnim resursima
- Omogućite siguran daljinski pristup s pomoću šifriranih pristupnika umjesto lozinki
- Nadzirite sesije s ovlastima da biste podržali revizije pri istragama
- Analizirajte neuobičajene aktivnosti uz upotrebu ovlasti koje mogu naštetiti vašoj tvrtki ili ustanovi
- Bilježite događaje na računima s ovlastima radi revizija usklađenosti
- Generirajte izvješća o korisničkom pristupu i aktivnostima s ovlastima
- Zaštitite DevOps aktivnosti s pomoću integrirane sigurnosti putem lozinki
Vrste računa s ovlastima
Računi superkorisnika računi su s ovlastima koje koriste administratori s neograničenim pristupom datotekama, direktorijima i resursima. Oni mogu instalirati softver, mijenjati konfiguracije i postavke te brisati korisnike i podatke.
Računi s ovlastima
Računi s ovlastima nude veći pristup i ovlasti nego računi bez ovlasti (npr. standardni korisnički računi i računi korisnika gostiju).
Računi administratora domene
Računi administratora domene najviša su razina kontrole u sustavu. Ti računi imaju pristup svim radnim stanicama i poslužiteljima u vašoj domeni i kontroliraju konfiguracije sustava, administratorske račune i članstva u grupama.
Računi lokalnih administratora
Računi lokalnih administratora imaju administratorsku kontrolu nad određenim poslužiteljima ili radnim stanicama i često se stvaraju radi zadataka održavanja.
Računi administratora aplikacija
Računi administratora aplikacija imaju potpun pristup određenim aplikacijama i podacima koji su pohranjeni u njima.
Servisni računi
Servisni računi omogućuju sigurniju interakciju aplikacija s operacijskim sustavom.
Poslovni korisnički računi s ovlastima
Poslovni korisnički računi s ovlastima imaju ovlasti visoke razine utemeljene na poslovnim odgovornostima.
Računi za hitne slučajeve
Računi za hitne slučajeve korisnicima koji nemaju ovlasti omogućuju administratorski pristup radi osiguravanja sustava u slučaju katastrofe ili prekida u radu.
Usporedba PAM-a i PIM-a
Upravljanje pristupom s ovlastima pomaže tvrtkama i ustanovama da upravljaju identitetima i otežava izvršiteljima prijetnji da prodru u mrežu i pribave pristup nekom računu s ovlastima. Dodaje zaštitu grupama s ovlastima koje kontroliraju pristup računalima pridruženim domeni i aplikacijama na tim računalima. PAM omogućuje i nadzor, vidljivost i precizne kontrole da biste vidjeli tko su vaši administratori s ovlastima i kako se koriste njihovi računi.
Upravljanje identitetima s ovlastima (PIM) omogućuje aktivaciju uloga na temelju vremena i odobrenja radi ublažavanja rizika od prekomjernog ili nepotrebnog pristupa ili pak zloupotrebe pristupa povjerljivim resursima u vašoj tvrtki ili ustanovi nametanje pravodobnog pristupa odgovarajućeg dosega tim računima. Da biste dodatno zaštitili te račune s ovlastima, PIM omogućuje nametanje mogućnosti iz pravilnika, primjerice višestruke provjere autentičnosti.
Premda PAM i PIM imaju mnogo sličnosti, PAM koristi alate i tehnologije za kontrolu i nadzor pristupa vašim resursima i funkcionira prema načelu najmanje ovlasti (čime se osigurava da zaposlenici imaju upravo onoliko pristupa koliko im je potrebno za svakodnevne zadatke). S druge strane, PIM kontrolira administratore i superkorisnike s vremenski vezanim pristupom i osigurava te račune s ovlastima.
Najbolje prakse za upravljanje pristupom s ovlastima
Postoje najbolji primjeri iz prakse koje valja imati na umu dok planirate i implementirate svoje rješenje upravljanja pristupom s ovlastima i oni će pomoći unaprijediti sigurnost i umanjiti rizik u tvrtki ili ustanovi.
Tražite višestruku provjeru autentičnosti
Dodajte razinu zaštite svojem postupku prijave s pomoću višestruke provjere autentičnosti. Kad pristupaju računima ili aplikacijama, korisnici moraju dodatno provjeriti identitet putem drugog provjerenog uređaja.
Automatizirajte sigurnost
Smanjite rizik od ljudske pogreške i povećajte učinkovitost automatizacijom sigurnosnog okruženja. Možete, primjerice, automatski ograničiti ovlasti i spriječiti nesigurne ili neovlaštene radnje kada se otkrije prijetnja.
Uklanjanje korisnike na krajnjim točkama
Prepoznajte i uklonite nepotrebne korisnike krajnjih točaka iz grupe lokalnih administratora na radnim stanicama sa sustavom Windows. Izvršitelji prijetnji mogu s pomoću administratorskog računa skakati s jedne radne stanice na drugu, ukrasti druge vjerodajnice i unaprijediti svoje ovlasti tako da se kreću mrežom.
Uspostavite referentne vrijednosti i nadzirite odstupanja
Nadzirite aktivnosti pristupa s ovlastima da biste vidjeli tko što radi u sustavu i kako se koriste lozinke s ovlastima. Ako znate koja je polazna vrijednost za prihvatljive aktivnosti, lakše ćete uočiti odstupanja koja mogu ugroziti sustav.
Omogućite pravodoban pristup
Primijenite pravilnik dodjele najmanje ovlasti na sve i sva, a zatim prema potrebi povećajte razinu ovlasti. To će vam pomoći da podijelite sustave i mreže na korisnike i procese na temelju razina povjerenja, potreba i ovlasti.
Izbjegavajte stalan pristup s ovlastima
Razmislite o privremenom pravodobnom pristupu i dovoljnom pristupu umjesto stalnog pristupa s ovlastima. Time se osigurava da korisnici imaju valjan razlog za takav pristup i samo u određenom trajanju.
Koristite kontrolu pristupa utemeljenu na ulogama
Dodjeljujte ovlasti samo resursima koje osoba zaista koristi na temelju prethodnih aktivnosti i upotrebe. Nastojte zatvoriti jaz između dodijeljenih ovlasti i korištenih ovlasti.
Važnost upravljanja pristupom s ovlastima
Kad govorimo o sigurnosti sustava, ljudi su najslabija karika, a računi s ovlastima predstavljaju znatan rizik za vašu tvrtku ili ustanovu. PAM omogućuje sigurnosnim timovima da prepoznaju zlonamjerne aktivnosti koje su rezultat zloupotrebe ovlasti i odmah reagiraju radi umanjenja rizika. PAM rješenje može osigurati da zaposlenici imaju samo potrebne razine pristupa za obavljanje svakodnevnih zadataka.
Osim prepoznavanja zlonamjernih aktivnosti povezanih sa zloupotrebom ovlasti, PAM rješenje pomoći će vašoj tvrtki ili ustanovi i u sljedećem:
- Minimiziranju mogućnosti kršenja sigurnosti. Ako dođe do kršenja sigurnosti, PAM rješenje omogućuje ograničavanje njegova dosega u sustavu.
- Smanjenju broja ulaza i putova za izvršitelje prijetnji. Ograničene ovlasti za osobe, procese i aplikacije štite od internih i vanjskih prijetnji.
- Sprječavaju napade zlonamjernim softverom. Ako se zlonamjerni softver i uspije probiti, uklanjanjem prevelikih ovlasti možete smanjiti njegovo širenje.
- Stvaranju okruženja u kojem je lakše provesti reviziju. Implementirajte sveobuhvatnu strategiju sigurnosti i upravljanja rizicima s pomoću zapisnika aktivnosti koji vam pomažu u nadzoru i prepoznavanju sumnjivih aktivnosti.
Kako implementirati PAM sigurnost
Da biste započeli s upravljanjem pristupom s ovlastima, potrebna vam je tarifa za:
- Pružanje potpune vidljivosti za sve račune i identitete s ovlastima. PAM rješenje trebalo bi omogućiti da vidite sve ovlasti koje koriste ljudski korisnici i radna opterećenja. Kada imate tu vidljivost, uklonite zadane administratorske račune i primijenite načelo najmanjih ovlasti.
- Upravljanje pristupom s ovlastima i njegova kontrola. Morat ćete ostati u tijeku s pristupom s ovlastima i održavati kontrolu nad povećavanjem ovlasti da ne bi izmaklo kontroli i ugrozilo računalnu sigurnost vaše tvrtke ili ustanove.
- Nadzor i reviziju aktivnosti s ovlastima. Uvođenje pravilnika koji definiraju legitimno ponašanje za korisnike s ovlastima i identificiraju radnje kojima se ti pravilnici krše.
- Automatizacija PAM rješenja. Moguće je skalirati na milijune računa, korisnika i resursa s ovlastima radi poboljšanja sigurnosti i usklađenosti. Automatizacija otkrivanja, upravljanja i nadzora radi smanjenja administrativnih zadataka i složenosti.
Ovisno o IT odjelu, možda ćete PAM rješenje moći koristiti odmah i postupno dodavati module da biste podržali veće i bolje funkcionalnosti. Da biste zadovoljili propise o usklađenosti, morate razmotriti i preporuke sigurnosnih kontrola.
Moguće je i integrirati PAM rješenje s rješenjem za sigurnosne informacije i upravljanje događajima (SIEM) .
Rješenja za upravljanje pristupom s ovlastima
Samo tehnologija nije dovoljna za zaštitu vaše tvrtke ili ustanove od računalnih napada. Za to je potrebno rješenje koje uzima u obzir vaše ljude, procese i tehnologije.
Saznajte kako vam rješenja za identitet platforme Microsoft Security i pristup rješenja mogu pomoći u zaštiti tvrtke ili ustanove osiguravanjem pristupa povezanom svijetu za sve vaše korisnike, pametne uređaje i servise.
Saznajte više o rješenju Microsoft Security
Rješenja za identitet i pristup
Zaštitite tvrtku ili ustanovu putem sigurnog pristupa za sve svoje korisnike, pametne uređaje i servise.
Upravljanje identitetima s ovlastima
Zaštitite administratorske račune tako da ograničite pristup ključnim operacijama.
Uvjetni pristup
Zaštite zaposlenike nametanjem granularne kontrole pristupa uz pravilnike prilagodljive u stvarnom vremenu.
Najčešća pitanja
-
Upravljanje identitetima i pristupom (identity and access management, IAM) sastoji se od pravila i pravilnika koji kontroliraju tko, što, kada, gdje i kako pristupa resursima. To obuhvaća upravljanje lozinkama, višestruku provjeru autentičnosti, jedinstvenu prijavu (SSO), i upravljanje životnim ciklusom korisnika.
Upravljanje pristupom s ovlastima (PAM) mora se odnositi na procese i tehnologije nužne za osiguravanje računa s ovlastima. To je podskup IAM-a koji omogućuje kontrolu i nadzor aktivnosti korisnika s ovlastima (koji imaju veći pristup od standardnih korisnika) nakon njihove prijave u sustav.
-
Robusno upravljanje sesijama je sigurnosni alat PAM-a koji omogućuje da vidite što rade korisnici s ovlastima (osobe u vašoj tvrtki ili ustanovi s korijenskim pristupom sustavima i uređajima) nakon prijave. Zapisi nadzora koji se tako dobiju upozoravaju vas na slučajnu ili namjernu zloupotrebu pristupa s ovlastima.
-
Upravljanje pristupom s ovlastima (PAM) može se koristiti za jačanje sigurnosti vaše tvrtke ili ustanove. On omogućuje kontrolu pristupa infrastrukturi i podacima, konfiguraciju sustava i traženje ranjivosti.
-
Prednosti PAM rješenja obuhvaćaju ublažavanje sigurnosnih rizika, smanjenje operativnih troškova i složenosti, poboljšanje vidljivosti i informiranosti o situaciji u cijeloj tvrtki ili ustanovi te poboljšanje usklađenosti s propisima.
-
Prilikom odabira PAM rješenja za tvrtku ili ustanovu provjerite obuhvaća li ono višestruku provjeru autentičnosti, upravljanje sesijama i značajke pravodobnog pristupa, sigurnost utemeljenu na ulogama, obavijesti u stvarnom vremenu, automatizaciju te značajke nadzora i izvješćivanja.
Pratite Microsoft Security