Zagrożenia wewnątrz sieci

Najbardziej niedostrzegane problemy w zakresie bezpieczeństwa informacji powstają wewnątrz sieci i dotyczą nie kogo innego, jak ....pracowników działów IT. To właśnie oni mają dostęp do kont i haseł administracyjnych praktycznie we wszystkich systemach. Jeżeli firmowy administrator zechce podejrzeć dane na przykład z bazy działu kadr (płace, itp.), to nie zapobiegnie temu nawet najbardziej zaawansowany firewall czy system zarządzania tożsamością.

Regularnie w mediach nagłaśniane są problemy potencjalnych i realnych zagrożeń w zakresie bezpieczeństwa IT. Słyszymy o wycieku danych osobowych tysięcy obywateli, genialnych atakach hackerów kradnących numery PIN kart płatniczych, niszczycielskich wirusach czy tzw. robakach. Większość firm i organizacji chroni się przed zagrożeniami, których są świadomi - atakami hackerów, wirusów itp.

Jednakże w ostatnich kilku latach coraz więcej ekspertów odpowiedzialnych za bezpieczeństwo w instytucjach i przedsiębiorstwach zaczęło uświadamiać sobie, że większość incydentów wywołujących zagrożenia inicjowanych jest wewnątrz sieci. Dlatego też odpowiednio zdefiniowane poziomy zaufania wobec pracowników (użytkowników systemów organizacji) oraz dostępu do określonych informacji - są już coraz częściej traktowane jako jeden z podstawowych środków bezpieczeństwa.

Powszechną praktyką stosowaną przez firmy do zabezpieczenia się przed nielojalnością pracowników, stało się wdrażanie wielu mechanizmów, takich jak: uwierzytelnienie (hasła, tokeny itp.), kontrola dostępu (uprawnienia do plików, role w aplikacjach), kompleksowe systemy zarządzania tożsamością i wiele innych. A wszystkie one mają zapewnić najwyższy poziom bezpieczeństwa informacji.

Co słychać w maszynowni?

Wymienione zabezpieczenia nie chronią jednak organizacji przed działaniem specjalnie uprzywilejowanych pracowników. I nie chodzi tu o menedżerów, ale pracowników działów IT i informatyki. To oni mają dostęp do kont i haseł administracyjnych praktycznie we wszystkich systemach. Jeżeli firmowy administrator zechce podejrzeć dane, np. z bazy kadrowej (płace itp.), to firmy nie uchroni przed tym nawet najbardziej zaawansowany firewall czy system zarządzania tożsamością. Administrator zaloguje się na jedno z kont wbudowanych lub administracyjnych (które są w każdym systemie!), a to pozwoli mu wykonać dowolną operację w systemie (podgląd danych, nieuprawniona modyfikacja).

Konta administracyjne i wbudowane występują w zasadzie w każdym systemie - bazach danych, systemach operacyjnych, urządzeniach sieciowych itp.

Szewc bez butów...

Z moich doświadczeń wynika, że wspomniane konta, używane głownie przez personel IT

w zasadzie nie są zabezpieczane! Są one na ogół współdzielone przez grupę ludzi

co w efekcie prowadzi to do tego, że nikt tak naprawdę się nimi nie zajmuje. Administratorzy posługują się dziesiątkami, a nieraz setkami takich kont, stąd często hasła do nich są proste i rzadko zmieniane, pomimo rotacji personelu. Często zdarza się, że wszystkie pzrełączniki czy stacje mają to samo hasło administracyjne, a logując się do serwerów administratorzy korzystają z jednego wspólnego konta domeny!

Mówiąc o bezpieczeństwie firmowych informacji, kwestią nie do pominięcia jest także dostępność haseł do wspomnianych wcześniej kont w sytuacji, gdy administrator jest na urlopie, złośliwie zmienił hasło lub po prostu je zapomniał.

Co robić?

Największy problem stanowi jego niedostrzeganie lub ignorowanie. Kiedy jednak zostanie już zauważony, jego negatywny wydźwięk można zmniejszyć poprzez ograniczenie możliwości korzystania z kont współdzielonych.

W systemach Windows można ograniczyć korzystanie z kont lokalnych wyłącznie do sytuacji awaryjnych, w systemach Unix warto skorzystać z mechanizmów "sudo" lub RBAC (pracochłonne, lecz możliwe), natomiast w przypadku urządzeń sieciowych można zastosować zewnętrzne serwery uwierzytelnienia i konta imienne (Radius, TACACS), w bazach danych często jest to trudne ze względu na specyfikę aplikacji.

Zarządzanie kontami uprzywilejowanymi - których stosowania nie wyeliminujemy - powinno opierać się na tzw. mechaniźmie procedury kopertowej. Pojawia się on często głównie na potrzeby audytu i sam w sobie, choć poprawny w kwestii bezpieczeństwa, jest daleko nieefektywny.

Skutecznym rozwiązaniem mogą być tu systemy klasy PIM (Privileged Identity Management). Pozwalają one na automatyczną realizację procedury kopertowej. Często możliwe jest także bezpieczne zestawianie sesji administracyjnych i ich rejestrowanie. Kompleksowe systemy PIM umożliwiają zarządzanie kontami wbudowanymi

i administracyjnymi w większości systemów spotykanych w przedsiębiorstwach (systemy operacyjne, urządzenia sieciowe, bazy danych, aplikacje ERP), a także zarządzanie hasłami kont usługowych i aplikacyjnych (także tych zapisanych w kodzie źródłowym czy skryptach).

Jacek Skorupka, architekt ds. bezpieczeństwa informacji (CISA, CISM, CISSP) w Integrity Solutions, Grupa Altkom.