ניהול חשבונות מיוחסים Privileged Access Management בעולמות ה-IT והאבטחה
מאת:
גיא חורש, 28.11.19, 08:00
ניהול אפקטיבי של חשבונות מיוחסים ("חשבונות-על") הפך קריטי מאחר שחלק ניכר מיוזמות השינוי בעולם ה-IT מקורו בעולמות אבטחת המידע והרגולציה. הבעיות הנובעות מגישה בלתי מבוקרת, שניתנת ע"י אנשי מחלקות ה-IT, לחשבונות מיוחסים ורגישים, עלולות להוביל ארגון להפסד של מיליונים. מהם הסיכונים ואיך ניתן להקטינם בניהול אבטחת שרשרת האספקה.
חשבונות מיוחסים - הכרח מסוכן
חשבונות מיוחסים (הידועים כ"
Root Access" בעולמות ה-
Unix) נחוצים מנקודת מבט ניהולית, שכן מנהלי מערכת זקוקים לגישה נוחה לאזורים מסוימים במערכות המחשוב, ולפעמים הדרך היחידה להשיג גישת עבודה מלאה היא באמצעות חשבונות מיוחסים - כך פועלות מערכות הפעלה מסוימות.
בעוד שמערכות הפעלה התחזקו משמעותית בשנים האחרונות, הגישה לחשבונות המיוחסים לא התפתחה / השתנתה באותו הקצב. לכן, גישה "עוצמתית" קיימת ומתאפשרת בפלטפורמות רבות. לדוגמא, משימות ניהול רבות ב
UNIX-לא ניתנות לביצוע ללא גישת חשבון מיוחס דוגמת
Root User ורבות מהמטלות הללו שגרתיות למדי.
בעוד שבארגון קטן יתכן שרק לאדם / חשבון מהימן יחיד יש גישה מיוחסת, בארגונים בינוניים וגדולים ניתן למצוא מנהלי מערכת מרובים
.
מקור הבעיה מצוי בכך, שמערכות ההפעלה אינן מציעות דרך "טבעית" להפלות / להגביל חשבונות מיוחסים. לרוב מדובר במצב של הכול או כלום. לכן נמצא, שברוב הארגונים מתאפשר למספר מפתיע של משתמשים לצבור כוח ולפעול תחת חשבונות מיוחסים במערכות ההפעלה מקומיות ורשתיות. זאת, על אף שפעמים רבות הם כלל אינם זקוקים לאותם הרשאות כדי למלא את תפקידם.
סכנה נוספת טמונה בעובדה הפשוטה, שניתן להשתמש בחשבונות מיוחסים, שהם בעלי הרשאות, כדי לעקוף בקרות והגבלות
.
למשתמש בעל חשבון עם הרשאות וגישה בלתי מוגבלת יש יכולת לגרום במזיד או שלא במזיד נזק משמעותי לתשתית המחשוב הארגוני הכוללים יישומים ונתונים.
סיכון נוסף, שמתווסף לשימוש בחשבונות מיוחסים, קשור בנזק העקיף המתאפשר משימוש בחשבונות אלה, מעבר לנזק הישיר. לחשבונות מיוחסים יש את הכוח לאפשר למשתמש לעבוד מחוץ למערכת ניהול הזהויות של הרשת ובכך נפתחת יכולתו של חשבון מיוחס להסתיר את פעולותיו (לדוגמה: מחיקת קובצי לוג ותיעוד).
עבור רוב הארגונים ניתוח וגילוי
הפרות אבטחה, הן בזמן אמת והן לאחר מעשה, נחשב לדבר מאתגר היות ולא תמיד קל לזהות מה השתבש, מי עשה מה ומתי. הדבר מאריך את זמן הזיהוי של פעולות בלתי רצויות ומעלה את רמת הסיכון עבור הארגון ומחלקות ה-
IT ויוצר צורך עבור פתרון המשלב מדיניות של איזונים ובלמים עדינה, שתאפשר שימוש גרעיני בהרשאות ופיקוח תמידי על חשבונות מיוחסים, השימוש בהם ופעולתם
.
קביעת מדיניות "המחאות ויתרות"
שיטת הממשל של ארה"ב שומרת על מערכת איזונים עדינה באמצעות סמכויות נפרדות לרשות השופטת, הרשות המחוקקת והרשות המבצעת
. חשבו על הרשות המבצעת (משרד הנשיא) כבעל החשבון המיוחס. הנשיא מחזיק בזכויות הגישה וסמכות קבלת ההחלטות האולטימטיביות - אך הכוח הזה מתמעט ע"י הפיקוח של 2 הרשויות האחרות. בסביבה ארגונית ניתן להקים מערכת דומה לבדיקת "המחאות ויתרות" כדי להגביל את הסמכות וזכויות הגישה של משתמשים מיוחסים
.
ברוב המקרים, מתן "
key to the kingdom" לאדם יחיד אינו צעד הכרחי ואין צורך להשתמש במערכת החשבונות המיוחסת של מערכת ההפעלה כפי שהיא.
מערכת מורחבת יותר, שמאפשרת האצלת סמכויות, בקרה מבוססת מדיניות ותזרימי עבודה אוטומטיים, תאפשר לכפות שכבה נוספת של
אבטחה על פני
האבטחה הטבעית של מערכות ההפעלה והפלטפורמות השונות, ובכל זאת לאפשר למנהלי מערכת לבצע את עבודתם ביעילות
.
גישה אופטימלית לניהול חשבונות מיוחסים צריכה לכלול בדיקות "המחאות והיתרות" הבאות
:
• אכסון הרשאות מאובטח (כספת),
• בקרה והאצלה גרעינית של הרשאות וסמכויות,
• תיעוד מלא של ה-
keystroke וה-
Session של המשתמש.
באמצעות יישום מונחה מדיניות עבור התחומים לעיל, ארגון יכול להגן על הנתונים שלו, למנוע
הפרות אבטחה ולהבטיח ציות למערך הכללים והרגולציה ההולך וגדל.
תחום ניהול החשבונות המיוחסים כולל בתוכו:
שילוב של תהליכים, מדיניות וטכנולוגיות מבטיחות, שמשתמשי מערכת, ארכיטקטים וחשבונות מיוחסים,
שחולקיםאישורים ניהוליים, מבצעים באמצעותם את עבודתם בצורה נכונה, בזמן שהגישה לכל משאב מוגדרת על פי צורך ופעולת המשתמש נתונה לביקורת מתמדת בזמן אמת.
ניהול חשבונות מיוחסים מוסיף את נדבך ה"אחריתיות" (
accountability), שללא קיומו יקשה עד בלתי אפשרי לארגון לדעת איזה שימוש ופעולות נעשה בידי חשבונות מיוחסים בתשתיות השונות.
ניהול חשבונות מיוחסים: מי שומר על השומרים?
האתגר הבסיסי בניהול חשבונות מתמקד בכך, שמי שבד"כ מנהל ומאמת את חשבונות המשתמשים וגישתם למשאבים הם אנשי מחלקת ה-
IT. נדיר למצוא ארגון הכופה את השליטה בדבר חשבונות המשתמשים על מחלקת ה-
IT. במצב זה מי שיש לו גישה מיוחסת עשוי לקבל אתוס משותף לשיתוף מידע (כולל סיסמאות), שיטור עצמי על פעולותיו ושמירה על רמת גישה משופרת זו לעצמו.
אבל מי שומר על השומרים?
רוב הארגונים, כולל ארגונים גדולים, חסרים כל אסטרטגיה קוהרנטית לגישה של משתמשים מיוחסים, בנוסף לכך, ברוב הארגונים הגדולים יש מספר מנהלי מערכת בתחומים שונים:
Windows, UNIX ומנהלי מערכת אחרים, כאשר כל אחד מהם מתעדף את משימותיו שלו. לרבים ממנהלי ה-
IT יש תרבות מסוימת של אמון בינם לבין עצמם ואין זה יוצא דופן שמנהלי רשת מרובים חולקים סיסמת משתמש-על יחידה
.זו אולי דרך ידידותית לעשות עסקים, אך דרך
מסוכנת שלא לצורך בניהול ה-
IT בארגון.
לא תמיד אנשי ה
IT-מעריכים את מה שההנהלה רואה חיוני: הצורך להטיל פיקוח קפדני על עצמם. כתוצאה מכך, הגישה הבלתי מוגבלת, שניתן להשיג מחשבונות מיוחסים, זוכה לפיקוח מועט ולעיתים קרובות
מוגנת ברשלנות ע"י פרוטוקולים אד-הוק
, בלתי פורמליים המתעלמים מצרכי הארגון והרגולציות.
כתוצאה מכך, כמעט בכל ארגון, שיש בו יותר מקומץ אנשי
IT, נמצא מספר אנשים שלהם תהיה גישה של משתמש מיוחס, שמאפשרת להם לבצע כמעט כל דבר שירצו
.
האתגרים הבסיסיים העומדים בפני חברות בכל הקשור לגישה מיוחסת כוללים
:
• חוסר באחריותיות (
accountability) כלשהי, בשל מחסור במערכת פיקוח וניהול השליטה בגישה לחשבונות מיוחסים.
• ליותר מדי אנשים יש גישה למשתמשי
-על (
Root/Admin) כולל מנהלי מערכת עם אחריות מוגבלת הזוכים בגישה מיותרת לפונקציות, שאינם נדרשים אליהן.
• חוסר שליטה על סיסמת הגישה לחשבונות מיוחסים, שלעיתים קרובות משותפת בין המשתמשים השונים.
שמירה על מידע רגיש והבטחת ציות
הגנה על נתונים ויישומים רגישים מהווה דאגה הולכת וגוברת עבור מנהלי מערכות ניהול המידע וניהול
IT . למול הגידול המהיר בתעבורה ובנפח הנתונים, ארגונים קטנים וגדולים כאחד נדרשים לשימוש במשתמשים מיוחסים עם גישה רחבה לשרתים. מטבע הדברים, הדבר מקשה על הגנת הנתונים ועמידה בתנאי הרגולציה השונים
.
בקרת גישה של ספקים צד ג' ויועצים חיצוניים
טכנולוגיות כגון מחשוב ענן, לצד גלובליזציה ושינויים כלכליים, שינו את הדרכים בהן חברות מנהלות עסקים. כיום, יותר ארגונים משתמשים בספקים ויועצי צד שלישי כדי לרכוש / לקבל פתרונות ייעודיים ללא צורך להוסיף צוותי
IT במשרה מלאה
.
בעוד שמודל עסקי חדש זה מביא עמו יתרונות רבים, הוא גם יוצר אתגרים רבים. הגדול שבהם הוא
גישה מאובטחת עבור אותם ספקי שירות ויועצים חיצוניים.
לא פעם מומחי צד ג' נדרשים לגישה לרשת הארגונית בשל סיבות שונות, ובמקרים רבים הדבר כולל רמת גישה מיוחסת. מכאן, שלא די בכך, שהענקת גישה מיוחסת לאנשים בתוך הארגון מביאה עמה בעיות וסיכונים. מתן גישה מיוחסת ליועצים חיצוניים עלולה להוות
סיכון לארגון, אולם מאידך מדיניות ביטחונית נוקשה מידי לא תאפשר לאותם גורמי חוץ לספק את השירותים להם הארגון זקוק.
הפתרון הראוי במקרה כזה הוא לאפשר לספקים ולגורמי חוץ גרסה מבוקרת של גישה מיוחסת. כך, שיוכלו לקבל גישה לאותם אזורים אליהם הם נדרשים מבלי שיוכלו לשוטט ברחבי הרשת תוך חשיפה לנתונים ולנכסים ארגוניים
.
הבנת הסיכונים: כשדברים משתבשים
הסיכונים העולים מחשבונות מיוחסים אינם תיאורטיים. אין זה סוד, ש" סופרסטרים" ממורמרים ו / או עובדים מפוטרים גונבים או מחבלים בנתונים בדרכם החוצה מהארגון. כ"כ, בעולם העסקים, ריגול תעשייתי מתרחש על בסיס קבוע. גניבת זהות וגניבת סודות ארגוניים מתרחשות בתדירות גבוהה יותר מכפי שאנשים רבים מודעים להם, ולעתים קרובות מדובר בגורמי פנים העוסקים בדבר.
מדיניות שימוש בסיסית חיונית להצלחה
ניתן להקטין את הסיכונים, שהוזכרו לעיל, באמצעות אכיפת מדיניות בסיסית בשימוש חשבונות מיוחסים
:
• הגבלת זכויות וזכות השימוש בחשבונות מנהלי המערכת המקומיים. חשבונות כגון:
Root, Admin , שמובנים בתוך מערכות ההפעלה, מאפשרים למשתמש גישה בלתי מוגבלת המפרה את הנחת היסוד, שכל
מנהל אבטחה יודע: "אל תסמכו על אף אחד". הענקת חשבונות ניהול צריכה להינתן רק לאלה, שעבודתם מחייבת זאת לביצוע עבודתם ולא מעבר לכך.
• סגירת גישה במהירות במידת הצורך
. חברות מסוימות מלוות את העובדים והקבלנים, שעבודתם הופסקה, אל מחוץ למתחם הארגון, למרות שלעיתים מדובר בצעד מביך, לרוב זהו הכרח מצער. עובד בודד עם טינה יכול לגרום נזק רב אם הוא נותר לבד אפילו לכמה דקות, במיוחד אם יש לו גישה או ידע למערכת ה-
IT. מדיניות הארגון חייבת לאפשר ל-
HR להפסיק כל גישה של עובד למחשבים רגע לפני קבלת הודעה ע"י העובד עצמו.
• מעקב אחר פעילות חשבונות מיוחסים. בארגונים רבים ישנה מערכת למעקב וניטור. אולם, לעיתים קרובות, קרובות מידי, מעקב זה אינו נוגע לפעילות המתבצעת ע"י חשבונות מיוחסים. הטכנולוגיה הקיימת מאפשרת לתעד הקלדה חורגת מנורמה ולנתר ביצוע פעולות בזמן אמת ובכך מתאפשרת קבלת התראות בזמן אמת על פעולות חריגות כמו גם ליצור "שביל", שיאפשר מאוחר יותר ניתוח מלא של האירוע ולהוביל למבצע הפעולה.
•אוטומציה - ניהול החשבונות המיוחסים חייב להיות אוטומטי, מבוסס תפקידים, קל לשימוש תוך ריכוז כל המערכות תחת
מדיניות אבטחת מידע אחידה
.
• על הארגון להיות מסוגל לספק גישה לחשבונות מיוחסים על פי הצורך בהתבסס על תפקידו הספציפי של המשתמש. ההיגיון שמאחורי עקרון -
Less (privilege) is more (secure): לתת גישה רק למה שצריך, כשצריך. אומנם, אין זו ברירת המחדל במערכות ההפעלה, אך ניתן ליישם זאת בעזרת טכנולוגיות התומכות בהגבלת חשבונות וניהול מדיניות שימוש
.
• רגולציה - נושא הרגולציה משפיע על כולם, גם על ארגונים/ עסקים קטנים. חובת הציות לתקנות רגולטוריות מחייב עסקים מכל ענפי התעשייה ליישם
סביבה מאובטחת השומרת על מידע אישי תוך יכולת הוכחה ורישום הניתנים לביקורת. אף ללא קשר ישיר לרגולציה / חקיקה, שהארגון נדרש להן, גישה מיוחסת עומדת בחזית פרדיגמת הרגולטורית וחובת הציות. עם זאת, ניתן לטפל ברוב סוגיות הציות באמצעות הפרדת תפקידים בתחום הגישה המוגבלת יחד עם יכולות ביקורת
.
סיכום
הבעיות הנובעות מגישה בלתי מבוקרת לחשבונות מיוחסים ורגישים עלולה להוביל ארגון להפסד של מיליונים. למרבה המזל, ישנם פתרונות, שנועדו לתת מענה והגנה מפני הבעיות, שהוזכרו לעיל.
בעקבות הדרישה, תחום ה-
Privilege Access Management \ Session Management הפך ללוהט מתמיד, עם פתרונות הגנה גם מבוססי ענן, שמאפשרים לארגונים ליישם מדיניות של
Least Privileged access - גישה מוגבלת לחשבונות המיוחסים בארגון תוך יכולת מלאה למעקב אחר פעולות המשתמש וזה מומלץ
במיוחד לארגונים שטרם הטמיעו אוטומציה בתחום ניהול חשבונות משתמשים.
מאת:
גיא חורש, נובמבר 2019.
מהנדס פרה-סייל,
בינת תקשורת מחשבים