Cyber Essentials #4 – Kto i do czego ma dostęp?
Kiedyś ochrona dostępu do zasobów IT mogła nie uwzględniać środowiska – popularny był model zamku otoczonego murem – dostać można było się tylko przez jedno wejście, po dogłębynm sprawdzeniu. Dziś – mówimy o modelu lotniska – różni użytkownicy korzystają z niego w różnym zakresie i z różnych lokalizacji. Dostęp, który przyznajesz pracownikom, menedżerom i klientom do środowiska cyfrowego, wymaga ograniczeń, podobnych do tych w fizycznym środowisku pracy. Zarządzanie uprawnieniami dostępu i ustanowienie procedur operacyjnych wymaga wiedzy o tym, kto działa w Twojej infrastrukturze i z jakim poziomem autoryzacji i odpowiedzialności. Zarządzanie użytkownikami i dostępem to złożone działanie i nie ma jednego uniwersalnego rozwiązania. Ogólną dobrą praktyką jest wykorzystanie podejścia “least privilege” i podejście etapowe.
- Dowiedz się, kto jest w Twojej sieci.
- Czy wiesz, kto ma dostęp do Twojej sieci? Czy mają właściwe uprawnienia? W jaki sposób uzyskują dostęp do Twojej sieci i przez które punkty wejścia? W tym punkcie warto rozważyć na podstawie artykułu nr 3 – czy posiadasz odpowiednie systemy i procedury pozwalające Ci zyskać taką widoczność?
- Utwórz spis podłączonych urządzeń do śledzenia, kto i co jest w Twojej sieci (np. komputery, smartfony, drukarki, routery). Użyj technologii – albo funkcji wbudowanych w Twoje rozwiązania typu MDM, CASB czy Wb Security do inwentaryzacji urządzeń, albo dedykowanego oprogramowania – śledzenie tego w trybie ręcznym jest niemożliwe.
- Monitoruj i analizuj działania użytkowników pod kątem nietypowych zachowań, takich jak próby dostępu poza godzinami pracy, duże transfery danych lub dostęp z nietypowych lokalizacji. Obecnie rosnącą popularnością cieszy się grupa rozwiązań User Activity Monitoring dostarczając kontekstu dla “klasycznych” rozwiązań bezpieczeństwa.
- Wykorzystaj uwierzytelnianie wieloskładnikowe dla wszystkich użytkowników. Silna ochrona dostępu obejmuje co najmniej dwa czynniki: coś co masz, coś co wiesz i coś czym jesteś.
- Czynniki wiedzy to coś znane tylko dla użytkownika – hasła lub osobiste numery identyfikacyjne (PIN).
- Coś co masz – może być identyfikatorem bezpieczeństwa, wiadomością tekstową SMS z kodem.
- Coś czym jesteś – odciski palców, głos, siatkówka/tęczówka czy FaceID.
Pamiętaj – zacznij od użytkowników uprzywilejowanych, administracyjnych lub korzystających ze zdalnego dostępu.
- Przyznaj uprawnienia dostępu i uprawnienia administratora na podstawie potrzebnych informacji i najmniejszych uprawnień (least privilege).
- Ogranicz użytkownikadostęp tylko do niezbędnych informacji, sieci, sprzętu i aplikacji. Zadaj sobie pytanie – czy ten poziom dostępu jest mu niezbędny do poprawnego wykonywania swojej funkcji?
- Opracuj zasady/procedury IT, aby uwzględnić zmiany statusu użytkownika.
- Wdrażaj polityki, procesy,oraz technologie zapewniające, że tylko autoryzowani użytkownicy otrzymają minimalne wymagane uprawnienia.
- Zidentyfikuj i dezaktywuj nieużywane konta, eliminuj konta współdzielone, usuwaj niepotrzebne przywileje i egzekwuj silne zasady dotyczące haseł.
Wypowiedzenie, separacja, a nawet przeniesienie do innych działów w organizacji – wymaga Twojej wiedzy i ponownej autoryzacji użytkownika.
- Korzystaj z unikalnych haseł do wszystkich kont użytkowników i wprowadź taką politykę. Wiele cyberataków ma miejsce z powodu słabych i łatwych do odgadnięcia haseł, więc wszystkie hasła powinny być mocne i niepowtarzalne, takie jak zdanie z cyframi i znakami specjalnymi.
- Wybierz wzór lub szablon hasła, które można zastosować do różnych kont. Osobisty wzór lub szablon pozwala na używanie różnych haseł dla każdego konta, jednocześnie ułatwiając to użytkownikowi i tylko użytkownikowi zapamiętać. Na przykład – cytaty z książek lub wierszy czy rzymskie paremie. Oczywiście z cyframi i znakami specjalnymi.
- W miarę możliwości rozważ mechanizmy silniejsze niż uwierzytelnianie hasłem, takie jak biometria, hasła jednorazowe i tokeny dla najwrażliwszych aplikacji i funkcji.
W praktyce, już wyszczególnienie g grupy najwyższego ryzyka – zwykle administratorów systemowych – pozwala analitykom zmniejszyć obciążanie psychiczne związane z zarządzaniem incydentami. W końcu najgorszy jest diabeł nieznany. Stopniowe zarządzanie dostępem pozwala:
- Priorytetyzować użytkowników i dostęp.
- Wyłapać trendy zachowań dla poszczególnych grup i wykorzystać je do dalszej populacji polityk bezpieczeństwa i ich optymalizacji poprzez sprzężenie zwrotne.
- Ostatecznie – zapewnić poziom bezpieczeństwa uznany w organizacji za pożądany.
Naturalnie ciężko osiągnąć to samymi politykami – funkcje rozpoznawania urządzeń w czasie rzeczywistym, Multi-Factor Authentication czy Single Sign-On to elementy lub też całe rozwiązanie, które trzeba wdrożyć. Feel free to contact us!