Koncom minulého roka bola schválená kľúčová smernica bezpečnosti informačných systémov NIS2. Zavádza širší rozsah pôsobnosti a dotkne sa viacerých subjektov súkromnej a verejnej správy. Členské štáty musia stihnúť pretaviť znenie NIS2 do októbra 2024 do svojich legislatívnych rámcov.

Prevádzkovatelia kritickej infraštruktúry a ostatné verejné alebo súkromné kľúčové organizácie sa budú chcieť s predstihom pripraviť a otestovať okrem iného aj v oblasti riadenia politík privilegovaných účtov, kontroly prístupov a riešenia možných incidentov. Očakávame, že daná aktivita bude mať za následok aj miernu reprioritizáciu plánovaných výdavkov vyššie spomenutých organizácií.

Zákon bude aplikovaný na širšie spektrum priemyselných odvetví a bude z neho vyplývať:

potreba dôslednejšieho hlásenia incidentov a krízové riadenie
zvýšené bezpečnostné požiadavky a kontroly
zvýšená bezpečnosť dodávateľského reťazca, poskytovateľov a subdodávateľov
začlenenie základných osvedčených postupov IT hygieny a školení o kybernetickej bezpečnosti

Dôležitou súčasťou naplnenia NIS2 direktívy bude aj implementácia privileged access a identity management riešení. Riešenie od spoločnosti BeyondTrust, ako jedného z lídrov v danej oblasti, umožňuje automaticky vyhľadávať, kontrolovať, monitorovať a manažovať privilegované prístupy a heslá ku kritickým systémom organizácie.

Viac o novej smernici NIS2 sa dočítate v našom článku. Prejsť na článok

Platformy porfólia produktov BeyondTrust

Privileged Password Management

Automatická identifikácia, správa, audit a monitoring privilegovaných účtov a relácií na rôznych platformách. Riadenie prístupov k heslám a kľúčom, ktoré používajú aplikácie, nástroje a ďalšie neľudské identity.

Secure Remote Access

Umožňuje spravovať dodávateľský a vzdialený prístup s komplexnými funkciami, navrhnutými pre maximalizáciu produktivity. Pripojenie odkiaľkoľvek, kamkoľvek a k akémukoľvek zariadeniu – bez nutnosti VPN.

EndPoint Privilege Management

Eliminácia nadbytočných lokálnych administrátorských oprávnení cez všetky koncové zariadenia (Windows, Mac, Unix/Linux), s výrobcom prednastavenými politikami s vynútením princípu najnižších privilégií (Least Privilege) a riadením aplikácií.

Privileged Password Management

Secure Remote Access

EndPoint Privilege Management

Privileged access a identity management riešení

Riešenia BeyondTrust je možné nasadiť v cloude, lokálne/on-prem alebo hybridne. Správa privilegovaných hesiel, správa oprávnení koncových bodov a zabezpečený vzdialený prístup, môžu byť nasadené samostatne alebo sa môžu skombinovať na dosiahnutie maximálnej úrovne kontroly oprávnení a zníženie rizík.

Implementačné skúsenosti

„Používateľmi BeyondTrust sú privilegovaní používatelia (administrátori), ktorí sú zvyknutí na vlastné nástroje a postupy práce. BeyondTrust ich postupy práce samozrejme naruší, preto je nutné všetky procesy citlivo navrhnúť tak, aby zásah do ich štýlu práce, bol čo najmenší. Na jednej strane je nutné dosiahnuť bezpečnostné požiadavky a na druhej strane je cieľom, čo najmenej obmedzovať prácu používateľov.

Ťažiskom úspešnej implementácie je maximálna miera automatizácie. To sa týka najmä procesov onboardingu t. j. vznik nového cieľového systému, nového účtu na cieľovom systéme, nového používateľa v BeyondTrust. Toto sa realizuje v maximálnej miere automaticky s využitím definovanej štruktúry používateľov, počítačov a skupín v Active Directory, ďalej pomocou automatických pravidiel (Smart Rules) a aj procesom prehľadávania infraštruktúry (Discovery Scan),“ zdôrazňuje Andrej Vávra konzultant informačnej bezpečnosti v Alanata.

Odporúčaná metodológia

Každý používateľ systému by mal pracovať s čo najmenším počtom oprávnení potrebných na dokončenie úlohy. Tento prístup obmedzuje škody, ktoré môžu vzniknúť v dôsledku chyby prípadne neúmyselného, nechceného alebo nesprávneho použitia privilégií.

Práva privilegovaných hesiel fungujú ruka v ruke s implementáciou najmenších privilégií a mali by byť základným prvkom iniciatív každej organizácie v oblasti správy privilegovaného prístupu (PAM).

BeyondTrust poskytuje bezpečný prístup k systémom organizácie (bez potreby VPN a tradičných all-or-nothing nástrojov) interným zamestnancom, kontraktorom a tretím stranám s centralizovaným manažmentom, kontrolou, viditeľnosťou, nahrávaním a forenziou do vzdialených pripojení.

Prístup používateľov cez platformu BeyondTrust poskytuje organizáciám vyvážený balans medzi používateľskou produktivitou a organizačnou bezpečnosťou.

BeyondTrust poskytuje moderný prístup implementácie na fyzickej alebo virtuálnej appliance, ktoré sú hardenované výrobcom a pripravené k okamžitému použitiu pri zachovaní najvyšších bezpečnostných štandardov. Pre virtuálne appliance je podporovaná inštalácia do VMware, HyperV, Azure a AWS. Fyzické appliance sú prefabrikované hardenované rack montovateľné hardvérové zariadenia. Samozrejmosťou je možnosť klastrovaného active/passive alebo active/active nasadenia pre zvýšenú dostupnosť a regionálne pokrytie.

Technická realizácia prístupu je zabezpečená šifrovaným protokolom portom 443, cez ktorý sú tunelované remote access protokoly pre externých administrátorov, dodávateľov, technikov.

Používatelia sa autentifikujú kombináciou mena a hesla + druhým faktorom (napr. kartou, SAML, kerberos, alebo akýmkoľvek iným MFA ktoré je nasadené) prípadne môžu využiť vstavaný TOTP mechanizmus s prepojením na Google alebo Microsoft autentikátori.

Po prihlásení používateľa sa aplikuje skupinová politika určujúca prístup k cieľovým systémom. Konfigurácia prístupu k cieľovým systémom môže podliehať schvaľovaniu, notifikácii o aktivitách, nahrávaniu session, analýze a auditu používateľských spojení. Samozrejmosťou je metóda prístupu podporená pomocou „credential injection“ z integrovaného úložiska hesiel Password Safe, kedy používateľ nevie a ani nemusí vedieť heslo na cieľový systém. Na cieľovom systéme je možné definovať granulárny prístup pre používateľov pre prenos súborov, príkazový riadok, systémové informácie, systémové registre bez nutnosti prístupu na zdieľanú plochu. Zaujímavou možnosťou je integrovaný http prístup napr. na intranet webové sídlo/aplikáciu organizácie, ktorá je kompletne chránená BeyondTrust.

Zaujímavé integrácie BeyondTrust

Jira / Service Now + BeyondTrust

BeyondTrust ponúka integrácie a prepojenia úložiska hesiel a tiketovacieho systému Jira / Service Now pre bezproblémový prístup k manažovaným systémom. Riešiteľ dostáva priradenú úlohu s oprávnením na prístup do cieľových systémov. Ak úloha nie je priradená, tak prístup do cieľového systému nie je možný.

Multifaktorová autentifikácia + BeyondTrust

Prístup do BeyondTrust rozhrania je nutné zabezpečiť silnou autentifikáciou, pretože koncový používateľ po úspešnom prihlásení získa prístup k cieľovým systémom bez nutnosti zadávať heslá. Podporované sú štandardné autentifikačné metódy (napr. RSA). BeyondTrust má interne implementovaný time-based one-time password (TOTP) server s mobilnými autentifikátormi, ktorý možno využiť.

Jira / Service Now + BeyondTrust

Multifaktorová autentifikácia + BeyondTrust

Správa a riadenie privilegovaných prístupov bolo v minulosti vykonávané zväčša manuálnym procesom. Dnešné požiadavky na dynamický rozvoj technológií, prechod od virtualizácie ku kontajnerizácii, prechod k outsourcingu správy infraštruktúry vytvára zvýšené požiadavky potreby automatizácie zabezpečenia. Tu sa uplatnia multiplatformové nástroje správy oprávnení novej generácie, ktoré môžu pomôcť znížiť časť tejto zložitosti a pomôcť s naplnením zákonných požiadaviek.

BeyoundTrust a Alanata

Alanata je partner spoločnosti BeyoundTrust a má skúsenosti s nasadením daných technológií. V prípade záujmu veľmi radi poskytneme ďalšie informácie k daným produktom a implementačným možnostiam.