×
QA trends 2019 PL miniatura

Pobierz nasz raport i bądź na bieżąco z najnowszymi trendami QA, Cyberbezpieczeństwa, IoT czy DevOps!

POBIERZ

Jak wdrożyć zasadę najmniejszego uprzywilejowania?

Cyberbezpieczeństwo

Jednym z podstawowych błędów obniżających poziom cyberbezpieczeństwa w firmie są prawa administratora przypisane do każdego użytkownika. Brak kontroli nad uprawnieniami użytkownika sprawia, że pracownik ma dostęp do każdego zasobu komputera, usługi lub plików bez jakichkolwiek ograniczeń.

Dlaczego firmy nie stosują zasady najmniejszego uprzywilejowania?

Podstawowym argumentem, aby nadać sobie i innym pracownikom prawa administratora jest wygoda. W organizacjach, w których dział IT tworzy jedna osoba, łatwiej jest pozwolić kompetentnym pracownikom na instalowanie rozwiązań, niż krążyć po biurze i manualnie zatwierdzać każdą aktualizację lub zachciankę. Oczywiście, ten proceder często funkcjonuje przy dżentelmeńskiej umowie, że użytkownik będzie uważał na to, co instaluje.

Kolejnym argumentem za nadawaniem pełnych praw dla użytkowników jest hierarchia wewnętrzna. Prezesi, rady nadzorcze i menedżerowie z racji swoich zadań mają zapotrzebowanie na kompleksowy dostęp do danych i trudno jest sobie wyobrazić sytuację, w której osoba zarządzająca musiałaby każdorazowo prosić pracownika o wgląd do danych. 

Ostatnim powszechnie cytowanym powodem na „wszechobecnego admina” jest fakt, że przy użyciu kont uprzywilejowanych z zasady wszystko po prostu działa. Skrypty, procesy, dostęp do danych i aktualizacje działają bez potrzeby żmudnej konfiguracji. Być może dlatego część administratorów skraca sobie czas pracy i nie zawsze korzysta z konteneryzacji dostępów do zasobów przy użyciu odpowiednich grup i użytkowników.

Konsekwencje braku kontroli nad uprawnieniami użytkowników

Rezultaty takiej polityki najczęściej są katastrofalne. Przyzwolenie na instalowanie własnych rozwiązań przez pracowników często kończy się destabilizacją systemów, ponieważ nie ma gwarancji, że oprogramowanie wybrane przez pracownika będzie kompatybilne z obecnym systemem operacyjnym. Dochodzą do tego kwestie licencyjne: część programów (nawet darmowych) posiada odrębną licencję i cennik dla użytkowników biznesowych. Korzystanie z takich programów bez zapoznania się z treścią ich licencji może stanowić jej naruszeniem i ciągnąć za sobą konsekwencje prawne. 

Jednak największy problem to bezpieczeństwo. Pracownicy posiadają różny poziom kompetencji technicznych i trudno jest liczyć na to, że nie popełnią błędu i nie zainstalują wirusa. Co więcej, jeżeli pracownik używa konta uprzywilejowanego, a hasło wycieknie, cyberprzestępca będzie miał nieograniczony dostęp do wszelkich danych i zasobów w systemie. 

Whaling – cyberataki na użytkowników z uprawnieniami

Prezesi firm i osoby zarządzające są również narażeni na ataki socjotechniczne jak inni pracownicy. Whaling to zestaw spersonalizowanych ataków (spear-phsingowych) nakierowanych na kadry zarządzające (więcej o whalingu napisaliśmy tutaj). W związku z tym, że osoby na wysokich stanowiskach często mają dostęp do wszelkich danych firmy z jednego centralnego urządzenia, wyłudzenie danych lub przechwycenie uwierzytelnień daje hakerom największą szansę na monetyzację swoich działań.

Na czym polega zasada minimalnego uprzywilejowania?

W dziedzinie cyberbezpieczeństwa istnieje zasada minimalnego uprzywilejowania, według której każdy proces, użytkownik lub usługa powinna być wykonywana przy wykorzystaniu najniższego poziomu dostępu do zasobów potrzebnego do zrealizowania zadania. W praktyce oznacza to, że w zasadzie nikt, poza faktycznym Administratorem nie powinien mieć większych uprawnień, niż dyktuje wewnętrzna polityka bezpieczeństwa, polityka dot. RODO lub innych procedur związanych z przetwarzaniem danych.

Konteneryzacja dostępów wewnątrz sieci

Najprostszym sposobem, aby wykorzystać zasadę najmniejszego uprzywilejowania w środowisku systemów Microsoft, jest stworzenie grup wewnątrz Active Directory. Każda grupa, składająca się z poszczególnych użytkowników powinna mieć określony dostęp do danych i usług w sieci.  

Dodawanie uprawnień do zasobu grupom korzystając z Microsoft Active Directory

Używając granularnych preferencji plików, można zdefiniować kto lub jakie grupy powinny mieć dostęp do odczytu, modyfikowania lub usuwania (czyli pełny dostęp) do zasobów. Np. w przypadku dostosowywania się do polityki RODO, pracownicy, którzy powinni mieć wyłącznie wgląd do danych muszą posiadać dostęp „Wyświetlania zawartości folderu” i „Odczytu”. Osoby tworzące pliki lub zapisujące do nich dane powinny mieć dodatkowe uprawnienie „Modyfikacja” a administrator „Pełną kontrolę”.

Granularne zarządzanie uprawnieniami do plików, folderów lub dysków sieciowych w Windows 10

Korzystając z zarządzanej konteneryzacji uprawnień Microsoft Active Directory, unikamy sytuacji, w której błąd ludzki może spowodować nadpisanie plików lub ich przypadkowe usunięcie. Dodatkowo gwarantujemy poufność, ograniczając dostęp do zasobów innym działom i osobom postronnym.

Przykład uprawnień pliku raportu działu sprzedaży. W tym wypadku dział marketingu ma wgląd do danych w celu oszacowania skuteczności kampanii marketingowych.

Raport działu sprzedaży

 

 

Poziom uprawnienia: Dział sprzedaży Dział marketingu Inne działy Administrator
Pełna kontrola
Modyfikacja
Odczyt i wykonanie
Odczyt
Zapis
Uprawnienia specjalne

 

Zasada minimalnego uprzywilejowania w usługach SaaS

Praktycznie każda usługa Software as a Service (SaaS) posiada wbudowany mechanizm zarządzania uprawnień użytkowników. Wystarczy najpierw zdefiniować odpowiednie grupy, określić ich zakres dostępu do danych i dodać odpowiednie osoby. W innym wypadku preferencje można zdefiniować na każdym pliku indywidualnie jak na przykładzie Google Docs:

Zarządzanie uprawnieniami w dokumencie Google Docs

Zasada minimalnego uprzywilejowania dyktuje, aby każdorazowo określać preferencje dostępu do pliku. Dodatkowe opcje ograniczające przetwarzanie pliku są ukryte pod ikoną zębatki (⚙).

Dodatkowe uprawnienia udostępniania pliku w Google Docs

Proaktywne monitorowanie sieci

Jednym ze sposobów proaktywnego monitorowania sieci w celu wczesnego wykrywania anomalii jest monitorowanie logów. Korzystając z centralnego serwera logów i parsera, administratorzy są w stanie otrzymać alerty dotyczące np. prób dostępu do danych lub eskalacji uprawnień.

Jednorazowe próby dostępu do zasobów, do którego użytkownik nie jest uprawniony, nie są niczym groźnym. Najczęściej to rezultat błędu ludzkiego. To samo można powiedzieć o próbie instalowania jakiejkolwiek aplikacji bez uprawnień administratora.

Jednak wielokrotne próby modyfikacji pliku, do którego użytkownik lub grupa nie ma uprawnień może być symptomem złośliwego oprogramowania (np. ransomware, które będzie próbowało zaszyfrować każdy plik) lub działań insiderów (pracowników chcących zaszkodzić pracodawcy; więcej o insiderach opublikowaliśmy tutaj). Natomiast nieudane próby eskalacji uprawnień, jeżeli występują w krótkim czasie i z wysoką częstotliwością, mogą świadczyć o ataku brute force, w którym zautomatyzowany proces próbuje odgadnąć nazwę użytkownika i hasła do systemu.

Aby skorzystać z tej metody proaktywnego monitorowania logów, istotne jest, aby według zasady minimalnego uprzywilejowania każdy pracownik posiadał najniższy poziom uprawnień pozwalający na wykonanie swojej pracy. Przy poprawnym ustaleniu dostępów, jakiekolwiek naruszenie zasad może być poddawane analizie zachowań i kategoryzowane jako nieumyślne/błąd ludzki lub złośliwe/zautomatyzowane, pozwalając administratorom na wczesne wykrywanie anomalii i zachowań skryptowych.

Wdrożenie zasady najmniejszego uprzywilejowania na wysokich stanowiskach

Zastosowanie zasady minimalnego uprzywilejowania w celu ochrony danych kadr menedżerskich jest trudnym zadaniem do wykonania, ponieważ wymaga znalezienia złotego środka pomiędzy ergonomią a bezpieczeństwem. Można argumentować, że osoby najważniejsze osoby w firmie powinny mieć pełny dostęp do danych ze względu na naturę swoich obowiązków. Niemniej, przy takim stanie rzeczy jakikolwiek wyciek uwierzytelnień, spowodowany choćby przez złośliwe oprogramowanie (malware) lub utratę urządzenia może skutkować wyciekiem danych całej firmy. 

Dobre praktyki podnoszenia uprawnień

Istnieje jednak płaszczyzna na kompromis. Po pierwsze, komputery przenośne mogą zostać wyposażone w nieuprzywilejowane konto bez uprawnień eskalacji do administratora. Tym sposobem zainstalowanie jakiegokolwiek oprogramowania zostanie stanowczo utrudnione, ograniczając szanse na sukces niektórych ataków socjotechnicznych (na przykład pominięcie lub zezwolenie  UAC). Zakładając, że osoba na wysokim stanowisku posiada oddzielne komputery (i środowisko) do użytku prywatnego i służbowego, nie istnieje wiele powodów za nadaniem takiej osobie praw pozwalających na modyfikację systemu. Korzyści wynikające z domyślnego używania nieuprzywilejowanego konta na komputerach przenośnych znacznie przewyższają ograniczenia ergonomiczne.

Po drugie, urządzenia mobilne powinny być zaszyfrowane. Tutaj dobrą informacją jest fakt, że każdy nowy smartfon wyposażony w system operacyjny Android i iOS jest domyślnie zaszyfrowany. Jednak dodatkowe karty pamięci (microSD) – opcjonalnie. W związku z tym, że aplikacje dość często zapisują dane na dysku zewnętrznym, warto jest zadbać również o szyfrowanie tego nośnika na wypadek utraty urządzenia. 

Laptopy ze względu na swój gabaryt oraz możliwość przenoszenia, również powinny być szyfrowane. Niemal każda wersja systemu operacyjnego Windows 10 (poza Home) jest wyposażona we wbudowany mechanizm szyfrowania dysków. Komputery Mac i Linux również mogą być zaszyfrowane (więcej o szyfrowaniu i instruktaż tutaj). Gdy dojdzie do zgubienia lub kradzieży laptopa można być pewnym, że wyciek danych nie zostanie spowodowany przez odczytanie dysku.

Po trzecie, weryfikacja dwuetapowa powinna być standardem. Potwierdzenie swojej tożsamości przez klucz YubiKey, kartę smart-card, aplikację mobilną lub wiadomość SMS nie jest dużą niedogodnością, a korzyści płynące z zablokowania dostępu podczas wycieku haseł są nie do przeliczenia. Wdrożenie 2FA w środowisku biznesowym nie jest zadaniem trudnym do wykonania (Active Directory natywnie wspiera uwierzytelnienie oparte na kartach smart-card) a większość biznesowych usług SaaS posiada wbudowany mechanizm weryfikacji dwuetapowej – wystarczy tylko włączyć.

Reasumując

Zasada minimalnego uprzywilejowania powinna być standardowym komponentem każdej polityki bezpieczeństwa. Odpowiednie wdrożenie i przestrzeganie tej zasady chroni systemy przed atakami cybernetycznymi oraz zwykłymi błędami ludzkimi.

Powodem jej częstego pomijania jest chęć ułatwienia sobie pracy przez administratorów IT. Choć krótkoterminowo niekorzystanie z tej zasady może zaoszczędzić trochę czasu, konsekwencje wynikające z jej pominięcia są najczęściej katastrofalne. Okresowe audyty bezpieczeństwa i polityki IT powinny z łatwością identyfikować takie sytuacje, a następnie natychmiast wprowadzać ograniczenie uprawnień użytkownika.

Oceń artykuł:

Paweł Wałuszko

Paweł Wałuszko 09.09.2021

Doświadczony administrator sieci i propagator rozwiązań IT ze środowiska Doliny Krzemowej. Absolwent Uniwersytetu Kalifornijskiego w Berkeley, Uniwersytetu Stanforda i RANEPA; współorganizował projekty transferu wiedzy takie jakie jak „Poland-Silicon Valley Entrepreneurship Exchange” oraz projekt „Recreating Silicon Valley” na Uniwersytecie Stanforda. Odpowiedzialny za rozwój produktów i ochronę danych, projektował i wdrażał rozwiązania informatyczne dla środowiska akademickiego i biznesu w Europie i USA. Obecnie zajmuje się biznesowymi powiązaniami Doliny Krzemowej z krajami Europy Środkowo-Wschodniej: wymianą wiedzy, rozwojem produktów i edukacją w zakresie bezpieczeństwa w cyberprzestrzeni. W Polsce i poza granicami kraju znany z licznych wykładów poświęconych przeciwdziałaniu atakom socjotechnicznym, kultywowaniu kultury bezpiecznej pracy z danymi poufnymi oraz wczesnego wykrywania anomalii. Pasjonat technologii open-source, współpracuje ze startupami w zakresie tworzenia i zabezpieczania rozwiązań geolokalizacyjnych.

Comments are closed.
Wyszukaj
Kategorie