הרשאות גבוהות, חשבונות פריבילגיים או חשבונות רגישים הן הרשאות הניתנות לבעלי התפקידים בארגון האחראים לניהול הרשאות שאר העובדים (כגון מנהלי רשתות, ADMIN למיניהם וכו'). מתוקף מהותם, לחשבונות פריבילגיים משמעות רבה לנושא האבטחה והסודיות בארגון וכתוצאה מכך הם מהווים יעד מרכזי למתקפות האקרים וגורמים זדוניים אחרים.

אבטחה פיזית מחמירה, הפרדה בין רשתות מסווגות, מניעת חיבור התקנים ניידים לרשת, סריקת מידע שזורם ברשת ואפילו ניהול ובקרת הרשאות גישה באופן גורף ושוטף. כל אלה הם אמצעים יעילים לצמצום רמת חשיפת המידע הרגיש בארגון, אך הם אינם נותנים מענה לנקודת תורפה הקיימת בתוך כל ארגון – החשבונות הפריבילגיים (Privileged Account).

מהו חשבון פריבילגי?

חשבון פריבילגי, הנקרא גם חשבון רגיש, הוא חשבון עם הרשאות גבוהות, המאפשרות גישה לנכסים הקריטיים של הארגון. חשבונות פריבילגיים מזוהים בדר"כ עם מנהלי תשתיות, שמתוקף תפקידם צריכים שתהיינה להם הרשאות גבוהות על מנת לבצע פעולות בכל רחבי המידע האירגוני. אך השימוש בחשבונות פריבילגיים אינו מוגבל וממוקד רק לבעלי תפקיד כאנשי Admin. כיום, השימוש בחשבונות פריבילגיים גדל באופן ניכר וגולש כמעט לכל פינה בארגון (אפליקציות אירגוניות, ספקי שירותים, משתמשים עסקיים ועוד).

חשבון פריבילגי הוא מעין מפתח מאסטר שפותח את כל המנעולים בארגון וזו הסיבה שתוקפים מבחוץ ומבפנים, ישקיעו משאבים רבים ותמיד יחפשו דרכים להשתלט על החשבונות האלה. מתקפות סייבר ידועות כדוגמת המתקפה על הבנק בבנגלדש, התאפשרו הודות לגניבת זהות והשתלטות על חשבון פריבילגי, שנתן לתוקפים שליטה וגישה חופשית למידע ולתשתיות בכל רחבי הארגון.

בשל כך, כל ארגון, ולא רק כזה הנדרש לעמוד בתקנים ורגולציות אבטחה מחמירות, חייב הגדרת מדיניות וכלים לאבטח, לנהל, לנטר ולאכוף את הגישה של המשתמשים הפריבילגיים שלו.

כלים לאבטחת חשבונות פריבילגיים

תחום האבטחה של חשבונות פריבילגיים – המכונה PIM או PAM (Privileged Access Management) – הוא תחום ותיק אשר ללא ספק קיימת מודעות גבוהה לחשיבותו. ואכן, ברוב הארגונים הנושא מטופל בצורה הדוקה ואפשר למצוא מגוון כלים מיוחדים הנמנים על התחום ומיושמים ביום יום.-

1. כספת סיסמאות (Password Safe) היא אולי אחד הפתרונות המוכרים יותר בתחום ה- PAM. הרעיון הוא בעצם לא להנפיק סיסמא אחת גורפת לבעל התפקיד הנזקק לגישה, אלא לחולל סיסמא חדשה וקצרת טווח, בכל פעם שנדרשת הגישה למשאב. באופן כזה הסיסמא לחשבון הפריבילגי נשארת תמיד חסויה. לאדמיניסטרטור, הנדרש להיכנס למערכת מסוימת על מנת לבצע עדכון, או כל משימה אחרת מתוקף תפקידו, אין מראש את הסיסמא לחשבון מנהל המערכת. עם פתיחת הסשן לביצוע המשימה, האדמיניסטרטור יבקש את הסיסמא, והכספת שתבדוק קודם את זכאותו, תנפיק לו, בו ברגע, סיסמא חדשה וחד-פעמית, שתוקפה יפוג מיד עם תחילת השימוש.

2. ניטור פעילות המשתמש הפריבלגי- כלי מוכר נוסף הוא זה המנטר את פעילות המשתמש הפריבילגי לאחר שכספת הסיסמאות בדקה ואישרה לו גישה. נניח לדוגמא, שלצורך טיפול בבעיה במערכת קריטית, מוענקת גישה לספק תמיכה חיצוני, לפי אותו נוהל של כספת הסיסמאות. במקרה כזה, נדרשת דרך להבטיח, שבזמן שאותו ספק מטפל בבעיה שלשמה נקרא, אין הוא משוטט או מבצע פעולות פוגעניות, בזדון או בתום לב. ניטור סשן הוא יישום המתחקה אחר פעילות המשתמש הפריבילגי ומנטר את כל הפעילות בסשן.
3. התראות ואסקלציה- גם במהלך ניטור הפעילות קיימות מספר אפשרויות פעולה ואסקלציה, שמערכות PAM יכולות לסייע בהן. מערכת PAM יכולה כמובן להתריע על פעילות חשודה לפי הפרמטרים והאופן שהוגדר לה, אך במקרים מסוימים נרצה שהמערכת אף תעצור ותנתק את המשתמש, בו ברגע שביצע פעולה חשודה, לדוגמא, הקלדה של פקודות שאינן מורשות עבורו.

קיימים עוד מספר כלים מוכרים ושימושיים בתחום אבטחת חשבונות פריבילגיים. ניתן להכליל ולומר שמדובר באוסף של פתרונות שמספקים יכולת אכיפה גבוהה של כללי שימוש נוקשים בחשבונות עם הרשאות גבוהות – קרי חשבונות פריבילגיים. במציאות הארגונית, ניתן לראות שברוב המקרים אכן נעשה שימוש בכלים הללו, אך לעיתים קרובות השימוש מצומצם או שאינו אופטימלי.

על חשיבות האינטגרציה בין ניהול חשבונות רגישים (PAM) לבין ניהול הרשאות לקבצים (DAG)?

בהתקנה של מוצר PAM בארגון, השאלה המיידית שעולה היא – מהם החשבונות הפריבילגיים שקיימים בארגון? התשובה תכלול רשימה לא ארוכה במיוחד של יוזרים כגון, יוזר Admin, יוזר Root, ועוד כמה יוזרים בשמות משונים. בשלב הבא, רשימת היוזרים תוזן לתוך המערכת PAM, הסיסמאות יוכנסו וינוהלו בכספת סיסמאות, ומרגע זה ואילך המערכת תתמקד ותנטר את הפעילות של אותם משתמשים.

אבל האמת היא שבמקרים רבים הרשימה הזו רחוקה מלשקף את התמונה האמיתית של החשבונות הפריבילגיים בארגון. אם נרחיב את החיפוש ונבדוק במערכות הקצה האירגוניות – מי הם היוזרים שמוגדרים בכל מערכת קצה? ומהן ההרשאות שיש לכל יוזר בכל מערכת קצה? אז בוודאי נגלה עוד משתמשים עם הרשאות חריגות, שמעידות על משתמשים רגישים.  

לחילופין, נוכל לזהות משתמשים שהם רגישים ולא בשל ההרשאות שיש להם אלא בגלל הפוזיציה הארגונית שלהם במשאבי אנוש. למשל, סמנכ"ל כספים של חברה, אוטומטית נמצא בעמדה רגישה, כי אם תוקף או פורץ יצליח לגנוב את הזהות שלו, רב הסיכויים שאותו פורץ יוכל להגיע ולהזיק באזורים סופר רגישים בארגון.

חשיבות האינטגרציה בין PAM ל- DAG (Data Access Governance) או ל- IGA (Identity Governance Administation) נעוצה בדיוק כאן. מערכת PAM מקבלת רשימת קלט ויכולה לעקוב אחר החשבונות הפריבילגיים שדווחו לה אך היא לא מסוגלת לזהות וגלות אותם בעצמה. מערכת PAM לא מנתחת את עולם ההרשאות של משתמשים בארגון, היא לא בודקת מול משאבי אנוש מהי הפוזיציה הארגונית של העובד, היא לא יכולה להסיק מי הם באמת החשבונות הפריבילגיים וכמה חשבונות כאלה קיימים בארגון.

ארגונים רבים, שאף על פי שכבר יש בידיהם את הכלים הללו, לא רואים את הקשר ההדוק בין התחומים, ולכן אינם פועלים על מנת לחבר ביניהם. אינטגרציות מסוימות בין PAM ל- DAG אינן מורכבות וביכולתן לצמצם סיכונים ולסגור פרצות אבטחה שאחרת כלל לא היו מטופלות.

לפרולינק ניסיון וידע נרחב בהתאמת פתרונות ואינטגרציות של PAM. נשמח לעמוד לרשותכם בכל שאלה.

היצרנים בתחום PAM שאנו עובדים עימם הם BeyondTrust ו- STEALTHbits.