עידן חדש של ניהול הרשאות אוניברסלי
האתגר של היום הוא ניהול ריבוי ההרשאות ברחבי הארגון. היכולת של מנהלי אבטחת המידע לצמצם את מרחב ההתקפה שהולך וגדל עם הרחבת הארגון לענן, IoT, DevOps ועוד. אנחנו מדברים על יותר מעוד ניהול סיסמאות בכספת עבור קבוצה מוגבלת של משתמשים פריבילגיים, זה, כבר לא מספיק במרחב הסייבר.
אתגר זה בעייתי ומסורבל לניהול כאשר מספר המשתמשים הזקוקים להרשאות גדל במהירות, וכולל בתוכו לא רק את המנהלים המורשים, אלא גם ספקים חיצוניים, צוות התמיכה וכן חשבונות שאינם אנושיים, כגון יישומים ושירותים למיניהם.
האקרים יודעים זאת וממשיכים לנצל את חוסר השליטה בהרשאות פריבילגיות. עדיין, 80% מכלל ההפרות כיום כרוכות באישור הרשאות כלשהו, וכמעט 90% מהפגיעות הקריטיות של מיקרוסופט ניתן למתן רק על ידי הורדת הרשאות מנהל מקומי.
עידן חדש זה מביא עימו בעיות חדשות, בעיקר למנהלי אבטחת המידע. הם לא רק צריכים לחשוב כיצד הם יכולים לגלות ולאבטח את כל אישורי ההרשאה ברחבי הארגון שלהם, אלא גם כיצד לעקוב אחר כל הפעילויות המיוחסות לאותם משתמשים בארגון ולתעד אותן, כיצד להסיר הרשאות שאינן חיוניות מתחנות הקצה והשרתים, וכיצד לבצע אוטומציה של אישורים מורשים באמצעות תהליכי ניהול השינויים וכו'.
מרבית הפתרונות הייעודיים הקיימים לניהול סיסמאות פשוט אינם יכולים לטפל בכל הבעיות הללו. כאשר הם לא מתייחסים לספקטרום ההרשאות המלא, הם משאירים פערים שעלולים להיחשף. פתרונות אלו מספקים נראות מוגבלת לדיווח ולתאימות, כיוון שבדרך כלל הם דורשים מהארגון ליישם את פתרון ניהול הסיסמאות עם פורטפוליו המוצרים הנוספים, ובכך העסק נהפך ליקר מאד ולצורך זמן רב של פריסה וניהול.
מודל ניהול הרשאות אוניברסלי מאפשר לארגון לאבטח ולנהל הרשאות של כל משתמש, חיבור (סשן) ונכס בארגון, ועובד בצורה משולבת, כדי לאחד את כל מדיניות ההרשאות הפריבילגיות בארגון וכדי להפחית באופן דרסטי את משטח ההתקפה הארגוני.
על ידי שינוי התפיסה ומעבר לגישה חדשה לניהול הרשאות אוניברסלי, ניתן להגן על כל הרשאות הארגון, בכל זמן ובכל סוגי הסביבות, כולל סביבות ענן, שבהן קשה יותר ויותר לנהל את התפשטות ההרשאות. הגישה האוניברסלית כוללת גם אבטחת הרשאות בכל סוגי היישומים, המשתמשים, תחנות הקצה והשרתים.
מודל ניהול הרשאות אוניברסלי מאפשר לארגון לצאת למסע לפתרון של מגוון מקרי שימוש (Use Case) בניהול הרשאות גישה (PAM). הגישה שלנו מאפשרת להתחיל עם מקרי השימוש הקריטיים ביותר לארגון, ואז להרחיב בקלות את הפתרון ליישום פתרוןPAM מקיף לאורך זמן. במידה שהארגון מעוניין להתחיל בהגנה על גישת הרשאות מצד שלישי, או הסרת הרשאות מנהל מקומי מתחנות העבודה, ניתן לעשות זאת מבלי הצורך לפרוס תחילה את פתרון ניהול הסיסמאות המלא שלנו.
הגישה שלנו לא רק מכסה את כל מדיניות ההרשאות הארגונית, אלא גם:
* מספקת תבניות וכלים להפעלה מהירה להאצת הפריסה בארגון.
* אוטומציה לצמצום המשאבים הדרושים לניהול ריבוי ההרשאות ברחבי הסביבה הארגונית.
* מאפשרת לארגון ליישם גישה מיוחדת לזמן, Just-in-Time כך שתעניק למשתמשים רק את הגישה שהם צריכים בדיוק ברגע שהם זקוקים לה.
* מספקת שליטה פרטנית, כך שניתן להתאים אישית הרשאות מיוחדות לכל סוגי המשתמשים.
* מאפשרת גילוי וניהול הרשאות חדשות בארגון.
* אינה מפריעה למשתמשים בזמן העבודה, ובכך לא נגרם נזק להמשכיות עסקית השוטפת.
בין אם מדובר באיום פנימי ובין אם מדובר באיום חיצוני, ברגע שתוקף אוחז בהרשאות ברמת הניהול, הוא יכול לנוע לרוחב (Lateral movement) הרשת הארגונית ולעתים קרובות מבלי שיבחינו בו. הפתרונות של BeyondTrust מפרקים את שרשרת ההתקפה בכמה נקודות כדי לעצור במהירות התקפות ולהקל על נזק.
לדוגמה:
* איומים חיצוניים – גישה מרחוק מאובטחת מוגנת על ידי הפרדת תווך מוחלטת.
* אסקלציה פריבילגית – מונעת שימוש לרעה בהרשאות.
* תנועה רוחבית – רישום לבן (WL) / רישום שחור (BL) לפקודות וליישומים (מכל הסוגים).
* פגיעויות / ניצולים / התקפות מיוחדות אחרות – יכולות מתקדמות של EPM (אימות היישום ובקשת מקור).
* הפרת נתונים – ניטור תקינות קבצים מובנה ב-EPM לאבטחת קבצים רגישים.