Určitě to znáte z praxe – na svém  firemním počítači máte buď veškerá práva, tedy můžete instalovat, odinstalovávat nebo nastavovat cokoliv, nebo naopak o každou změnu či aplikaci musíte požádat IT oddělení. Vyšší formy oprávnění k úpravám dat a složek se většinou nastavují až v samotné firemní síti. Podle průzkumu společnosti CyberArk až 87 procent společností nijak neomezuje administrátorská práva uživatelů koncových stanic.

Administrátorská práva na jedné straně přinášejí uživatelské pohodlí, na druhé však podstatné bezpečnostní riziko. Například skrze podvodný e-mail s odkazem uživatel nevědomky umožní hackerovi přístup k citlivým firemním datům. S využitím metod sociálního inženýrství může dojít ke krádeži uživatelských účtů a následnému vpuštění útočníka do sítě. A na problém je zaděláno…

Proč?

Tento problém je samozřejmě známý – a firmy o něm většinou vědí.

„Své o tom vědí v mnoha firmách, kde útočník získal skrze ukradenou identitu tak vysoká oprávnění, že kontroloval celou síť. Jakmile hackeři proniknou takto daleko, nepozorovaně získají přístup k mimořádně citlivým datům, mohou měnit nastavení IT, aplikací a vytvářet si zadní vrátka. V takových případech ztratí bezpečnostní zaměstnanci – a vlastně i podnikové IT – veškerou důvěru a je nutné vybudovat vše od nuly,“ říká Jan Pergler, Senior Sales Engineer ve společnosti CyberArk.

Firmy však tento problém neřeší nikoli z důvodů ignorace, ale protože dosud neexistoval nástroj, jak práva uživatele efektivně řídit, tedy jak omezit práva tak, aby to uživatele co nejméně limitovalo v jeho běžných pracovních činnostech. Říká se tomu „Least privilege koncept“ a právě díky řešení Endpoint Privilege Manager společnosti CyberArk je nástroj pro jeho implementaci konečně na světě.

Jak to funguje?

Endpoint Privilege Manager (EPM) řadíme mezi bezpečnostní end-point nástroje, nikoliv však mezi antiviry. Jeho výjimečnost spočívá v tom, že dokáže definovat set povolených a nepovolených úkonů uživatele a privilegií aplikací. Rozdělí tak práva aplikací pro přístupy k lokálním složkách, síťovým sdíleným složkám, přístupu do lokální sítě či internetu a podobně.

Možnosti nástroje ale přesahují vlastní definice IT správce, co je „slušná“ aplikace a co už není: EPM také zvládá aplikaci automaticky zařadit podle způsobů jejího získání (sdílená složka v síti, SCCM, internet, apod.), nebo na základě reputační databáze či certifikátu. Tím šetří čas a energii, která může být využita efektivněji.

Pravidla se definují pomocí centrální správy end-pointů v cloudu. Cloud má mimo jiné výhodu v tom, že lze aktualizovat pravidla na kontrolovaném end-pointu i v případě, že zařízení není přímo připojené do firemní sítě nebo pomocí VPN. Stačí, když je připojené do internetu.

Rozdělení aplikací

Správcům se tak otevírá možnost rozdělit aplikace do tří kategorií a zabránit tak spouštění nebezpečných skriptů nebo nakažených DLL knihoven:

  • White-list – povolené aplikace
  • Black-list – zakázané aplikace
  • Grey-list – aplikace spustitelné, ale s omezenými právy

Díky EPM tak uživatel může například nadále spouštět flashové či javové aplikace v prohlížeči či makra v Office (často zdroj infekce malwarem), ale v omezeném režimu, čímž dojde k zamezení infekce.

Centrální správa uživatelských účtů a oprávnění

Pomocí EPM pak správce dokáže granulárně přidělit administrátorská práva uživatelům s MS Windows Desktop / MS Windows Server či MacOS jen na úkony pro ně specifikované. Tím získá kontrolu nad privilegii uživatele. Nemůže se tak stát, že uživatel náhodně spustí škodlivý skript nebo instalaci malwaru. Uživateli to zabrání zanést si počítač škodlivým kódem či vlastní úpravou způsobit fatální pád systému (například úpravou registrů, Windows služeb (windows service) apod.).

Ochrana hesel na pracovní stanici

EPM pomocí unikátní technologie umožňuje odhalovat a blokovat pokusy o krádež přístupových údajů. Krádeže přístupových údajů hrají stěžejní roli u většiny typů kybernetických útoků. Pokročilá ochrana pomáhá odhalovat a blokovat pokusy o krádež přihlašovacích údajů na systémech Windows, údajů uložených v internetových prohlížečích a přihlašovacích údajů v běžných administrátorských nástrojích (WinSCP, Putty, VNC, Git…).

Bezpečnější a podle doporučení NÚKIBu

Implementací řešení EPM společnosti CyberArk získáte nejen vyšší úroveň zabezpečení (a klid na práci samotnou), ale ulevíte správcům firemní sítě. Zároveň splníte doporučení Národního úřadu pro kybernetickou bezpečnost, který důrazně radí zavedení těchto nástrojů.

„Toto řešení pomáhá organizacím snížit riziko úspěšného útoku odstraněním nepotřebných oprávnění místního správce a posílením bezpečnosti privilegovaných účtů,“ shrnuje Jan Pergler.

Pusťte si webinář!

Pokud chcete o zabezpečení uživatelských účtů a jejich správě vědět více, přihlaste se na webinář „Jak zastavit útok v prvopočátku a zabránit zneužití uživatelských oprávnění na pracovních stanicích,“ který se koná již tento čtvrtek 16. 4. 2020 od 10:00 do 11:00 hodin. Získáte podrobné informace nejen o tomto řešení, ale také o sofistikovaných hrozbách a jak se jim dá bránit. Webinář je zdarma. Záznam najdete i na YouTube kanálu společnosti Veracomp.

A pokud potřebujete poradit v otázkách kybernetické bezpečnosti, s důvěrou se obraťte na Veracomp, předního odborníka v této oblasti!