5 minute read
IT sigurnost
MINIMUM PRIVILEGIJA ZA MAKSIMUM SIGURNOSTI
INFORMATIČKA SIGURNOST JE SLOŽENA DISCIPLINA KOJA SE OSLANJA NA BROJNEINFORMATIČKA SIGURNOST JE SLOŽENA DISCIPLINA KOJA SE OSLANJA NA BROJNE
PRINCIPE. PRINCIPE. UPRKOS BROJNOSTI, ONI SE IPAK MOGU SVESTI NA “SVETU” TROJKU: POVJERLJIVOST, UPRKOS BROJNOSTI, ONI SE IPAK MOGU SVESTI NA “SVETU” TROJKU: POVJERLJIVOST, INTEGRITET I DOSTUPNOST. IPAK, ISPOD SVE TRI STAVKE NALAZI SE TEMELJNI PRINCIP KOJI SE INTEGRITET I DOSTUPNOST. IPAK, ISPOD SVE TRI STAVKE NALAZI SE TEMELJNI PRINCIP KOJI SE DANAS TRETIRA KAO AKSIOM SIGURNOSTI – PRINCIP DODJELE NAJMANJIH PRIVILEGIJA DANAS TRETIRA KAO AKSIOM SIGURNOSTI – PRINCIP DODJELE NAJMANJIH PRIVILEGIJA
Piše: Mirza Bahić redakcija@asadria.com
Osnovni princip IT sigurnosti ili dijeljenje najmanjih privilegija odnosi se na potrebu dodjele najmanjeg (elementarnog) skupa privilegija potrebnih za izvršavanje zadataka i funkcije za koju je neki korisnik ovlašten. Drugim riječima, korisnika se sprečava da izvršava nepotrebne (tj. opasne) operacije dok obavlja određeni zadatak. No, kako to izgleda u praksi?
Povjerljivost ili privilegije?
Zamislimo zaposlenika čiji posao podrazumijeva obradu isplata plata. Njemu se za izvršavanje tog zadatka dodjeljuju odgovarajuće privilegije, odnosno odobren mu je pristup aplikaciji za obračun plata. Istovremeno, za obavljanje tog posla nije mu potreban pristup bazama podataka o klijentima kompanije. Za njega se pristup dodjeljuje, naprimjer, šefu marketinga, kojem opet ne treba pristup aplikaciji za plate. Ovaj princip se ponekad stavlja u isti koš s njegova dva sigurnosna pandana: potrebom za povjerljivošću i potrebom za podjelom dužnosti. Prvi od njih služi kontroli pristupa zasnovanoj na konkretnoj situaciji. Menadžeri prodaje, naprimjer, ne trebaju stalni pristup dosjeima zaposlenika, ali im može zatrebati privremeno kako bi završili godišnji pregled učinka svakog od njih. Isto tako, podjela dužnosti podrazumijeva dodjeljivanje kritičnih zadataka za dvoje ili više ljudi tako da niko od njih ne može dobiti potpunu kontrolu nad aktivnošću koja organizaciju može dovesti u opasnost. Često se koristi paralelno s pristupom dodjele najmanje privilegije za potpuniji sigurnosni učinak.
Potrebno je redovno provjeravati i zadane privilegije za konkretne račune najmanje kvartalno, a poželjno i mjesečno. Korisnici trebaju provjeriti da li svi aktivni nalozi imaju minimalne dodijeljene privilegije, poništiti sve nepotrebne privilegije i ukinuti sve stare ili neaktivne račune
I korisnik i fi rewall
U praksi, princip dodjele minimalnih privilegija ne primjenjuje se samo na pojedince već i na mreže, uređaje, programe, procese i usluge. Tu spadaju svi subjekti koji traže pristup resursima ili objektima kao što su sistemi, datoteke, aplikacije, direktoriji, baze podataka, portovi i dr. Princip minimalnih privilegija primjenjuje se na subjekte koji nisu fi zički korisnici, kao što su zaštita servera gašenjem nepotrebnih portova i uklanjanjem neiskorištenih komponenti, omogućavanje web-aplikaciji da samo pretražuje i ustupa podatke, a ne da ih mijenja ili briše, davanje ovlaštenja API-
Najbolje prakse za najmanje privilegija
Organizacije koje žele ili moraju implementirati pristup dodjele najmanjih privilegija na raspolaganju imaju više provjerenih načina da optimiziraju cijeli proces. Za početak, preporučljivo je uzeti najmanju privilegiju kao zadanu. Ovaj princip mora biti polazna tačka za sigurnosne profesionalce, no zanimljivo je da ga se, zapravo, često i ne provodi adekvatno. Uzmimo za primjer fascikle i podatkovne sisteme – istraživanja uporno pokazuju da gotovo dvije trećine kompanija imaju fascikle otvorene za pristup svim zaposlenicima. Među njima su i preduzeća u kojima postoje korisnički računi bivših zaposlenika koji i dalje nude njihove pristupne privilegije. Sve navedeno je povezano s nepotrebnim širenjem takozvane rizične površine napada. Ovaj pojam označava sve ulazne tačke preko kojih napadači mogu dobiti neovlašteni pristup mreži ili podatkovnom sistemu poput baza podataka u oblaku, API-jima bez kontrole u vidu autentifi kacije i sl. Primjena principa dodjele najmanjih privilegija mora ići u kombinaciji s provedbom srodnih sigurnosnih praksi. To se odnosi na podjelu pristupa prema stepenu povjerljivosti i dodijeljenih nadležnosti.
ju da pristupa podacima koji su mu potrebni, a ne cijelim bazama podataka i slično. U protivnom, neki sistemi mogu dobiti višak privilegija. Prije nešto više od dvije godine u kompaniji Capital One procurili su podaci više od 106 miliona korisnika. Razlog je bila činjenica da je jednom fi rewall sistemu dodijeljen višak privilegija umjesto minimuma, što mu je omogućilo da pokreće komande i pristupa podacima pohranjenim u oblaku kojima nije smio imati pristup.
Manji broj naloga
Također, važno je smanjiti i broj samih privilegovanih korisničkih računa. Budući da administratori sistema imaju praktično neograničene privilegije, napadači često ciljaju upravo te račune. Zato je preporuka svesti njihov broj na prihvatljiv postotak (10% i manje). Veći broj aktivnih naloga povećava i opterećenje administrativnog osoblja zaduženog za sigurnost. Korisno je deaktivirati nepotrebne komponente, kao i onemogućiti sve nekorištene servise koji se pokreću prema unaprijed zadanim postavkama prilikom pokretanja. Tako se smanjuje površina izloženosti cyber napadima. Dobra praksa je i redovno pregledanje evidencije korištenja sigurnosno osjetljivih sistema, odnosno svih instanci autentifi kacije i autorizacije za kritične sisteme i dnevnu kontrolu pratećih aktivnosti. Moguće je i automatizirati proces rezimiranja dnevnih aktivnosti i slanja upozorenja na neobične pojave, gdje spadaju uspješni i neuspješni slučajevi prijave, promjene sistema kontrole pristupa, nova pravila za fi rewall ili korisnički računi koji su dodani sistemu bez prethodnog odobrenja. Potrebno je redovno provjeravati zadane privilegije za konkretne račune najmanje jednom kvartalno, a poželjno i jednom mjesečno. Korisnici trebaju provjeriti da li svi aktivni nalozi imaju minimalne dodijeljene privilegije i, u protivnom, poništiti sve nepotrebne privilegije, tj. ukinuti sve stare ili neaktivne račune. Redovno preispitivanje pomaže i u otklanjanju opasne pojave zaostalih privilegija. Ona se javlja kada se odjeli reorganiziraju i pojedinci mijenjaju svoje funkcije, a subjekti zadržavaju privilegije koje im više nisu potrebne.
Jesu li privilegije precijenjene?
Za lakše upravljanje ovim procesima preporučuje se i korištenje vremenski ograničenih privilegija. Kad god je to moguće, poželjno je dodijeliti privilegije na dovoljno dug, ali i ograničen interval u kojem zaposlenik može izvršiti određeni zadatak. Detaljna procjena ovog intervala igra ključnu ulogu. Cyber sigurnost je višeslojna i kompleksna disciplina u kojoj su se posljednjih godina iskristalizirale određene temeljne prakse. Jedna od njih je i primjena principa dodjele minimalnih privilegija korisnicima i sistemima. Ovaj pristup pomaže organizacijama da ojačaju svoju cyber odbranu tako što smanjuju površinu izloženosti napadima i, u konačnici, ukupni rizik po ključne resurse.
