Zarządzanie dostępem uprzywilejowanym staje się coraz powszechniejsze wśród Polskich przedsiębiorców, niezależnie od branży i wielkości firmy. Nie jest to rzecz zaskakująca - dostęp uprzywilejowany oznacza możliwość przejęcia pełnej kontroli nad krytycznymi zasobami firmy: bazą kontrahentów, dokumentacją produktowa, księgowością, zarządzaniem produkcją.

Naruszenie lub kradzież któregokolwiek z tych elementów oznacza utratę zysku i reputacji, a w najgorszym przypadku bankructwo i pozwy sądowe. W praktyce, każda osoba z dostępem do serwerów może wyrządzić firmie nieodwracalną szkodę - świadomie lub nie. Powodem może być brak doświadczenia, błąd ludzki lub umyślne działanie, a rozliczalność przy kilku osobach, posiadających bliźniacze uprawnienia jest co najmniej problematyczna. Jeszcze bardziej kłopotliwe jest udowodnienie przed sądem faktu, że pracownik firmy, pobierając bazę klientów i następnie sprzedając ją w świat, nie działał na jej zlecenie.

Przykłady takich sytuacji można mnożyć, zaczynając pracowników światowych firm, którzy uznali, że mogą dodatkowo zarobić na handlu danymi. Wśród ofiar znajdziemy firmy o różnej wielkości, w tym globalnych gigantów, a nawet autorytety bezpieczeństwa informacji, gdzie jako przykład możemy podać przypadek pracownika firmy Trend Micro, który sprzedał dane 68 tysięcy klientów innemu pracodawcy. Na polskim rynku również nie brakuje chętnych do nielegalnego zarobku. Informatyk jednej z Warszawskich firm marketingowych, w drodze postępowania sądowego, przyznał się do kradzieży i sprzedania danych 56 tysięcy klientów.

Powstaje pytanie - jak zabezpieczyć się przed umyślnym lub przypadkowym działaniem pracowników z dostępem do jej krytycznych danych? Na ile pracodawca jest w stanie zaufać osobom, które łączą się z serwerami firmy, szczególnie gdy są to jednocześnie pracownicy wewnętrzni, zewnętrzni podwykonawcy, freelancerzy, agencje marketingowe, czy firmy księgowe?

Jednym z najskuteczniejszych, a często jedynym sposobem na kontrolę dostępu uprzywilejowanego jest wdrożenie rozwiązania Privileged Access Management (PAM). Z reguły polega ono na zarządzaniu hasłami do serwerów i monitorowaniu działań użytkowników. Najbardziej zaawansowane rozwiązania wykorzystują sztuczną inteligencję do klasyfikacji użytkownika - nie tylko na podstawie haseł, ale również jego typowych zachowań na serwerze, wpisywanych poleceń, a nawet charakterystycznych ruchów myszy. W przypadku kradzieży danych do logowania lub nietypowych zachowań na serwerze, oficer bezpieczeństwa otrzymuje powiadomienie, a sesja podejrzanego użytkownika zostaje tymczasowo zawieszona.

W światowej czołówce producentów rozwiązań PAM nie brakuje naszego polskiego gracza - Fudo Security, którego moduł sztucznej inteligencji i szybki czas wdrożenia zdobyły uznanie analityków Gartnera i Kuppinger Cole’a, a monitoring i nagrywanie sesji użytkowników z możliwością dołączenia do sesji, przerwania jej czy też dołączenia do niej, odbywa się w czasie rzeczywistym.

Fudo PAM, polski produkt, sprzedawany na całym świecie i uznany przez setki firm rozwijany jest od 2012 roku. Pierwotnie był wykorzystywany jako nagrywarka ruchu sieciowego dla sesji uprzywilejowanych, lecz szybko został rozbudowany o inne moduły związane z zarządzaniem poświadczeniami i uprawnieniami użytkowników. Jego unikalną na rynku cechą jest praca na poziomie protokołu sieciowego, używanego do zarządzania infrastrukturą, a więc brak konieczności instalacji i późniejszego utrzymania dodatkowego oprogramowania. Jedyną rzeczą, którą należy zrobić to instalacja Fudo w szafie rack i konfiguracja dostępu, a reszta dzieje się automatycznie. Fudo rejestruje dosłownie wszystkie zdarzenia związane ze zdalnymi sesjami analizując je w czasie rzeczywistym. Dzięki temu, możliwe jest nakładanie polityk, np.: automatycznej reakcji na wywołanie przez użytkownika niedozwolonej operacji, a także archiwizacja sesji przydatna, kiedy działania użytkownika stają się dowodem sądowym.

Dzisiejsza sytuacja epidemiologiczna kieruje coraz więcej przedsiębiorstw w stronę pracy zdalnej. Jeszcze kilka tygodni temu coś, co przy pracy biurowej było praktykowane sporadycznie, dziś praktycznie stało się standardem. Okazało się, że w domu można stworzyć równie dobre miejsce pracy z dostępem do wszystkich narzędzi wykorzystywanych codziennie, choć w niektórych przypadkach wymaga to zastosowania dodatkowych zabezpieczeń. Chodzi o sytuację, kiedy pracownik w domu przetwarza informacje kluczowe z punktu widzenia firmy, np. dane klientów banków, firm ubezpieczeniowych,pacjentów szpitali i innych placówek medycznych a także inne sytuacje, np: sterowanie istotnym elementem infrastruktury przemysłowej. W takich i podobnych przypadkach zwykły zdalny dostęp okazuje się po prostu niewystarczający. Przedsiębiorstwo starając się zapewnić pełną rozliczalność w obszarze kompetencji pracownika musi dodatkowo myśleć o monitorowaniu i nagrywaniu sesji zdalnych swoich pracowników. Tylko takie podejście daje 100% pewności, że powierzona praca była wykonana rzetelnie, z zachowaniem wszystkich norm i procedur funkcjonujących w firmie. Większość działów bezpieczeństwa dysponujących rozwiązaniami klasy PAM z początkiem pandemii wydało zalecenia, aby tymi narzędziami objąć też użytkowników biurowych. Pozwoliło to w bardzo krótkim czasie zorganizować tysiące zdalnych miejsc pracy przy zachowaniu najwyższych standardów bezpieczeństwa.

W tradycyjnych rozwiązaniach zdalnego dostępu takich jak VPN (Virtual Private Network), celem jest bezpieczne udostępnienie pracownikom zasobów firmy. Jednak te rozwiązania nie przewidują konsekwencji nieuprawnionego dostępu przez bezpieczny kanał, brakuje w nim możliwości inspekcji, weryfikacji a później odtworzenia przebiegu dostępu - jest to koszt ukryty, o którym firma najczęściej dowiaduje się już po wycieku danych, bez możliwości określenia co, w jaki sposób i przez kogo zostało udostępnione. Często niedostrzeganym aspektem jest również faktyczny koszt zarządzania, typowe przedsiębiorstwo decydując się na umożliwienie pracy zdalnej przez VPN musi:

● dysponować dedykowaną flotą serwerów obsługujących uwierzytelnienie i zezwalających na zewnętrzne połączenia,
● ustanowić wewnętrzną jednostkę wystawiającą certyfikaty, której zaufają maszyny pracowników (często ich prywatne). Jest to krok konieczny aby uwierzytelnić pracownika, bez poleganiu tylko i wyłącznie na fakcie posiadania przez niego haseł dostępu,
● w sposób bezpieczny i zaufany dystrybuować pracownikom wyżej wymienione certyfikaty,
● zapewnić poprawną konfigurację usług na wszystkich maszynach pracowników (co przy zróżnicowanym oprogramowaniu, systemach operacyjnych oraz środowiskach sieciowych, nie jest trywialnym zadaniem).
● obsługiwać unieważnianie certyfikatów w sytuacjach, gdy pracownik utraci do niego dostęp lub co gorsza - przypadkowo udostępni go osobom trzecim,
● zarządzać konfiguracją DNS i routingu tak, by wszyscy pracownicy uzyskujący dostęp zdalny mieli faktyczny dostęp do odpowiednich zasobów w wewnętrznej sieci firmy.




Nie istnieje na rynku rozwiązanie z zakresu bezpieczeństwa informacji, które gwarantuje 100% bezpieczeństwa. W praktyce, podnosimy jedynie poprzeczkę atakującym.Nie jest kwestia “czy”, lecz “kiedy” nasza firma padnie ofiarą skutecznego ataku. Szczególnie w przypadku dostępu uprzywilejowanego, człowiek który dzisiaj dla nas pracuje i konfiguruję infrastrukturę dla bezpiecznego dostępu zdalnego - jutro może korzystać z tylnej furtki, która zostawił sobie na “czarną godzinę”, w przypadku utraty pracy.

Decydując się na rozwiązanie kompleksowe typu PAM, które z założenia ma umożliwiać, weryfikować i rejestrować dostęp osób uprzywilejowanych - powyższe problemy są adresowane. Fudo PAM działa na poziomie protokołów sieciowych, poza kontrolą systemu operacyjnego - zarówno na serwerze docelowym jak i na stacjach pracowników. Omijana jest potrzeba instalacji jakiegokolwiek oprogramowania - zarówno na komputerach pracowników jak i zarządzanych zasobach. W związku z tym, nawet osoba uprzywilejowana taka jak administrator systemu, nie będzie w stanie jej wyłączyć i ominąć. Sztuczna inteligencja zaimplementowana w produkcie bada zachowania pracowników i alarmuje administratorów w przypadku wykrycia odstępstw, np.jeżeli to nie Pani Kasia dokonuje przelewu to Fudo poinformuje nas o tym jeszcze zanim skończy wypełniać formularz przelewu. Fudo zapewnia bezpieczny dostęp poprzez pośrednictwo w połączeniu, zachowując szyfrowanie, ale też będąc same w sobie barierą między internetem, a chronionymi zasobami. Nie musimy martwić się, czy nasz administrator pamiętał o załataniu najnowszych błędów w protokole RDP czy SMB. Nasi pracownicy nie muszą nic instalować, otwierają portal w swojej przeglądarce internetowej i jednym kliknięciem otwierają bezpieczne połączenie ze swoim komputerem w pracy - nie musimy przeprowadzać kosztownych szkoleń. Fudo dodatkowo można porównać do czarnej skrzynki w samolocie. Rejestruje ono całą pracę w monitorowanej infrastrukturze. Podczas katastrofy lotniczej, czarna skrzynka jest wykorzystywana w celu ustalenia przebiegu lotu i jej faktycznej przyczyny. Analogicznie, po katastrofie w firmie spowodowanej wyciekiem danych, sabotażem byłego pracownika lub skierowanym ataku - zapis na Fudo pomaga informatykom śledczym ustalić jego przebieg, skalę ataku oraz zasoby jakie zostały skompromitowane. Dzięki implementacji usługi znakowania czasowego przez zewnętrznego dostawcę mamy gwarancję nienaruszalności nagrania oraz możliwości dopuszczenia go jako legalnego dowodu podczas procesu sądowego.

Żyjemy w cyfrowym świecie, gdzie wartość informacji oraz własność intelektualna stały się droższe od wartości wytwarzanych produktów. Niemniej, dostęp do nich mają często osoby niedoświadczone lub nieuprawnione, co w efekcie może być przyczyną upadku nawet największej firmy. Choć żadne narzędzie nie daje stuprocentowej gwarancji bezpieczeństwa, lecz rozwiązania PAM są fundamentem odpowiednio zabezpieczonego przedsiębiorstwa, którego zarząd może spać spokojnie wiedząc, że największe tajemnice firmowe nie trafią w niewłaściwe ręce. Gdyby jednak tak się stało - PAM zapewni, żę dochodzenie i znalezienie winnego sprowadzi się do obejrzenia nagrania, które następnie będzie można użyć w batalii sądowej lub ochronie reputacji.