Vyšší oprávnění nejsou zadarmo

Naše manažerka chce implementovat praktiky, kterými zprůhlední činnost svých podřízených. Někteří zaměstna...



Naše manažerka chce implementovat praktiky, kterými zprůhlední činnost svých
podřízených.

Někteří zaměstnanci mají vyšší privilegia než většina ostatních. Do této
skupiny spadá každý, kdo je v pozici, kde disponuje značnou mocí nebo vlivem
jde například o účetní, manažery, systémové administrátory a také profesionály
z oblasti informační bezpečnosti. Podobně jako systémoví administrátoři i
profesionálové pro informační bezpečnost mají zpravidla přístup k velkému
množství dat a informací. Dokonce i když k nim nemají přímý přístup, obvykle
vědí, jak je získat zneužitím nějaké slabiny (podobně jako hackeři, i když s
opačným úmyslem) nebo jednoduše tím, že sami sobě přidělí vyšší privilegia.
V naší malé agentuře mají všichni systémoví administrátoři, pracovníci
helpdesku a bezpečnostní personál vysoká přístupová práva. Během minulého týdne
však vyvstaly určité problémy, které mě přiměly vrátit se k některým osvědčeným
praktikám týkajícím se kontroly přístupu. Jedna je nazývána oddělení privilegií
a druhá je označována jako princip nejnižších práv.

Zvedání laťky
Všechno to začalo tím, když mi můj spolupracovník sdělil, že má podezření, že
jeden z mých podřízených slídil kolem počítačů zaměstnanců. Během posledního
roku jsem podobné stížnosti slyšela od různých manažerů, avšak pracovníci,
kteří byli příčinou dřívějších stížností, zde už zaměstnáni nejsou, a tak jsem
si myslela, že jde o již zapomenutý problém.
Nicméně neuspěla jsem ve snaze změnit příslušné procesy tak, aby popsaný
problém nemohl vzniknout znova. Pokud nastavíte přístupová práva nízko, pak ti,
kteří nemají dostatečná privilegia, spadnou na úroveň, která pro jejich práci
mnohdy už nestačí. Nastal tedy čas pozměnit některé procesy tak, aby byl
potenciál pro zneužití minimalizován.
Zatímco většina pozornosti je ve světě informační bezpečnosti věnována
technologii, nejvíce přehlíženým bezpečnostním rizikem je úroveň přístupu,
kterou disponují lidé z oblasti systémové správy a bezpečnosti v rámci sítě.
Ve světě IT musíte mít své guru, kteří pobíhají kolem a jsou schopni nejen
vyřešit síťový problém, ale odstranit také problémy, jež se vynoří v oblasti
operačních systémů, databází nebo aplikační vrstvy. Tito guru mají v rámci
síťového prostředí takřka božský status a tento status vyžaduje na jejich
straně naprostou bezúhonnost. Musíte být schopní věřit lidem, jimž svoji síť
otevíráte. Jakmile dojde ke ztrátě důvěry, nastává konec hry.
Jednou z cest, jak zjistit, zda důvěra nebyla zneužita, je takzvaný prověřovací
záznam (jde v podstatě o audit činnosti jednotlivých pracovníků). K dispozici
by pro systémové administrátory měla být také politika takzvaného přijatelného
využití, která je publikována a vynucována. Porušení této politiky by mělo být
postižitelné například i ukončením pracovního poměru. V malém týmu je oddělení
práv výzvou. Cílem této činnosti je zajistit, aby žádný jednotlivec nemohl
ovládat transakci nebo proces od začátku až do konce. To je krásná myšlenka ve
světě bankovnictví. Není to ale tak žhavé ve světě IT, kde lze naprostého
oddělení privilegií jen velmi obtížné dosáhnout.
V ideálním případě se chcete pojistit, že osoba, která odstraňuje problémy na
desktopových systémech, nemá stejná práva jako osoba, která spravuje servery,
přepínače, routery nebo firewally. Ve většině případů to ale, pokud nemáte
velmi početný personál, mezi nějž můžete rozdělit velké množství povinností,
není uskutečnitelné.

Vzhůru do akce
Když jsem se pustila do oddělování práv, nejprve jsem se zaměřila na využívání
administrátorského účtu. Předtím měli zaměstnanci oprávnění přihlásit se na
server nebo vzdáleně spravovat desktop s použitím obecného administrátorského
jména.
Nyní musí každá osoba používat svůj vlastní účet s nastavenými
administrátorskými právy. To nijak nemění úroveň oprávnění náležející každému
zaměstnanci, ale slouží to k vytváření zmiňovaného prověřovacího záznamu, jenž
specificky pojmenovává osobu, která použitý účet vlastní, namísto toho, aby
bylo využíváno standardní přihlašovací jméno.
Zadruhé si pokročilí systémoví správci změnili své administrátorské heslo,
zapsali jej, uzamknuli jej a dali klíč pouze jediné osobě. Pod trestem výpovědi
toto heslo nesmí být vyzrazeno. Samozřejmě by to mohlo být problematické, pokud
by pod administrátorským účtem byly spravovány všechny systémové účty. Jde o
dost nešťastnou praktiku, ale dochází k tomu neustále. Lepší metodou je vždy
vytvářet speciální systémové účty s patřičnými právy pro určité aplikace a
služby.
Následně jsem zaměstnancům řekla, že než se vzdáleně připojí k jakémukoliv
desktopu, budou před tím muset získat povolení od příslušného koncového
uživatele. Ve skutečnosti dokonce musí uživatel zavolat na helpdesk a výslovně
požádat o pomoc. Poté, co je ze strany uživatele vznesen tento požadavek,
systémový administrátor musí říci uživateli něco jako: "Rád bych se vzdáleně
přihlásil ke tvému počítači, abych zjistil, zda jsem schopen tvůj problém
odstranit. Je pro to nyní vhodná chvíle?"
Výměna mezi administrátorem a koncovým uživatelem musí být navíc zdokumentována
v záznamu pro helpdesk. Ačkoliv to možná není dokonale spolehlivá metoda pro
zajištění toho, aby administrátoři nezneužívali svých privilegií, nese sebou
určité poselství vůči nim a navíc slouží k vytvoření onoho prověřovacího
záznamu.
Druhou osvědčenou praktiku, na niž se hodlám zaměřit, je princip nejnižších
práv. Administrátoři by měli mít minimální množství oprávnění potřebných pro
to, aby mohli dělat svoji práci. Přihlašovací jméno a heslo k firewallu by
například nemělo být stejné jako ke směrovačům, přepínačům, kterémukoliv ze
serverů, databázi atd.
Jednou jsem prováděla vyhodnocení bezpečnosti pro velkou společnost, která
právě kupovala jednu menší. Mým úkolem bylo zhodnotit bezpečnost akvizice před
tím, než bylo provedeno propojení sítí. Přitom se ukázalo, že snadno
prolomitelná kombinace přihlašovacího jména a hesla síťového manažera kupované
firmy byla jediným jménem a heslem ke všemu.
V mém současném zaměstnání to až tak špatné není, pracujeme však na tom,
abychom se ujistili, že to bude tak dobré, jak to jen jde.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.