fbpx

Business

Admin

Proč by neměl být každý uživatel adminem

Podvodné emaily, nebezpečný malware, phishing a sociální inženýrství – kybernetické hrozby se stávají stále sofistikovanějšími a míra nebezpečí neklesá ani v době karantény. Ba naopak – hackeři využívají toto období k rozsáhlým útokům. Mezi nejčastější příčiny jejich úspěchů patří špatně nastavená práva uživatelů. Poradíme vám, jak jednoduše a efektivně zabezpečit vaši podnikovou síť a její uživatele.

Určitě to znáte z praxe – na vašem firemním počítači máte buď veškerá práva – můžete instalovat, odinstalovat nebo nastavovat cokoliv – nebo naopak o každou změnu nebo aplikaci žádáte IT oddělení. Vyšší formy oprávnění k úpravám dat a složek se většinou nastavují až v samotné firemní síti. Podle průzkumu společnosti CyberArk až 87 % společností nijak neomezuje administrátorská práva uživatelů koncových stanic.

Administrátorská práva přinášejí na jedné straně uživatelské pohodlí – na druhé však podstatné bezpečnostní riziko. Například skrze podvodný email s odkazem umožní uživatel nevědomky přístup hackerovi k citlivým firemním datům. S využitím metod sociálního inženýrství může dojít ke krádeži uživatelských účtů a následnému vpuštění útočníka do sítě. A na problém je zaděláno…

 

Proč?

Tento problém je samozřejmě známý – a firmy o něm většinou vědí.

Své o tom vědí především firmách, kde útočník získal skrze ukradenou identitu tak vysoká oprávnění, že kontroloval celou síť. Jakmile proniknou hackeři takto daleko, tak nepozorovaně získají přístup k mimořádně citlivým datům, mohou měnit nastavení IT, aplikací a vytvářet si zadní vrátka. V takových případech ztratí bezpečnostní zaměstnanci – a vlastně i podnikové IT – veškerou důvěru a je nutné vybudovat vše od nuly.

Firmy však tento problém neřeší nikoliv z důvodů ignorace, ale protože dosud neexistoval nástroj, jak práva uživatele efektivně řídit – tj. omezit práva tak, aby to co nejméně omezovalo uživatele v jeho běžných pracovních činnostech). Říká se tomu „Least privilege koncept“ a právě díky řešení Endpoint Privilege Manager společnosti CyberArk je nástroj pro jeho implementaci konečně na světě!

 

Jak to funguje?

Endpoint Privilege Manager (EPM) řadíme mezi bezpečnostní end-point nástroje, nikoliv však mezi antiviry. Jeho výjimečnost spočívá v tom, že dokáže definovat set povolených a nepovolených úkonů uživatele a privilegií aplikací.

Rozdělí tak práva aplikací pro přístupy k lokálním složkách, síťovým sdíleným složkám, přístupu do lokální sítě či internetu apod.

Možnosti nástroje ale přesahují vlastní definice IT správce, co je „slušná“ aplikace a co není: EPM také zvládá aplikaci automaticky zařadit podle způsobů jejího získání (sdílená složka v síti, SCCM, internet, apod.), nebo na základě reputační databáze či certifikátu. Tím šetří čas a energii, která může být využita efektivněji.

Pravidla se definují pomocí centrální správy end-pointů v cloudu. Cloud má výhodu (mimo jiné) v tom, že lze aktualizovat pravidla na kontrolovaném end-pointu i v případě, že zařízení není přímo připojené do firemní sítě nebo pomocí VPN. Stačí když je připojené do internetu.

 

Rozdělení aplikací

Správcům se tak otevírá možnost rozdělit aplikace do tří kategorií a zabránit tak spouštění nebezpečných skriptů nebo nakažených DLL knihoven:

  • White-list – povolené aplikace
  • Black-list – zakázané aplikace
  • Grey-list – aplikace spustitelné ale s omezenými právy

Díky EPM tak uživatel například může nadále spouštět Flashové či Javové aplikace v prohlížeči či makra v Office (často zdroj infekce malwarem), ale v omezeném režimu, čímž dojde k zamezení infekce.

 

Centrální správa uživatelských účtů a oprávnění

Pomocí EPM pak správce dokáže granulárně přidělit administrátorská práva uživatelům s MS Windows Desktop / MS Windows Server, či MacOS jen na úkony pro ně specifikované. Tím získá kontrolu nad privilegii uživatele.

Nemůže se tak stát, že uživatel náhodou spustí škodlivý skript nebo instalaci malwaru. Zabrání to uživateli zanést si počítač škodlivým kódem, či vlastní úpravou způsobit fatální pád systému (například úpravou registrů, Windows služeb (windows service) apod.).

 

Ochrana hesel na pracovní stanici

EPM pomocí unikátní technologie umožňuje odhalovat a blokovat pokusy o krádež přístupových údajů. Krádeže přístupových údajů hrají stěžejní roli u většiny typů kybernetických útoků. Pokročilá ochrana pomáhá odhalovat a blokovat pokusy o krádež přihlašovacích údajů na systémech Windows, údajů uložených v internetových prohlížečích a přihlašovacích údajů v bežných administrátorských nástrojích (WinSCP, Putty, VNC, Git…).

 

Bezpečnější a podle doporučení NÚKIBu

Implementací řešení EPM společnosti CyberArk získáte nejen vyšší úroveň zabezpečení (a klid na práci samotnou), ale ulevíte správcům firemní sítě. Zároveň splníte doporučení Národního úřadu pro kybernetickou bezpečnost, který důrazně radí zavedení těchto nástrojů.

A pokud potřebujete poradit v otázkách kybernetické bezpečnosti, s důvěrou se obraťte na Veracomp, předního odborníka v této oblasti!

Sdílet:
PŘEDCHOZÍ ČLÁNEK

Posted by -
DALŠÍ ČLÁNEK

Posted by -

Chcete dostávat měsíční přehled toho nejzajímavějšího z ICT Blogu?