Da bi se smanjio rizik od zloupotrebe privilegija, trend na tržištu rješenja za upravljanje privilegovanim pristupom (PAM) uključuje implementaciju privilegovanog pristupa just-in-time (JIT). Ovaj pristup privilegovanom upravljanju identitetom ima za cilj da ublaži rizike povezane sa produženim pristupom na visokom nivou davanjem privilegija privremeno i samo kada je to neophodno, umjesto da korisnicima pruža stalne privilegije visokog nivoa. Usvajanjem ove strategije, organizacije mogu poboljšati sigurnost, minimizovati prozor mogućnosti za potencijalne napadače i osigurati da korisnici pristupaju privilegovanim resursima samo kada je to potrebno.
Šta je JIT i zašto je važan?
Pružanje privilegovanog pristupa JIT-om uključuje privremeno davanje privilegovanog pristupa korisnicima, u skladu sa konceptom najmanje privilegije. Ovaj princip pruža korisnicima samo minimalni nivo pristupa koji je potreban za obavljanje njihovih zadataka, i to samo onoliko vremena koliko je potrebno za to.
Jedna od ključnih prednosti JIT provizije je njegova sposobnost da smanji rizik od eskalacije privilegija i minimizuje površinu napada za napade zasnovane na kredencijalima. Eliminacijom stalnih privilegija, ili privilegija koje nalog posjeduje kada nije u aktivnoj upotrebi, JIT obezbjeđivanje ograničava mogućnost zlonamjernih hakera da iskoriste ove naloge. JIT obezbjeđivanje ometa pokušaje izviđanja napadača, jer dodaje korisnike u privilegovane grupe samo kada se pojave zahtjevi za aktivni pristup. Ovo sprečava napadače da identifikuju potencijalne mete.
Kako implementirati JIT obezbjeđivanje sa Safeguardom
Safeguard, privilegovano rješenje za upravljanje pristupom, nudi robusnu podršku za JIT obezbjeđivanje na više platformi, uključujući Active Directory i Linux/Unix okruženja. Sa Safeguard-om, organizacije mogu kreirati redovne korisničke naloge unutar Active Directoryja, bez posebnih privilegija. Ovi nalozi se zatim stavljaju pod upravljanje Safeguard-om, ostajući u onemogućenom stanju dok se ne aktiviraju kao dio toka posla zahtjeva za pristup.
Kada se kreira zahtjev za pristup, Safeguard automatski aktivira korisnički nalog, dodaje ga određenim privilegovanim grupama, kao što su administratori domena, i dodjeljuje potrebna prava pristup nalogu. Nakon što je zahtjev za pristup dovršen, bilo kroz konfigurisani vremenski period ili korisnik ponovo provjerava kredencijale, korisnički nalog se uklanja iz privilegovanih grupa i onemogućuje, minimizujući izloženost potencijalnim sigurnosnim prijetnjama.
Kako poboljšati JIT proviziju s aktivnim ulogama
U kombinaciji sa Active Roles ARS, vodećim alatom na tržištu za upravljanje Active Directory-om One Identity-a, organizacije mogu podići sigurnost i prilagođavanje svojih JIT usluga na još veći nivo. Aktivne uloge omogućavaju sofisticiranije slučajeve korišćenja JIT provizije, omogućavajući organizacijama da automatizuju aktivaciju naloga, upravljanje članstvom u grupi i sinhronizaciju atributa Active Directory-a.
Zaključak
Na primjer, radni tok zahtjeva za pristup Safeguard-u može pokrenuti Aktivne uloge ne samo da aktiviraju korisničke naloge i dodjeljuju privilegije, već i ažuriraju virtuelne atribute unutar Active Directory-ja i sinhronizuju promjene u okruženju.
Obezbjeđivanje privilegovanog pristupa u pravo vreme (Just-in-Time provisioning) je ključna komponenta sveobuhvatne strategije upravljanja privilegovanom pristupu. Implementacijom JIT obezbeđivanja, organizacije mogu smanjiti rizik od zloupotrebe privilegija, poboljšati sigurnost i osigurati da korisnici pristupaju privilegovanim resursima samo kada je to neophodno i samo onoliko dugo koliko je neophodno. Kombinovanjem Safeguarda sa Active Roles, organizacije mogu implementirati robustne politike JIT obezbeđivanja kako bi ojačale sigurnost i umanjile rizike.
Izvor: The Hacker News
