Hallintatunnusten haasteet voi kohdata – katsaus ratkaisuun nimeltä Privileged Account Management

Marraskuun loppupuolella paljastui Sony Pictures Entertainment -yhtiöön kohdistunut ennennäkemättömän laaja tietomurto.

Tietomurto näytti, kuinka mittavat seuraukset voivat olla, kun vihamielinen taho saa haltuunsa yrityksen hallintatunnuksia. Sonyyn murtautuneet saivat käsiinsä käytännössä kaiken, mitä Sonyn sisäverkossa oli aina työntekijöiden palkkatiedoista tulevien elokuvien käsikirjoituksiin ja ylimmän johdon sähköposteihin.

Paremmalla hallintatunnusten hallinnalla vahinkojen laajuutta olisi voitu rajoittaa huomattavasti, vaikka murtautujat olisivatkin onnistuneet pääsemään Sonyn sisäverkkoon.

Hallintatunnusten haasteet

Hallintatunnuksilla tarkoitetaan järjestelmien ylläpidossa ja hallinnoinnissa tarvittavia tunnuksia, esimerkiksi järjestelmän ylläpitäjän tunnukset (administrator- ja root-tunnukset).

Hallintatunnuksiin liittyvät riskit syntyvät kahdesta tekijästä; tunnuksilla on normaalia enemmän oikeuksia, usein täydet administrator-tason oikeudet sekä tunnusten hallinnointiin liittyy usein epäselvyyksiä. Vaikka hallintatunnusten väärinkäyttö on tunnettu riski, niiden hallinnointiin kiinnitetään usein vähemmän huomiota kuin ns. normaaleihin käyttäjätunnuksiin.

Hallintatunnusten hyvä hallinnointi on entistä tärkeämpää nykyisissä ympäristöissä, joissa yhden tunnuksen taakse keskittyy entistä enemmän valtaa (virtualisointi ja pilvipalvelut). Joissakin tapauksissa yhdellä tunnuksella voi olla oikeudet käytännössä koko organisaation infraan.

Tämänvuotisen Verizonin Data Breach Investigations 2014 -raportin mukaan vuoden 2013 aikana tehdyistä tietomurroista 8% tehtiin organisaation sisäisiä tunnuksia väärinkäyttäen. Kaikkein yleisin tapa murtautua organisaation verkkoon oli käyttää varastettuja ja/tai hakkeroituja käyttäjätunnuksia. Samasta raportista ilmenee, että 88 %:ssa murroista, joissa on ollut osallisena organisaation omia työntekijöitä, on käytetty hyväksi hallintatunnuksia.

Hallintatunnuksien käyttöön liittyy useita yleisiä ongelmia:

* Tunnuksen eivät ole tarpeen tullen oikeiden henkilöiden saatavilla
* Tunnuksilla on tarpeettomia oikeuksia
* Samalla tunnuksella on useita käytättäjiä, kaikkia käyttäjiä ei välttämättä edes tiedetä
* Hallintatunnusten salasanoja vaihdetaan huomattavasti harvemmin kuin peruskäyttäjätunnusten. Joskus salasanoja ei vaihdeta lainkaan
* Hallintatunnusten huono jäljitettävyys: on erittäin haastavaa – joskus jopa mahdotonta – selvittää, kuka hallintatunnusta on käyttänyt, ja mitä kaikkea tunnuksella on tehty

Miten ongelmat voidaan ratkaista?

Hallintatunnuksiin liittyvät ongelmat voidaan ratkaista PAM- (Privileged Account Management) tai PIM- (Privileged Identity Management) tuotteilla. Ratkaisulle ei ole vakiintunutta termiä, joten käytössä on useampia lyhenteitä, kuten PAM, PIM tai PxM.

Nykyisin näitä tuotteita, hieman eri vivahtein, on markkinoilla useita.  Yksinkertaistaen ko. tuotteet voivat ottaa hallintaan tunnukset, jotka jäävät perinteisen käyttöoikeuksien ja pääsynhallintajärjestelmän (IDM) ulkopuolelle.

PAM-järjestelmässä on paljon samaa kuin IDM-järjestelmissä: IDM:ssä luodaan identiteettejä ja myönnetään identiteetille valtuutuksia ja rooleja, kun taas PAM:ssä hallitaan jo olemassa olevia tunnuksia ja kontrolloidaan usean eri käyttäjän pääsyä ko. tunnuksiin. PAM-tuotteilla hallinnoitavia tunnuksia voivat olla mm:

* käyttöjärjestelmätason admin- ja root- tunnukset
* tietokanta-, sovellus- ja palvelutunnukset
* laitetunnukset, kuten tietoliikennelaitteiden hallintatunnukset.
* sosiaalisen median tunnukset, kuten yrityksen yhteiskäyttöisen Twitter-tilin tai blogin hallinnointitunnukset tai esimerkiksi julkaisujärjestelmän ylläpitotunnukset

PAM-järjestelmät

PAM-järjestelmän avulla hallintatunnusten väärinkäyttö hankaloituu tietomurron sattuessa olennaisesti, ja haitan laajuus rajoittuu huomattavasti.

Järjestelmän avulla halutut hallintatunnukset ja kohdejärjestelmät otetaan hallintaan. Järjestelmä tarjoaa loppukäyttäjälle käyttöliittymän, jonka kautta hän saa halutun tunnuksen käyttöönsä. Käyttöliittymä voidaan tarvittaessa suojata vahvalla tunnistautumisella ja näin parantaa tietoturvaa edelleen.

Hallintatunnuksille ja kohdejärjestelmille voidaan määritellä erilaisia työnkulkuja ja käytettäviä politiikkoja, joiden avulla loppukäyttäjän pääsyä järjestelmiin voidaan hallita joustavasti. Järjestelmä voidaan konfiguroida vaihtamaan kohdejärjestelmän/tunnuksen salasana määräajoin tai vaikkapa jokaisen käyttökerran jälkeen.

Loppukäyttäjä voidaan myös ohjata kohdepalvelimelle suoraan käyttöliittymästä niin, ettei loppukäyttäjä näe kohdepalvelimen salasanaa missään vaiheessa. Kun loppukäyttäjä ei saa missään vaiheessa tietää hallintatunnuksen salasanaa, hän ei voi edes vahingossa luovuttaa salasanaa hyökkääjälle.

PAM-järjestelmä tekee hallintatunnuksista myös täydellisen jäljitettäviä. Järjestelmästä saadaan järjestelmä- ja/tai tunnuskohtaisia raportteja käytöstä, näin nähdään kuka on käyttänyt mitäkin tunnusta ja millä koneella.

Mitä uutta PAM-järjestelmä mahdollistaa?

Kattavat integraatiot auttavat tekemään uudenlaisia automaatioita tunnustenhallintaan. PAM-järjestelmä voidaan integroida olemassa olevaan SIEM-järjestelmään jolloin saadaan hyökkäyksen sattuessa esimerkiksi automaattisesti vaihdettua hallintatunnusten salasanat hyökkäyksen kohdepalvelimilla.

Korotetun tietoturvan kohteisiin voidaan rakentaa kirjautuminen kohdepalvelimelle hyppykoneen kautta niin että käyttäjä ei missään vaiheessa saa selville kohdepalvelimen salasanaa. Tarvittaessa käyttäjän istunto voidaan myös nauhoittaa, jolloin käyttäjän jokainen liike palvelimella voidaan myöhemmin todentaa.

PAM-järjestelmän avulla voidaan vastata lisäksi esimerkiksi maksukorttialan PCI DSS -standardin vaatimuksiin.