Trace Id is missing
Prejsť na hlavný obsah
Zabezpečenie od spoločnosti Microsoft

Čo je Privileged Access Management (PAM)?

Ochráňte svoju organizáciu pred kybernetickými útokmi monitorovaním, rozpoznávaním a predchádzaním neoprávnenému privilegovanému prístupu k dôležitým zdrojom.

Čo je Privileged Access Management (PAM)?

Privileged Access Management (PAM) je riešenie zabezpečenia identity, ktoré pomáha chrániť organizácie pred kybernetickými hrozbami prostredníctvom monitorovania, rozpoznávania a prevencie neoprávneného privilegovaného prístupu k dôležitým zdrojom. PAM funguje prostredníctvom kombinácie ľudí, procesov a technológií a poskytuje prehľad o tom, kto používa privilegované kontá a čo títo používatelia robia, kým sú prihlásení. Obmedzenie počtu používateľov, ktorí majú prístup k správcovským funkciám, zvyšuje zabezpečenie systému, zatiaľ čo ďalšie vrstvy ochrany zmierňujú narušenia údajov zdrojmi hrozieb.

Ako funguje riešenie Privileged Access Management (PAM)?

Riešenie PAM identifikuje ľudí, procesy a technológie, ktoré vyžadujú privilegovaný prístup, a určuje politiky, ktoré sa na ne vzťahujú. Vaše riešenie PAM musí mať možnosti na podporu politík, ktoré vytvoríte (napr. automatizovaná správa hesiel a viacfaktorové overovanie) a správcovia by mali mať možnosť automatizovať proces vytvárania, úpravy a odstraňovania kont. Vaše riešenie PAM by malo tiež neustále monitorovať relácie, aby ste mohli vytvárať zostavy na identifikáciu a skúmanie anomálií.

Dva primárne prípady použitia riešenia Privileged Access Management bránia krádeži prihlasovacích údajov a dodržiavaniu súladu.

Krádež prihlasovacích údajov je, keď zdroj hrozby ukradne prihlasovacie informácie, aby získal prístup k používateľskému kontu. Po prihlásení môže pristupovať k údajom organizácie, inštalovať malvér do rôznych zariadení a získať prístup k systémom vyššej úrovne. Riešenie PAM môže zmierniť toto riziko tým, že zabezpečí jednoduchý a dostatočný prístup a viacfaktorové overovanie pre všetky identity a kontá správcu.

Bez ohľadu na to, aké normy dodržiavania súladu sa vzťahujú na vašu organizáciu, na ochranu citlivých údajov, ako sú platba alebo osobné zdravotné informácie, sa pravdepodobne vyžaduje politika s najmenšími oprávneniami. Riešenie PAM vám tiež umožňuje preukázať súlad generovaním zostáv o privilegovanej aktivite používateľov – kto pristupuje k akým údajom a prečo.

Ďalšie prípady použitia zahŕňajú automatizáciu životného cyklu používateľa (t. j. vytvorenie konta, zriaďovanie a zrušenie poskytovania), monitorovanie a zaznamenávanie privilegovaných kont, zabezpečenie vzdialeného prístupu a riadenie prístupu tretích strán. Riešenia PAM možno použiť aj na zariadenia (internet vecí), cloudové prostredia a projekty DevOps.

Zneužitie privilegovaného prístupu predstavuje hrozbu kybernetickej bezpečnosti, ktorá každej organizácii môže spôsobiť vážne a rozsiahle škody. Riešenie PAM ponúka výkonné funkcie, ktoré vám pomôžu udržať si prehľad o tomto riziku.

  • Poskytovanie prístupu k dôležitým zdrojom presne na čas
  • Povoľovanie zabezpečeného vzdialeného prístupu pomocou šifrovaných brán namiesto hesiel
  • Monitorovanie privilegovaných relácií na podporu investigatívnych auditov
  • Analyzovanie nezvyčajnej privilegovanej aktivity, ktorá môže poškodiť vašu organizáciu
  • Zaznamenávanie udalostí privilegovaných kont pre audity dodržiavania súladu
  • Generovanie zostáv o prístupe a aktivite privilegovaných používateľov
  • Ochrana DevOps pomocou integrovaného zabezpečenia hesiel

Typy privilegovaných kont

Superpoužívateľské kontá sú privilegované kontá používané správcami, ktorí majú neobmedzený prístup k súborom, adresárom a zdrojom. Môžu inštalovať softvér, meniť konfigurácie a nastavenia a odstraňovať používateľov a údaje.

Privilegované kontá

Privilegované kontá poskytujú prístup a oprávnenia nad rámec neprivilegovaných kont (ako sú napríklad štandardné používateľské kontá a kontá hosťovských používateľov).

Kontá správcov domény

Kontá správcov domény sú najvyššou úrovňou kontroly v systéme. Tieto kontá majú prístup k všetkým pracovným staniciam a serverom v rámci vašej domény a ovládajú konfigurácie systému, kontá správcov a členstvá v skupinách.

Kontá lokálnych správcov

Kontá lokálnych správcov majú kontrolu nad konkrétnymi servermi alebo pracovnými stanicami a často sa vytvárajú na úlohy údržby.

Kontá správcov aplikácie

Kontá správcov aplikácie majú úplný prístup ku konkrétnym aplikáciám a údajom, ktoré sú v nich uložené.

Kontá služieb

Kontá služieb pomáhajú aplikáciám pracovať s operačným systémom bezpečnejšie.

Podnikové privilegované používateľské kontá

Podnikové privilegované používateľské kontá majú privilégiá vyššej úrovne založené na pracovných zodpovednostiach.

Núdzové kontá

Núdzové kontá poskytujú neprivilegovaným používateľom prístup správcu na zabezpečenie systémov v prípade nehody alebo prerušenia.

PAM vs. PIM

Správa privilegovaného prístupu pomáha organizáciám spravovať identity a sťažuje zdrojom hrozieb pripojenie k sieti a získanie privilegovaného prístupu ku kontu. Pridáva ochranu privilegovaným skupinám, ktoré riadia prístup k počítačom pripojeným k doméne a aplikáciám v týchto počítačoch. PAM tiež poskytuje monitorovanie, viditeľnosť a diferencované ovládacie prvky, aby ste mohli vidieť, kto sú vaši privilegovaní správcovia a ako sa používajú ich kontá.

Privileged Identity Management (PIM) poskytuje aktiváciu rolí založených na čase a schvaľovaní na zmiernenie rizík nadmerného, zbytočného alebo zneužitia prístupu k citlivým zdrojom vo vašej organizácii pomocou vynucovania prístupu presne na čas a len potrebného prístupu pre tieto kontá. Ak chcete zvýšiť zabezpečenie týchto privilegovaných kont, PIM vám umožňuje vynútiť možnosti politiky, ako je napríklad viacfaktorové overovanie.

Hoci PAM a PIM majú veľa podobností, PAM používa nástroje a technológie na riadenie a monitorovanie prístupu k vašim zdrojom a pracuje na princípe najmenšieho oprávnenia (zabezpečuje, že zamestnanci majú dostatočný prístup na svoju prácu), zatiaľ čo PIM kontroluje správcov a superpoužívateľov s časovo viazaným prístupom a zabezpečuje tieto privilegované kontá.

Osvedčené postupy riešenia Privileged Access Management

Pri plánovaní a implementácii riešenia PAM existujú osvedčené postupy, ktoré treba mať na pamäti, aby ste pomohli zlepšiť zabezpečenie a zmierniť riziko vo svojej organizácii.

Požadujte viacfaktorové overovanie

Pridajte vrstvu zabezpečenia k prihlasovaciemu procesu pomocou viacfaktorového overovania. Pri prístupe ku kontu alebo aplikáciám musia používatelia poskytnúť dodatočné overovanie identity prostredníctvom iného overeného zariadenia.

Automatizujte svoje zabezpečenie

Znížte riziko ľudských chýb a zvýšte efektivitu automatizáciou svojho prostredia zabezpečenia. Pri zistení hrozby môžete napríklad automaticky obmedziť oprávnenia a zabrániť nebezpečným alebo neoprávneným akciám.

Odstraňujte používateľov koncových bodov

Identifikujte a odstráňte nepotrebných používateľov koncových bodov z lokálnej skupiny správcov na pracovných staniciach IT Windowsu. Účastníci hrozieb môžu pomocou konta správcu prejsť z pracovnej stanice na pracovnú stanicu, ukradnúť iné prihlasovacie údaje a zvýšiť svoje oprávnenia na pohyb v sieti.

Vytvárajte pôvodné plány a monitorujte odchýlky

Auditujte aktivitu privilegovaného prístupu, aby ste zistili, kto čo v systéme robí a ako sa používajú privilegované heslá. Informácie o tom, aký je pôvodný plán prijateľnej aktivity, vám pomôžu rozpoznať odchýlky, ktoré môžu ohroziť váš systém.

 

Poskytujte prístup presne na čas

Používajte politiku s najmenšími oprávneniami na všetko a všetkých a potom podľa potreby zvýšte oprávnenia. Pomôže vám to segmentovať systémy a siete používateľom a procesom na základe úrovní dôvery, potrieb a oprávnení.

Vyhýbajte sa trvalému privilegovanému prístupu

Zvážte dočasný prístup presne na čas a len potrebný prístup namiesto trvalého privilegovaného prístupu. Tým sa zabezpečí, že používatelia budú mať platný dôvod na takýto prístup a len na požadovaný čas.

Používajte riadenie prístupu na základe aktivity

Udeľujte oprávnenia len zdrojom, ktoré osoba skutočne používa, na základe svojej minulej aktivity a používania. Cieľom je odstrániť medzeru medzi udelenými a použitými oprávneniami.

 

Dôležitosť riešenia Privileged Access Management

Ľudia sú najslabším ohnivkom, pokiaľ ide o zabezpečenie systému, a privilegované kontá predstavujú významné riziko pre vašu organizáciu. PAM vybaví bezpečnostné tímy na identifikáciu škodlivých aktivít, ktoré sú výsledkom zneužitia oprávnení, a na nápravu rizika podnikne okamžitú akciu. Riešenie PAM môže zabezpečiť, aby zamestnanci mali len potrebné úrovne prístupu na vykonanie svojej práce.

Okrem identifikácie škodlivých aktivít spojených so zneužitím oprávnení pomôže riešenie PAM vašej organizácii:

  • Minimalizovať potenciál narušenia zabezpečenia. Ak dôjde k narušeniu, riešenie PAM pomáha obmedziť jeho dosah vo vašom systéme.
  • Znižovať počet vstupov a ciest pre zdroje hrozieb. Obmedzené oprávnenia pre ľudí, procesy a aplikácie chránia pred internými a externými hrozbami.
  • Zabraňovať malvérovým útokom. Ak malvér získa záchytné miesto, odstránenie nadmerných oprávnení môže pomôcť znížiť jeho šírenie.
  • Vytvárať prostredie, ktoré bude viac vhodné na audit. Dosiahnite komplexnú stratégiu zabezpečenia a riadenia rizík pomocou denníkov aktivít, ktoré vám pomôžu monitorovať a zisťovať podozrivú aktivitu.

Implementácia zabezpečenia PAM

Ak chcete začať riešením Privileged Access Management, potrebujete plán na:

  1. Poskytovanie úplného prehľadu o všetkých privilegovaných kontách a identitách. Vaše riešenie PAM by vám malo umožniť zobraziť všetky oprávnenia, ktoré používajú ľudskí používatelia a workloady. Po získaní tejto viditeľnosti odstráňte predvolené kontá správcov a použite princíp najmenšieho oprávnenia.
  2. Riadenie a ovládanie privilegovaného prístupu. Budete musieť mať vždy aktuálne informácie o privilegovanom prístupe a udržiavať kontrolu nad zvýšením úrovne oprávnenia, aby sa nevymklo z ruky a neohrozovalo kybernetickú bezpečnosť vašej organizácie.
  3. Monitorovanie a auditovanie privilegovaných aktivít. Politiky inštitútu, ktoré definujú legitímne správanie privilegovaných používateľov a identifikujú akcie, ktoré tieto politiky porušujú.
  4. Automatizujte riešenia PAM. Na zlepšenie zabezpečenia a dodržiavania súladu je možné škálovať milióny privilegovaných kont, používateľov a položiek. Automatizujte zisťovanie, správu a monitorovanie a zredukujte tak administratívne úlohy a zložitosť.

V závislosti od IT oddelenia možno budete môcť používať riešenie PAM hneď bez úprav a postupne pridávať moduly na podporu väčších a lepších funkcií. V záujme spĺňania nariadení o dodržiavaní súladu je tiež potrebné zvážiť odporúčania na kontrolu zabezpečenia.

Je tiež možné integrovať riešenie PAM s vašim riešením Security Information and Event Management (SIEM) .

Riešenia Privileged Access Management

Samotné technológie nestačia na ochranu vašej organizácie pred kybernetickými útokmi. Vyžaduje sa riešenie, ktoré berie do úvahy vašich ľudí, procesy a technológie.

Zistite, ako  riešenia identity a prístupu zabezpečenia od spoločnosti Microsoft pomáhajú chrániť vašu organizáciu zabezpečením prístupu do pripojeného sveta pre všetkých používateľov, inteligentné zariadenia a služby.

Ďalšie informácie o zabezpečení od spoločnosti Microsoft

Riešenia identity a prístupu

Chráňte svoju organizáciu zabezpečením prístupu pre všetkých používateľov, inteligentné zariadenia a služby.

Ďalšie informácie

Privileged Identity Management

Zaistite zabezpečenie kont správcu obmedzením prístupu ku kritickým operáciám.

Ďalšie informácie

Podmienený prístup

Zaistite zabezpečenie svojich zamestnancov vynútením podrobnej kontroly prístupu pomocou adaptívnych politík v reálnom čase.

Ďalšie informácie

Najčastejšie otázky

  • Správa identít a prístupu (IAM) pozostáva z pravidiel a politík, ktoré určujú, kto, čo, kedy, kde a ako získa prístup k zdrojom. Patrí sem správa hesiel, viacfaktorové overovanie, jediné prihlásenie (SSO) a správa životného cyklu používateľov.

    Privileged Access Management (PAM) sa musí týkať procesov a technológií potrebných na zabezpečenie privilegovaných kont. Ide o podmnožinu IAM, ktorá umožňuje riadiť a monitorovať aktivitu privilegovaných používateľov (ktorí majú prístup nad rámec štandardných používateľov) po ich prihlásení do systému.

  • Výkonná správa relácií je nástroj zabezpečenia PAM, ktorý vám umožňuje zistiť, čo robia privilegovaní používatelia (ľudia vo vašej organizácii, ktorí majú koreňový prístup k systémom a zariadeniam) po prihlásení. Výsledné auditovacie záznamy vás upozornia na náhodné alebo zámerné zneužitie privilegovaného prístupu.

  • Privileged Access Management (PAM) možno použiť na posilnenie zabezpečenia vašej organizácie. Umožňuje vám riadiť prístup k infraštruktúre a údajom, konfigurovať systémy a vyhľadávať riziká.

  • Výhody riešenia PAM zahŕňajú zmiernenie bezpečnostných rizík, zníženie prevádzkových nákladov a zložitosti, zlepšenie viditeľnosti a povedomia o situácii v rámci vašej organizácie a zlepšenie dodržiavania súladu s regulačnými nariadeniami.

  • Pri rozhodovaní o riešení PAM pre vašu organizáciu sa uistite, že zahŕňa viacfaktorové overovanie, správu relácií a funkcie prístupu presne na čas, zabezpečenie na základe rolí, oznámenia v reálnom čase, automatizáciu, audit a funkcie vytvárania zostáv.

Sledujte Microsoft