Bug Online

Osim što nadzor pojedinih računala više nije nešto što se u okružju srednjih i velikih mreža može kontrolirati povremenim ručnim pristupom, jasno je kako istu sudbinu proživljava i upravljanje raznim privilegiranim korisničkim računima na uređajima u mreži.

Naime, prema nekim javno dostupnim istraživanjima (iako prema njima treba zadržati određenu dozu skepse), preko 20% administratorskih lozinki na osobnim računalima i radnim stanicama nikad se ne izmjeni, odnosno oko 13% lozinki na routerima i raznim serverskim profilima (isključujući baze podataka). Apsolutni negativni rekorderi su baze podataka kojima se administratorska lozinka mijenja samo u 60% slučajeva (odnosno, u 40% se ne mijenja). Jedno drugo istraživanje koje je proveo Oracle među svojim korisnicima kaže kako više od 75% njihovih developera na bazama rade bez ikakvog nadzora, s potpunim pristupom osjetljivim poslovnim informacijama.

Očito je da administratori, kojih obično ionako nedostaje, ne stižu ili ne mogu odgovarajuće provesti zacrtane sigurnosne politike (ako ih je organizacija uopće i usvojila). Srećom, i ovaj dio posla moguće je automatizirati i centralizirati.

Paket alata koji je predmet ovog prikaza zove se Privileged Identity Management Suite (PIMS), proizvod izraelsko-američke tvrtke Cyber Ark specijalizirane za razvoj sigurnosnog softvera, a u čije se klijente, među ostalim, ubraja i sedam od deset najvećih svjetskih banaka.

Za potrebe prikaza od hrvatskih zastupnika dobili smo aktualnu inačicu CyberArk PIMS-a, odnosno Enterprise Password Vaulta. Paket smo isprobali putem dva posebno podešena računala pod Windows Server operacijskim sustavima. Načelno, sistemski zahtjevi za PIMS u današnje vrijeme ne predstavljaju nešto posebno. Procesor s dvije jezgre i dva gigabajta sistemske memorije bit će sasvim dovoljan za pohranu i upravljanje tisućama identiteta i korisničkih računa. Naravno, u slučaju da zbilja velika kompanija s desetinama tisuća računala PIMS-u povjeri upravljanje privilegiranim računima, ovi osnovni hardverski zahtjevi vjerojatno neće biti dovoljni, već će biti potrebno jače računalo (s najmanje dva Quad-core procesora i četiri i više gigabajta radne memorije), ili postojećem dodati još poneko računalo na koje će se prerasporediti dio posla.

Instalacijski paket koji smo dobili od hrvatskog zastupnika, tvrtke Mack I.T., obilovao je dokumentacijom koja i priliči kompleksnom paketu kojem namjeravamo povjeriti ključne informacije bitne za informacijsku sigurnost tvrtke. Instalacija isprobanih komponenti protekla je bez problema, a svi koraci u odabiru i pripremi instalacije, instalaciji i prilagodbi PIMS-a iscrpno su i kvalitetno prezentirani i pojašnjeni u priloženoj dokumentaciji.

Sef za lozinke

Kod planiranja instalacije treba procijeniti koliko će se računa pohraniti u Cyber Ark Password Vaultu. Kako se Password Vault instalira na poseban, dedicirani server, potrebno je procijeniti hoće li biti potrebno više takvih servera za više posebnih Vault instalacija. Kako Password Vault koristi jedinstveni protokol koji sprječava svu ostalu ulaznu i izlaznu komunikaciju osim one koju Vault koristi, korištenje Vault dediciranog servera uvjet je bez kojeg se ne može garantirati sigurnost. Što se performansi Vault servera tiče, iako omogućava do 32.000 istovremenih logiranih korisnika, broj obrade istovremenih transakcija mnogo je niži (oko šesto). To je još uvijek dovoljno za nekakav srednji poslovni sustav, ali veće tvrtke i organizacije trebati će instalirati više Vaultova.

Jedna od zgodnih mogućnosti koje PIMS omogućava je omogućavanje privremenog pristupa raznim privilegiranim korisničkim računima, primjerice mrežnom administratoru, ili osobi unutar tima zaduženoj za deployment kritičnih patcheva ili service packova. PIMS omogućava takvim administratorima da preuzmu potrebne ovlasti bez odavanja konkretne administratorske lozinke za predmetni uređaj.

Drugim riječima, umjesto da administrator konzultira svoju bazu pohranjenih lozinki, nađe pravu lozinku, ulogira se u računalo ili uređaj i obavi potrebne promjene, putem PIMS-a on se s par klikova može ulogirati u predmetno računalo, s administratorskim ovlastima, bez potrebe da u bilo kojem trenutku ima pristup informaciji kako glasi konkretna administratorska lozinka. Tada može obaviti sve zadatke zbog kojih mu je trebao pristup administratorskom računu, usput navodeći prilikom spajanja zbog čega koristi administratorske privilegije, a sustav će ionako zabilježiti vrijeme korištenja i poduzete radnje. Naravno, ovisno o klasi korisnika koji koristi PIMS, moguće je podesiti razloge zbog kojih se može pristupiti nekom računalu ili uređaju s administratorskim ovlastima, pa sukladno ovlastima kreirati odgovarajuće profile, primjerice za mrežne ili aplikacijske administratore.

CyberArk PIMS praktičan je i moćan paket za upravljanje privilegiranim korisničkim računima putem kojeg se može upravljati administratorskim i drugim privilegiranim računima na mnoštvu različitih podržanih operacijskih sustava za računala i druge uređaje. Unatoč očekivano visokoj konačnoj cijeni (od petnaestak tisuća američkih dolara naviše) implementacije ovakvog sustava, veliki će poslovni subjekti, ako im je važna dosljedna provedba sigurnosne politike, sigurno imati opipljive koristi.