PAM یا سیستم مدیریت ممتاز چیست؟ و چرا مهم است؟

pam چیست؟

فهرست مطالب

PAM چیست؟

مدیریت دسترسی ممتاز یا همانPrivileged Access Management (PAM) به مجموعه‌ای از ابزارها، تکنولوژی‌ها و استراتژی‌های امنیتی گفته می‌شود که برای اعمال دسترسی‌های ممتاز بر کاربران، حساب‌ها و سیستم‌ها در یک محیط فناوری اطلاعاتی استفاده می‌شوند. در واقع دسترسی ممتاز امکاناتی در اختیار دسته‌ای از کاربران ویژه می‌گزارد که کاربران استاندارد اجازه آن دسترسی‌ها را ندارند. دسترسی‌هایی که معمولا به عنوان ممتاز شناخته می‌شوند شامل ویرایش تنظیمات سرور، تغییر رمزها، دسترسی به داده‌های سازمان، نصب برنامه‌های جدید، اضافه کردن کاربر جدید، انجام عملیات تعمیرات، تغییر پیکربندی شبکه و … می‌باشد. در یک سازمان با کمک PAM می‌توان سطح حملات را تا حد معقولی کاهش داد و از سوء‌استفاده‌ها و سهل‌انگاری‌های داخلی جلوگیری کرد. در حالی که PAM استراتژی‌های بسیاری را شامل می‌شود ولی هدف اصلی آن اعمال حداقل مجوزهای دسترسی برای فعالیت‌های معمولی و مجاز کاربران، حساب‌ها، برنامه‌ها، سیستم‌ها، دستگاه‌ها و فرآیندهای در حال اجرا می‌باشد.

انواع حساب‌های کاربری

1.حساب ممتاز
به حساب کاربری که دسترسی‌های فراتری به نسبت سایر حساب‌ها دارد حساب ممتاز می‌گویند و کاربری که از طریق این حساب فعالیت میکند کاربر ممتاز نامیده می‌شود. این حساب به علت داشتن دسترسی های بالایی که دارد ریسک بیشتری نیز به نسبت سایر حساب‌ها دارد.

2.حساب Superuser account
یک نوع از حساب‌های کاربری ممتاز که با عنوان کاربرسطح بالا یا Superuser account شناخته می‌شود معمولا به عنوان مدیر در بخش فناوری اطلاعات یک سازمان انتخاب می‌شود که دسترسی قدرتمندی دارد و میتواند دستور تغییرات در کل سیستم را اجرا کند. به عنوان مثال این حساب کاربری به عنوان حساب Root در سیستم عامل لینوکس و Administrator در سیستم عامل ویندوز شناخته می‌شود. این نوع حساب دسترسی کامل به تمامی منابع سیستم و قدرت نوشتن، خواندن و اجرا کردن تمام فایل‌ها را دارد. همچنین میتواند تنظیمات شبکه، نصب و حذف برنامه، ویرایش مجوز تمام حساب‌ها و تنظیمات کلی را تغییر دهد. اگر به صورت عمدی یا سهوی یک فایل ممکن پاک شود یا کد قدرتمندی از طریق این حساب اجرا شود می‌تواند خسارت جبران ناپذیری به کل سیستم و حتی کل یک سازمان بزند.

3.حساب‌های دارای حداقل امتیاز
در اغلب محیط‌های سازمانی حدود 85 درصد حساب‌‌ها با حداقل امتیاز ممکن فعالیت می‌کنند که خود این حساب‌ها به 2 دسته تقسیم می‌شوند:

  1. حساب کاربری استاندارد: این حساب دسترسی‌های محدودی دارد مثل استفاده از مرورگر اینترنت، استفاده از یکسری برنامه‌های مشخص مثل آفیس و یا استفاده از منابع محدودی از سازمان که طبق قوانین این منابع مشخص شده‌اند.
  2. حساب کاربری مهمان:کمترین میزان دسترسی را دارند حتی از حساب استاندارد هم کمتر، مثل دسترسی به یک سری برنامه محدود یا استفاده از مرورگر.

4.انواع حساب‌های کاربری ممتاز
بیشتر کاربران سازمان‌ها کاربران استاندارد هستند و متخصصین IT نیز حساب‌های استاندارد نیز در کنار حساب ادمین خود می‌سازند تا از آن حساب‌ها برای کارهای روزمره استفاده کنند. از آنجایی که حساب ادمین دسترسی زیادی به نسبت حساب استاندارد دارد و یک اشتباه میتواند باعث فاجعه شود. پیشنهاد سیستم PAM استفاده از حساب ممتاز فقط در شرایط لزوم و ضروری و فقط برای مدت کوتاه می‌باشد. با چند تا از حساب‌های کاربری ممتاز آشنا میشویم:

  1. Local administrative accounts: حساب اداری محلی ، جز حساب‌های غیر شخصی می‌‎باشد که فقط به میزبان دسترسی مدیریت میدهد.
  2. Domain administrative accounts: حساب مدیریتی دامنه ، دسترسی ممتاز بین تمام ایستگاه‌های کاری و سرورهای داخل دامنه را به شما میدهد.
  3. Break glass (also called emergency or firecall) accounts: حساب شکستن شیشه (اضطراری یا آتش)، به کاربران غیرمجاز دسترسی مدیریتی درمواقع ضروری با شرایط خاص میدهد.
  4. Service account: حساب سرویس ، به حساب‌های محلی گفته می‌شود که برای ارتباط با سیستم عامل از طریق یک برنامه یا سرویس خاص استفاده می‌شود.
  5. Active Directory or domain service accounts: حساب خدمات اکتیودایرکتوری و خدمات ، فعال کردن پسورد حساب ها و غیره.
  6. Application accounts: حساب‌های برنامه ، این نوع حساب به برنامه‌ها تخصیص داده میشود و برای دسترسی به بانک اطلاعاتی ، اجرا کردن کد یا فعالیت‌های دسته‌ای و دسترسی به سایر برنامه‌ها مورد استفاده قرار میگیرد.
Privileged Access Management

چرا PAM برای یک سازمان مهم است؟

اجرای سیستم PAM در یک سازمان به نظارت مؤثر بر کل شبکه کمک شایانی میکند و همچنین یک دید کلی به شما درمورد اینکه کدام کاربر به کدام داده‌ها دسترسی دارد می‌دهد. یکی از بهترین روش‌ها برای جلوگیری از نفوذ تهدیدات خارجی به اطلاعات حیاتی سازمان این سیستم است. حتی درصورتی که سازمان شما تحت حمله قرار بگیرد و مهاجمان به شبکه شما نفود کنند، سیستم PAM با محدود کردن حساب‌های داخلی مانع از دسترسی مهاجمان به اطلاعات حیاتی سازمان شما خواهد شد.
تکنولوژی PAM بسیار ضروری می‌باشد زیرا حساب‌های ممتاز میتوانند یک سازمان را در ریسک بزرگی قرار دهند. به عنوان مثال زمانی که یک هکر به یک حساب استاندارد را مورد حمله (معمولا حملات مهندسی اجتماعی) قرار میدهد به اطلاعات مختص آن حساب دسترسی دارد ولی دسترسی به یک حساب ممتاز می‌تواند خسارت‌های جبران ناپذیری به یک سازمان بزند. همچنین این تکنولوژی به عنوان بخشی از یک سیستم امنیتی کامل و برنامه مدیریت ریسک می‌تواند به سازمان‌ها در ثبت و گزارش‌گیری درباره‌ی هر فعالیتی که مربوط به زیرساخت بخش IT و اطلاعات حساس سازمان باشد کمک کند.
ابزارها و نرم‎‌افزار PAM با جمع آوری حساب‌های دارای اعتبار ممتاز در یک مخزن امن برای جداسازی موارد استفاده از آنها و گزارش فعالیت‌های آنان کار میکند. هدف از این جداسازی کاهش احتمال به سرقت رفتن حساب‌های دارای اعتبار و سواستفاده از حساب مدیر می‌باشد. به عنوان مثال برخی از نرم‌افزارهای PAM به کاربران ممتاز اجازه انتخاب پسورد را نمی‌دهد. در عوض قسمت مدیریت پسوردها روزانه پسورد منحصر به فرد برای ادمین‌ها تولید می‌کند یا امکان ورود با رمز یکبار مصرف را میدهد.خطرات و تهدیدات حساب‌های ممتاز و دلیل اینکه به PAM نیاز داریم. در اینجا به چند مورد از مهمترین چالش‌های حساب‌های ممتاز میپردازیم.

  1. عدم شناخت و آگاهی از حساب‌ها و کاربران ممتاز ، دارایی‌ها و مجوزها: حساب‌های ممتازی که مدت هاست فراموش شده‌اند معمولا در سازمان‌های بزرگ پخش میشوند. این حساب ها بسیار محدود هستند و دریچه‌های خوبی برای هکرها و یا کارمندانی که قبلا عضوی از سازمان بوده‌اند و الان نیستند می‌باشد.
  2. امتیاز بیش از حد دادن: محدودیت بیش از حد میتواند باعث مختل کردن جریان کار کارمند یک مجموعه بشود. از طرفی هیچ کاربری از داشتن اخیارات زیاد شکایت نمیکند. باید یک حد و میان بین این دو باشد. به صورتی که کاربر برای به دست آوردن امتیازات بیشتر تلاش کند تا بتواند دسترسی‌های بیشتری به نسبت گذشته کسب کند و همچنین دسترسی‌های گذشته خود را نیز حفظ کند که معمولا نیازی به آنها ندارد و بلااستفاده میماند. این دسترسی‌ها میتواند باعث استفاده کاربر از اینترنت ، دیدن ویدئوهای آنلاین ، نصب برنامه‌های کاربردی و استفاده از آنها می‌شود. در نتیجه این فعالیت‌ها احتمال نفوذ بدافزار به سیستم از طریق ایمیل یا مرورگر و امکان دزدیده شدن پسورد در نتیجه چرخیدن در اینترنت نیز افزایش می‌یابد. هکر یا بدافزار میتواند با قدرت نفوذی که به دست آورده و با کمک دسترسی‌هایی که کاربر دارد شبکه را مختل یا به سرور و سایر سیستم‌های تحت شبکه نفوذ کند.
  3. حساب‌ها و پسوردهای به اشتراک گذاشته شده: برخی از تیم‌های IT برای سهولات و سرعت کار یک حساب دارای اعتبار و ممتاز را به صورت مشترک استفاده می‌کنند. زمانی که یک رمز عبور بین چند حساب کاربری به صورت همزمان به اشتراک گذاشته می‌شود امکان ندارد اقدامات صورت گرفته در آن حساب را به یک فرد در آن واحد نسبت دهید. این فعالیت باعث ایجاد مشکلات امنیتی و عدم وجود شواهد عینی در یک حساب می‌شود.
  4. مدیریت اعتبارنامه‌های غیر متمرکز: سازمان‌ها روش‌های متفاوتی را برای مدیریت حساب‌های ممتاز برمیگیزنن که باعث عدم اجرای بهترین روش مدیریتی میشود. زمانی که یک سازمان هزاران سیستم دارد معمولا برای راحتی انجام کار به دنبال سایر روش‌ها برای مدیریت آنها هستند. این امر باعث انجام میانبرهایی مثل استفاده از مجوزهای یک حساب در حساب‌های دیگر می‌شود. با انجام چنین کاری زمانی که یک حساب در معرض خطر امنیتی باشد میتواند تمام سیستم‌هایی که مجوزهای همانند دارند را در خطر قرار دهد.
  5. عدم امکان مشاهده امتیازات برنامه ها و خدمات: معمولا برنامه‌ها و سرویس‌هایی که در پس زمینه در حال اجرا هستند دسترسی کامل به سایر برنامه‌ها، سرویس‌ها و منابع دارند. این درحالی است که این برنامه‌ها و سرویس‌ها با وجود دسترسی‌های بیش از حدی که دارند مشکلات امنیتی شدیدی نیز ممکن است به همراه داشته باشند و در نتیجه باعث کاهش امنیت میشوند.

ابزارها و فرآیندهای مدیریت هویت

امروزه در محیط‌های مدرن IT معمولا از پلتفورم‌های متفاوتی مثل ویندوز، لینوکس، مک استفاده می‌شود. همچنین محیط‌های متفاوتی مثل cloud ، AWS ، Azure نیز وجود دارد. هر کدام از این پلتفُرم‌ها و محیط‌ها به صورت جداگانه مدیریت و نگهداری می‌شوند. این عمل باعث پیچیدگی برای مسئولین فناوری اطلاعات و مدیریت ناسازگار همچنین افزایش خطرات سایبری می‌‎شود.

مزایای تکنولوژی PAM

هر چقدر میزان دسترسی‌هایی که به یک حساب داده می‌شود بیشتر باشد احتمال سوءاستفاده از آن بیشتر است. اجرای یک مدیریت دسترسی یکپارچه نه تنها امکان وجود نقص امنیتی را به حداقل می‌رساند بلکه باعث محدود کردن بازه‌ای از نواقص موجود در شبکه می‌شود. یکی از مهمترین تفاوت‌های میان PAM و سایر تکنولوژی‌های امنیتی این است که PAM میتواند حملات سایبری زنجیروار را در چندین نقطه قطع کند و از حملات خارجی و حملاتی که داخل شبکه و سیستم ایجاد شده است جلوگیری کند.

    • یک سطح حمله متراکم برای محافظت از تهدیدات داخلی و خارجی:محدود کردن دسترسی‌ها برای کاربران‌، فرآیندها‌، برنامه‌ها که بهره‌برداری از مسیرهای ورودی را برای نفوذ کاهش میدهد.
    • کاهش نفوذ و انتشار بدافزار:انواع متفاوت و بسیاری از بدافزارها برای نصب و اجرا به امتیازات بالا و دسترسی‌های زیادی نیاز دارند. با حذف دسترسی‌های بیش از اندازه از بدست آوردن جایگاه بدافزار جلوگیری کرده و یا از انتشار آن جلوگیری کرده‌ایم.
    • عملکرد عملیات و فرآیندهای پیشرفته: با جلوگیری کردن و محدود کردن عملیات با دسترسی ممتاز می‌توانیم باعث کاهش احتمال ناسازگاری بین برنامه‌ها و سیستم بشویم و همچنین کاهش خطرات خرابی را نیز مشاهده کنیم.
    • راحت‌تر بودن ثابت نگه‌داشتن سازگاری: با محدود شدن عملیات ممتاز و دسترسی‌های زیاد به فعالیت‌های متفاوت، PAM می‌تواند در داشتن یک محیط با پیچیدگی پایین به ما کمک کند.
    • برآوردن الزامات بیمه حملات سایبری: طی سال‎های گذشته باج افزارها بزرگترین تهدید برای صنعت بیمه سایبری بوده است. بیمه‌گران سایبری با تحقیقات و آزمایش‌های متعدد و تست نفوذهایی که انجام دادند متوجه شدند که تکنولوژی PAM میتواند یک گزینه بسیار عالی برای کاهش خطرات تهدید باشد و می‌تواند در کاهش مسئولیت بیمه‌گران کمک شایانی انجام دهند. یکی از مهمترین گزینه‌های الزامی برای بیمه سایبری قبل از درخواست بیمه وجود یک سیستم PAM برای مدریریت دسترسی و حساب‌های ممتاز می‌باشد.

      ویژگی های نرم افزارهای PAM

      تکنولوژی PAM برای شرکت‌هایی که در حال گسترش هستند و یا سیستم فناوری اطلاعات بزرگ و پیچیده‌ای دارند بسیار ضروری می‌باشد. معمولا این نرم‌افزارها این ویژگی هارا دارند.

      • احراز هویت چند مرحله‌ای برای ادمین‌ها.
      • انبار رمز عبور که پسوردهای ایمن و ممتاز را نگهداری می‌کند.
      • مدیریت دسترسی برای ذخیره مجوز تمام کاربران و اطلاعات کاربران ممتاز.
      • مجوز پویا برای مثال فراهم کردن امکان دسترسی فقط در زمان‌های خاص.
      • مجوز دادن و محروم کردن از یک مجوز به صورت خودکار برای جلوگیری از تهدیدات داخلی.
      • ابزارهای ثبت گزارشات.

      معروف ترین برندهای سازنده PAM: شرکت‌های امنیتی زیادی شروع به ساخت و فروش محصول سازمانی PAM کرده‌اند که معروف ترین آنها شامل BeyondTrust ، CyberArk ، Centrify ، SecureLink و Thycotic می‌شود.

      بهترین روش‌های مدیریت دسترسی ممتاز

      باید توجه داشته باشید که هرچه سیاست‌های امنیتی شما جامع و کامل‌تر باشد، شما بهتر میتوانید از سیستم در برابر تهدیدات داخلی و خارجی محافظت کنید و در مواقع لزوم بهترین عکس‌العمل را انجام دهید.

      1. مدیریت امتیازات و دسترسی‌ها: یک سیاست کامل باید برای انتخاب بهترین روش برای امنیت و مدیریت اجرا انتخاب شود. همچنین باید طبقه بندی هویت‌ها و حساب‌های ممتاز و نحوه تجهیز حساب‌ها و دسترسی‌های ممتاز را کنترل کرد.
      2. شناسایی و تحت مدیریت در آوردن تمام حساب‌های ممتاز و مجوزها: زمانی که میگیم مدیریت تمام حساب‌ها یعنی کوچکترین عضو هم باید مدیریت شود. این تمامیت باید تمام حساب‌های محلی و ممتاز، برنامه ها و حساب خدمات، حساب بانک اطلاعاتی، Cloud و حساب‌های مجازی، کلید‌های SSH، تمام پسوردها و مجوزها ، سخت افزارها ، نرم افزارها، روتر، فایروال، تمامی پلتفُرم‌های استفاده شده از جمله ویندوزها و تمامی دایرکتوری‌ها را شامل می‌شود.
      3. سیاست اعمال کمترین امتیاز به حساب‌ها، برنامه‌ها، خدمات، فرآیندها: یکی از کلیدی ترین تصمیم‌ها برای داشتن امنیت، اعمال کمترین امتیاز برای تمامی بخش هاست. در قدم اول باید تمام دسترسی‌ها برداشته شود و فقط در صورت لزوم امتیازات لازم مبتنی بر قوانین ارتقا داده شود. قدم دیگر لغو امتیاز پس از انجام و اتمام فعالیت می‌باشد. نکته بعدی اعمال محدودیت امتیاز فقط مربوط به دسترسی نیست بلکه به طول مدت دسترسی نیز مربوط می‌شود. بدین معنا که دسترسی کافی به همراه دسترسی به موقع فراهم آورده شود. اجرای حداقل امتیاز باید شامل موارد زیر باشد:
        • حذف دسترسی ادمین در تمام نقاط پایانی.
        • محدود کردن دسترسی به سرورها و تغییر تمام ادمین‌ها به کاربران استاندارد.
        • حذف امتیازات غیرضروری .
        • دسترسی‌های همیشگی تا حد امکان حذف و در صورت لزوم محدود شود.
        • محدود کردن حساب‌های ممتاز تا حد ممکن.
        • کاهش میزان حق دسترسی حساب‌های ممتاز را تا حد ممکن.
      4. تفکیک امتیازات و وظایف: زمانی که حداقل امتیازات اعمال شود شما می‌توانید وظایف را راحت‌تر تفکیک کنید. هر حساب ممتاز باید بگونه‌ای وظایف داده شود که مجموعه‌ای از وظایف مختلف را شامل شود و کمترین میزان اختلال با حساب‌های دیگر داشته باشد.
      5. تقسیم بندی سیستم‌ها و شبکه: کاربران را براساس سطوح مختلف اعتماد‌، نیازها و امتیازات تقسیم می‌کنیم. هرچه تقسیم‌بندی بیشتر و دقیق‌تر باشد پیدا کردن نواقص احتمالی بسیار آسان‌تر است. همچنین می‌توانید منابع نیز تقسیم بندی کرده و هر قسمت را فقط به یک تیم اختصاص دهید.
      6. اعمال بهترین روش انتخاب پسورد:
        • اطمینان حاصل شود که تمامی حساب‌ها پسوردهای قوی و مطمئن دارند.
        • پسوردها در یک گاوصندوق ضد دستکاری متمرکز نگهداری و محافظت شود.
        • یک گردش کار پیاده‌سازی شود تا زمانی که فعالیتی در حال صورت می‌باشد حساب فعال باشد و پس از سپری شدن زمان خاصی دوباره درخواست رمزعبور ارسال شود.
        • پسوردهای حساب‌های ممتاز با فواصل زمانی مرتب تعویض شوند و یا از سیستم گذرواژه یکبار مصرف (OTP) استفاده شود.
        • اشتراک گذاری پسوردها کلا حذف شود تا نظارت واضح و گزارشگیری دقیق حاصل شود.
      7. نظارت بر عملکرد تمام حساب‌های ممتاز: از طریق شناسه کاربری و ابزارهای متنوعی میتوان این نظارت را انجام داد. فعالیت‌های مشکوک کاربران از طریق نظارت بر جلسات SESSIONS شناسایی شود. این نظارت باید شامل ضبط و کنترل جلسات ممتاز و فعالیت‌های ممیزی مثل گرفتن کلید و صفحه نمایش باشد.
      8. دسترسی پویا و مبتنی بر زمینه: هدف اصلی در این بخش داشتن دسترسی کافی و در زمان بموقع برای یک موقعیت ویژه می‌باشد. برای فعالسازی دسترسی پویا با ارزیابی نوع ورودی ، برای کاربر میزان دسترسی و زمان ارائه دسترسی اعمال میشود. این قابلیت به شما امکان محدود کردن امتیازات و جلوگیری از عملیات ناامن در صورت مشاهده تهدید را می‌دهد.
      9. پیاده سازی تجزیه و تحلیل تهدید کاربر ممتاز: برای کاربران ممتاز یک سری حد و مرز رفتاری باید مشخص شود تا هرگونه انحراف از حد تعریف شده هشدار داده شده و نظارت دقیق‌تری صورت بگیرد. آنچه که اهمیت دارد داده‌هایی که در اختیار است را به گونه سازمان دهی کنیم که امکان تصمیمات سریع و دقیق محیا باشد تا امنیت سازمان را به بهینه‌ترین روش ممکن هدایت کنیم.

      بهترین مسیر برای داشتن نهایت کنترل‌های امنیتی از طریق PAM

      در بسیاری از سازمان‌ها برای داشتن یک سطح ایده‌آل از امنیت سایبری در ابتدا بزرگترین ریسک‌ها را مورد بررسی و در اولویت قرار می‌دهند. سپس کنترل‌های امنیتی ممتاز را در سرتاسر سازمان برقرار می‌کنند. اخیرا بیمه‌گران امنیت سایبری سازمان‌ها را برای اجرای امنیت دسترسی ممتاز و یکسری از کنترل‌های خاص PAM تحت فشار قرار می‌دهند. این کنترل‌های خاص مثل حذف وجود ادمین با دسترسی بینهایت و نظارت بر عملکرد حساب‌های ممتاز می‌باشد.
      با این حال رویکرد تکنولوژی PAM برای اکثر سازمان‌ها در ابتدا انجام یکسری ممیزی جامع برای جلوگیری از ریسک‌های بزرگ و سپس ترسیم نقشه راه برای داشتن یک سیاست امنیتی طبقه‌بندی شده با دسترسی ممتاز ایده‌آل به بهترین نحو است.

      0 دیدگاه

      دیدگاهتان را بنویسید

      Avatar placeholder

      نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *