V oblasti kybernetické bezpečnosti hraje obrovskou roli to, co uživatelé či procesy smí v systému provádět. Když však některý účet disponuje vícero práv, než opravdu potřebuje – říkáme mu overprivileged account (příliš oprávněný účet) – otevírá se cestu k vážným problémům. Útok, chyba či kompromitace takového účtu může způsobit daleko větší škody, než kdyby měl jen „nezbytně nutná“ práva.
Co je overprivileged account?
Pojem overprivileged account označuje situaci, kdy uživatelský účet nebo služba získá přístup do více částí IT infrastruktury, než je potřeba pro jeho každodenní úkony. Představte si účet, který má přístup k databázím, k e‑mailům i administraci serverů, přestože pro svou práci potřebuje pouze číst firemní kalendáře. V okamžiku, kdy tento účet někdo zneužije, může útočník projít hluboko do systému bez překážek.
Jak k nadměrným právům dochází?
Za běžných okolností vzniká overprivileged status z několika důvodů. V menších organizacích se často rights management neřeší dostatečně strukturovaně a administrátoři raději „jen přidají“ než aby striktně kontrolovali, co je potřeba. Ve velkých firmách může zase schvalovací proces pro přidělení práv vést k nadměrnému nárůstu oprávnění, protože každý nový projekt či dočasná spolupráce generuje další požadavky na přístup.
Dřív, než se styk se složitými systémy stane rutinním, může k nadbytečným právům vést také chybné zařazení uživatele do příliš širokých rolí (role-based access control). Výsledkem je, že účet může pracovat ve více odděleních, než je žádoucí.
Důsledky a příklady z praxe
Historie zná opakované útoky, kde právě nadměrná práva stála za rozsáhlými úniky dat nebo sabotáží systémů.
Ve známém incidentu Target (2013) útočníci začali u účtu externího dodavatele s oprávněními jen pro přístup do systému klimatizace. Jelikož to byl ovšem účet s administrátorskými právy v širší síti, malware se rychle rozšířil do platebních terminálů a vedl k úniku údajů o 40 milionech platebních karet.
V případě Equifax (2017) umožnila slabá správa oprávnění útočníkům zneužít zranitelnost Apache Struts a rozšířit se ze systému webových aplikací až do úložišť osobních dat 147 milionů lidí. Nadměrné role a nedostatečná segmentace sítě sehrály klíčovou roli při neomezování dalších kroků útočníka.
Jak minimalizovat riziko?
Klíčem k ochraně proti overprivileged account je důsledné uplatňování principu nejmenšího oprávnění (least privilege). To znamená, že každý účet, každá aplikace nebo služba dostane jen ta práva, která opravdu potřebuje. Pro zavedení v praxi se osvědčily tyto kroky:
Pravidelné audity oprávnění
Jednou za čas projděte seznamy přidělených práv a odstraňte všechny, které nejsou aktuálně využívány.Role-based access control (RBAC)
Namísto individuálních práv se účty zařazují do rolí, jejichž sady oprávnění jsou přesně definovány podle pracovních potřeb.Privileged Access Management (PAM)
Centralizovaný systém, který přiděluje dočasná zvýšená práva jen na dobu odůvodněné potřeby a zaznamenává veškeré operace.Segmentace sítě a systémů
Rozdělení infrastruktury do izolovaných částí omezuje pohyb potenciálního útočníka, i když účet získá vyšší oprávnění.Automatizace přidělení a odvolání práv
Systémy, které na základě jasných pravidel schvalují a spravují oprávnění, minimalizují lidské chyby.
Závěr
Overprivileged account patří mezi nejčastější zdroje interních průniků a narušení bezpečnosti. Častější kontroly, přísné role, princip nejmenšího oprávnění a moderní nástroje pro správu privilegií dokážou výrazně omezit riziko, že jeden kompromitovaný účet pronikne hluboko do vaší sítě. V dobách, kdy útoky cíleně míří na slabé a přebytečné role, jde o nezbytnou součást jakéhokoliv zabezpečovacího plánu.
