Résoudre les défis les plus difficiles de la gestion des accès privilégiés

Pour résoudre les problèmes de sécurité liés aux comptes et accès privilégiés il est courant d' utiliser une solution de gestion des accès privilégiés (PAM) ou bastion. Ces solutions sont très efficaces contre les menaces qui ciblent la compromission des comptes et accès. Cependant, leur mise en place représente souvent des défis importants liés à l'intégration, à l'exploitation et à la maintenance de la solution qui peuvent empêcher le produit d'atteindre son plein potentiel.

Dans cet article de blog, nous discuterons des cinq principaux problèmes auxquels sont confrontées les équipes d'identité lorsqu'elles entreprennent un projet de mise en œuvre de PAM, et suggérerons des moyens de résoudre chacun de ces problèmes avec un Unified Protection d'identité plate-forme.

Défi n° 1 : Comptes de service et administrateurs fantômes non détectés

Cela peut sembler évident, mais avant que la protection PAM puisse être placée sur un compte administrateur, l'administrateur PAM doit d'abord connaître l'existence de ce compte. En réalité, cependant, c'est beaucoup plus facile à dire qu'à faire. La raison en est que deux types de comptes présentent un sérieux défi en termes de facilité de découverte :

1. les Comptes de service – Ces comptes de machine à machine ont souvent un accès privilégié afin qu'ils puissent effectuer des tâches critiques dans un réseau sans avoir besoin d'interaction humaine. Le problème est que ces comptes sont souvent créés sans documentation appropriée, les rendant inconnus des équipes d'identité travaillant sur un projet PAM. En outre, aucun utilitaire ne peut filtrer toutes les activités du compte de service dans un Active Directory (AD) - rendant essentiellement ces comptes invisibles et donc non intégrés à la solution PAM.
2. Administrateurs fantômes – Parfois, des utilisateurs standard peuvent se voir attribuer par inadvertance des privilèges d'accès élevés sans que l'équipe d'identité en soit consciente. Un exemple courant est un compte d'utilisateur qui n'est pas membre d'un groupe AD d'administrateur privilégié mais a le privilège de réinitialiser le mot de passe d'un administrateur. Mais comme le compte utilisateur n'a pas été identifié comme privilégié, il ne sera pas non plus inclus dans PAM.

Défi n° 2 : comptes de service avec dépendances non mappées

La pierre angulaire d'un Solution PAM est son coffre-fort, où sont stockées les informations d'identification de tous les comptes privilégiés, et une protection clé fournie par PAM est la possibilité de faites régulièrement tourner les mots de passe de tous les comptes stockés dans le coffre-fort. Cela entrave la capacité d'un attaquant à utiliser les informations d'identification compromises qu'il aurait pu acquérir en limitant la durée de validité de ces informations d'identification.

Le problème avec la rotation des mots de passe, cependant, est qu'elle ne peut pas être appliquée efficacement à les comptes de service qui ont des privilèges élevés. La raison en est que ces comptes accèdent souvent à leurs machines ciblées en exécutant un script dans lequel leurs identifiants de connexion sont stockés. Cependant, til n'y a aucun moyen de mettre à jour automatiquement le mot de passe dans ce script en utilisant PAM (cela ne peut pas non plus être fait manuellement puisque l'emplacement exact du script lui-même est généralement inconnu).

Le résultat est que la rotation des mots de passe de ces comptes de service à l'aide de PAM invaliderait en fait le mot de passe dans le script, ce qui empêcherait alors le compte d'effectuer la tâche prévue. Cela, à son tour, pourrait entraîner une cascade de problèmes sur le réseau, car tout processus critique dépendant de l'exécution de la tâche par le compte de service échouerait également. En raison de ce risque, les équipes d'identité s'abstiennent souvent d'intégrer des comptes de service hautement privilégiés à PAM, les exposant ainsi à des compromis.

Défi n° 3 : les administrateurs qui contournent PAM

Comme le dit le dicton, une chaîne n'est aussi solide que son maillon le plus faible et cela s'applique également à une solution PAM. Parce que les produits PAM sont des outils robustes et sophistiqués - conçus pour protéger les comptes d'administrateur contre les compromis avec des mesures telles que la rotation des mots de passe, l'utilisation de coffres-forts et l'enregistrement de session - l'expérience de connexion qui en résulte pour les administrateurs peut finalement être plus lourde.

Le problème est qu'à cause de cela, les administrateurs choisiront parfois de contourner complètement PAM dans un souci d'efficacité — n'utiliser la solution PAM que pour extraire leur nouveau mot de passe puis se connecter directement aux différents serveurs et postes de travail auxquels ils doivent accéder. Cette pratique, bien sûr, annule complètement la protection même que PAM était censée fournir, exposant une faille de sécurité critique.

Défi #4 : Protéger l'accès au PAM lui-même

Aussi puissante que soit une solution PAM, elle a un talon d'Achille : elle ne peut pas se protéger. Cela signifie, bien sûr, que si un adversaire était en mesure de compromettre les pouvoirs du PAM et Bastion ils auraient alors accès aux informations d'identification de tous les comptes privilégiés stockés dans son coffre-fort et donc à toutes les ressources de l'environnement - un scénario potentiellement catastrophique pour toute organisation.

La surface d'attaque Les accès malveillants deviennent particulièrement évidents lorsqu’on considère qu’il existe plusieurs façons d’accéder à une solution PAM :

• via portail web: utilisé pour la récupération des informations d'identification ainsi que pour les tâches administratives
• via un accès proxy: utilisé par les administrateurs réseau pour se connecter à divers systèmes à l'aide d'informations d'identification sécurisées
• via l'API: utilisé pour les tâches automatisées et par les comptes de service

Avec autant de façons différentes d'accéder à PAM, cela signifie que tout point d'exposition unique - par exemple, un compte de service dont les informations d'identification ont été compromises - pourrait à son tour entraîner une compromission de l'ensemble du système PAM lui-même.

Défi n° 5 : Comptes qui ne peuvent pas être mis en chambre forte immédiatement (ou jamais)

Le déploiement complet d'une solution PAM complète peut être une entreprise colossale, un projet qui prend souvent des mois, voire des années. Et pendant ce processus, tous les comptes privilégiés qui n'ont pas encore été intégrés au produit PAM restent exposés à la compromission.

De plus, étant donné que les comptes de service ont souvent des dépendances extrêmement difficiles à cartographier, ces les comptes privilégiés peuvent rester hors de la protection PAM indéfiniment, en raison du problème mentionné précédemment concernant les problèmes de rupture des processus critiques de ces comptes avec rotation des mots de passe. Cela signifie que ces comptes privilégiés resteraient également exposés.

Comment la protection unifiée de l'identité peut-elle compléter PAM

Protection unifiée de l'identité est une nouvelle catégorie de produits de sécurité, conçue pour fournir une protection en temps réel de la surface des attaques d'identité grâce à une surveillance continue, une analyse des risques et l'application de politiques d'accès. En s'intégrant directement à tous les fournisseurs d'identité, la plateforme est en mesure d'obtenir une visibilité complète sur chaque entrant. authentification et demande d'accès au sein de l'environnement, que ce soit sur site ou dans le cloud.

Cela signifie qu'une plate-forme Unified Identity Protection peut résoudre les problèmes de PAM grâce à trois fonctionnalités principales :

1. Découverte de compte –En ayant une visibilité complète sur toutes les authentifications, la plate-forme peut analyser chaque compte, y compris ses privilèges et son comportement spécifique - découvrir facilement tous les comptes de service (car ceux-ci affichent un comportement hautement prévisible) ainsi que découvrir tout administrateurs fantômes (en examinant les listes de contrôle d'accès fournies par AD).
2. Authentification multifacteur (MFA) L'application de la politique –La plateforme peut également appliquer les politiques MFA aux comptes privilégiés afin de sécuriser tous les accès en temps réel. Cela signifie que les comptes d'administrateur ne pourraient accéder aux ressources que lorsque la source de la destination est le PAM lui-même (et pourraient en outre également nécessiter une MFA sur cette même connexion).
3. Comptes de service – En analysant continuellement l'activité de chaque compte de service dans l'environnement, les politiques d'accès seraient déclenchées chaque fois qu'un compte de service (qu'il soit non protégé ou non) s'écarte de son comportement standard, étendant ainsi une protection complète à chaque compte de service. compte privilégié dans l'environnement.

Accélérez votre parcours PAM avec Silverfort

SilverfortLa plateforme de protection unifiée des identités de protège les entreprises contre tout attaque basée sur l'identité qui utilise des informations d'identification compromises, permettant aux équipes chargées de l'identité de tirer le meilleur parti de leur investissement PAM en résolvant ses problèmes de sécurité inhérents.

Plus précisément, Silverfort peut aider à l'intégration de PAM en découvrant automatiquement tous les comptes de service et les administrateurs fantômes, ainsi qu'en cartographiant toutes les dépendances des comptes de service. Aussi, Silverfort peut mieux protéger l'accès au PAM lui-même en imposant un accès PAM uniquement aux administrateurs et en exigeant une MFA. Silverfort peut également compléter la protection PAM en sécurisation des comptes de service via la configuration des politiques d'accès et en protégeant tous les comptes d'administrateur résidant en dehors du PAM.

Prêt à en savoir plus sur la façon Silverfort peut-il renforcer votre solution PAM ? En savoir plus à ce sujet ici.