PAM เป็นราชา แต่ใครล่ะที่ปกป้องราชา?

— โดย Jonathan Nativ ผู้อำนวยการฝ่ายขาย APAC Silverfort -

ในเกมหมากรุก ราชาคือตัวหมากที่สำคัญที่สุด เมื่อฝ่ายตรงข้ามได้ราชาของคุณ เกมก็จบลง กระนั้น ราชาก็เป็นชิ้นส่วนที่ค่อนข้างเปราะบาง และได้รับการปกป้องจากผู้ที่แข็งแกร่งกว่า เช่น พวกโกง บิชอป และแน่นอน – ราชินี

ในโลกไอที การจัดการสิทธิ์การเข้าถึง (PAM) (หลายครั้งเรียกว่า Password Vault) คือ 'ราชา' เพราะมันเก็บกุญแจของอาณาจักร – ข้อมูลรับรองของผู้ใช้ที่สำคัญและละเอียดอ่อนที่สุดในองค์กร (ผู้ใช้ที่มีสิทธิพิเศษ) และหลายครั้งมันถูกใช้เป็นจุดเริ่มต้น ในองค์กรสำหรับผู้ใช้ภายนอก
ดังนั้นศัตรูจะทำทุกอย่างที่ทำได้เพื่อประนีประนอม

PAM Solution คืออะไร และเหตุใดการป้องกันจึงสำคัญ

โซลูชัน PAM เป็นพื้นที่เก็บข้อมูลแบบรวมศูนย์ที่จัดเก็บและจัดการข้อมูลรับรองที่ละเอียดอ่อนทั้งหมด ซึ่งรวมถึง:
1. ข้อมูลประจำตัวของผู้ดูแลโดเมน
2. ข้อมูลประจำตัวของฐานข้อมูล
3. ข้อมูลรับรองโครงสร้างพื้นฐานระบบคลาวด์และคีย์การเข้าถึง
4. รหัสผ่านไฟร์วอลล์
5. บัญชีโซเชียลมีเดียขององค์กร
6. อีกมากมาย

สิ่งสำคัญประการหนึ่งที่ควรทราบเกี่ยวกับโซลูชัน PAM คือเมื่อนำไปใช้แล้ว ระบบจะกลายเป็นระบบเดียวที่ละเอียดอ่อนที่สุดในเครือข่าย เนื่องจากมีข้อมูลรับรองทั้งหมดของผู้ใช้ที่ได้รับสิทธิพิเศษสูงสุด

ตามที่ Gartnerการรักษาความปลอดภัยบัญชีสิทธิพิเศษในองค์กรเป็นโครงการรักษาความปลอดภัยที่มีความสำคัญสูงสุดในทุกวันนี้ นี่เป็นเพราะข้อมูลประจำตัวที่ถูกบุกรุกถูกใช้ในการละเมิดข้อมูลมากกว่า 80% เมื่อผู้โจมตีเข้าถึงเครือข่ายได้ สิ่งแรกที่พวกเขาจะมองหาคือข้อมูลประจำตัวที่มีสิทธิพิเศษ ข้อมูลรับรองเหล่านี้จะช่วยให้พวกเขาสามารถเข้าถึงทรัพย์สินที่มีมูลค่าสูง ย้ายไปด้านข้างในเครือข่าย และติดตั้งซอฟต์แวร์ที่เป็นอันตราย

จะเกิดอะไรขึ้นหากผู้ดูแลระบบคนใดคนหนึ่งของคุณ (ที่ใช้โซลูชัน PAM) ตกเป็นเหยื่อของการโจมตีแบบฟิชชิงและข้อมูลส่วนตัวของพวกเขาถูกขโมย หากข้อมูลประจำตัวเหล่านั้นอนุญาตให้เข้าถึงโซลูชัน PAM ผู้โจมตีจะสามารถเข้าถึงข้อมูลประจำตัวทั้งหมดซึ่งได้รับการจัดเก็บไว้อย่างสะดวกในตำแหน่งศูนย์กลางแห่งเดียว

หากผู้ไม่หวังดีสามารถเข้าถึงโซลูชัน PAM ได้ เขาหรือเธอก็จะสามารถเข้าถึงระบบที่ละเอียดอ่อนใดๆ ในเครือข่ายได้อย่างไม่จำกัด การเพิ่ม การรับรองความถูกต้องหลายปัจจัย (MFA) มอบระดับการรักษาความปลอดภัยที่สำคัญต่อการใช้ข้อมูลรับรองผู้ใช้ที่ถูกขโมย ด้วยเหตุผลดังกล่าว ผู้จำหน่าย PAM จึงแนะนำอย่างยิ่งให้ใช้โซลูชัน MFA ร่วมกับโซลูชัน PAM เสมอ

ฉันควรปกป้องกษัตริย์ของฉันอย่างไร?

ในรายงานล่าสุดที่ตีพิมพ์โดย Deloitte PAM และ MFA ได้รับการจัดอันดับให้เป็นโครงการริเริ่มด้านอัตลักษณ์ 2 อันดับแรกสำหรับองค์กรโดยมีความสำคัญเท่าเทียมกัน ความคิดริเริ่มที่สำคัญทั้งสองนี้สอดคล้องกัน การใส่รหัสผ่านที่ละเอียดอ่อนทั้งหมดของคุณไว้ในที่เดียวนั้นไม่สมเหตุสมผลนักหากผู้โจมตีสามารถเข้าถึงมันได้อย่างง่ายดายด้วยรหัสผ่านอื่น เมื่อโซลูชัน PAM ได้รับการปกป้องด้วย MFA แม้ว่าผู้โจมตีจะถูกขโมยข้อมูลประจำตัวของผู้ดูแลระบบ ผู้โจมตีจะไม่สามารถเข้าถึงโซลูชัน PAM ได้ ทั้งนี้เป็นเพราะปัจจัยเพิ่มเติมของ การรับรอง (เช่น โทเค็นหรือการอนุมัติผ่านแอปพลิเคชันมือถือ) จำเป็นต้องได้รับจากผู้ใช้ก่อนจึงจะได้รับอนุญาตให้เข้าถึงได้

เมื่อเลือกและปรับใช้โซลูชัน MFA สิ่งสำคัญคือต้องแน่ใจว่าอินเทอร์เฟซทั้งหมดไปยังโซลูชัน PAM ได้รับการปกป้องโดย MFA ไม่ใช่แค่ประตูหน้าเท่านั้น นี่อาจพูดง่ายกว่าทำ
ให้ฉันอธิบาย:
โซลูชัน PAM ส่วนใหญ่มีหลายอินเทอร์เฟซ ได้แก่:
1. การเข้าถึงเว็บพอร์ทัล – ใช้สำหรับการดึงข้อมูลรับรองเช่นเดียวกับงานการดูแลระบบ
2. Proxy Access – ใช้โดยผู้ดูแลระบบเพื่อเชื่อมต่อกับระบบโดยใช้ vaulted credentials (วิธีนี้เป็นวิธีที่ผู้ดูแลระบบต้องการเนื่องจากมีความโปร่งใสมากกว่า)
3. การเข้าถึง API – ใช้สำหรับงานอัตโนมัติและ บัญชีบริการ

[คำบรรยายภาพ] ภาพด้านบนแสดงสถาปัตยกรรมระดับสูงพื้นฐานของโซลูชัน PAM ทั่วไป

มาแล้วราชินี

เพื่อให้การป้องกันที่แท้จริง โซลูชัน MFA ต้องมีวิธีการรักษาความปลอดภัยแต่ละอินเทอร์เฟซในระบบ PAM
หากไม่มีการป้องกันอินเทอร์เฟซทั้งหมด คุณจะทิ้งช่องโหว่ไว้ในระบบซึ่งจะทำให้ผู้โจมตีสามารถเข้ามาได้
ในหลายกรณี MFA ไม่ได้ถูกนำมาใช้กับอินเทอร์เฟซ PAM ทั้งหมดเนื่องจากข้อกำหนดการรวมระบบที่ซับซ้อน ในกรณีส่วนใหญ่ การใช้งาน MFA ต้องการตัวแทนหรือผู้รับมอบฉันทะ เช่นเดียวกับการเปลี่ยนแปลงสถาปัตยกรรมเครือข่าย เนื่องจากโซลูชัน PAM มักจะจัดส่งเป็นอุปกรณ์ "กล่องดำ" จึงเป็นไปไม่ได้ที่จะติดตั้งตัวแทนหรือทำการเปลี่ยนแปลงโค้ด

โซลูชัน MFA ที่ใช้ RADIUS นั้นซับซ้อนในการใช้งานและให้ประสบการณ์ผู้ใช้ที่ไม่ดี เนื่องจากจำเป็นต้องพิมพ์รหัสผ่านครั้งเดียว (OTP) สำหรับแต่ละเซสชันที่เปิด (โปรดจำไว้ว่าผู้ดูแลระบบอาจเปิดเซสชันนับไม่ถ้วนทุกวัน – ดังนั้น มันกลายเป็นเรื่องน่ารำคาญ)

Silverfortโซลูชันที่ไม่ใช้เอเจนต์และไม่ใช้พร็อกซี เปิดใช้งาน MFA บนอินเทอร์เฟซ PAM ทั้งหมด โดยไม่จำเป็นต้องทำการเปลี่ยนแปลงที่ซับซ้อนกับระบบหรือสภาพแวดล้อม ขอบคุณ Silverfortสถาปัตยกรรมแบบไม่ใช้เอเจนต์ของ ยังสามารถปกป้องอินเทอร์เฟซทั้งหมดไปยังโซลูชัน PAM รวมถึงเว็บอินเทอร์เฟซ ไคลเอ็นต์ GUI API และพร็อกซี โดยไม่จำเป็นต้องดำเนินการ MFA ซ้ำแล้วซ้ำอีกสำหรับแต่ละเซสชัน

เมื่อเลือกผู้จำหน่าย MFA สิ่งสำคัญคือต้องคำนึงถึงประสบการณ์ของผู้ใช้ปลายทางด้วย
ผู้ดูแลระบบไอที (ที่ใช้ บัญชีสิทธิพิเศษ) มักจะอ่อนไหวต่อการเปลี่ยนแปลงในขั้นตอนการทำงานของตนมาก พวกเขายังใช้โซลูชัน PAM หลายครั้งในช่วงเวลาหนึ่งชั่วโมง ดังนั้นความไม่สะดวกใดๆ อาจส่งผลกระทบอย่างมากต่อประสิทธิภาพการทำงาน
ในกรณีส่วนใหญ่ ผู้ใช้จะจัดเก็บข้อมูลประจำตัวสำหรับโซลูชัน PAM ไว้ในเบราว์เซอร์หรือเครื่องมือจัดการการเชื่อมต่อเพื่อทำให้ชีวิตของพวกเขาง่ายขึ้น

แง่มุมอื่นๆ ที่ควรพิจารณาเมื่อเลือกผู้ให้บริการ MFA สำหรับโซลูชัน PAM:
1. การเปลี่ยนแปลงเวิร์กโฟลว์ปัจจุบัน
2. ความสามารถในการเปิดหลายเซสชันในเวลาเดียวกันโดยไม่มีความท้าทาย MFA หลายรายการ
3. ตัวเลือก MFA ที่ใช้งานง่าย เช่น ซอฟต์โทเค็นและแอพ MFA บนมือถือ
4. ความสามารถในการเรียกใช้ MFA เพียงครั้งเดียวภายในกรอบเวลาที่กำหนด
5. MFA ตามความเสี่ยงที่พิจารณาพฤติกรรมและบริบทของผู้ใช้

Silverfort's โซลูชันการตรวจสอบสิทธิ์ตามความเสี่ยง มีความยืดหยุ่นและช่วยให้สร้างสมดุลระหว่างความปลอดภัยและประสบการณ์ของผู้ใช้โดยอนุญาตให้ผู้ใช้ตรวจสอบสิทธิ์กับ MFA เป็นครั้งคราวเท่านั้น ในขณะที่ยังรักษาความปลอดภัยอยู่ตลอดเวลา เมื่อรวมกับแนวทางที่อิงตามความเสี่ยงที่ปรับเปลี่ยนได้ ทำให้เป็นโซลูชัน MFA ที่เหมาะสำหรับการนำ PAM ไปใช้งาน

คำสุดท้าย

PAM เป็นชั้นความปลอดภัยที่สำคัญสำหรับองค์กร โครงการ PAM ต้องใช้เวลาและความช่วยเหลือจำนวนมาก มันสมเหตุสมผลไหมที่จะต้องผ่านปัญหาทั้งหมดเพื่อล็อคประตูแต่เปิดหน้าต่างทิ้งไว้?

ควรเพิ่ม MFA เพื่อป้องกันโซลูชัน PAM ของคุณตั้งแต่วันแรก ควรถือว่าเป็นส่วนสำคัญของโซลูชัน PAM และใช้เพื่อรักษาความปลอดภัยการเข้าถึงผ่านเส้นทางและอินเทอร์เฟซทั้งหมด เพื่อปกป้องทรัพย์สินที่สำคัญที่สุดในเครือข่ายของคุณ