Mitä on Privileged Access Management (PAM)?

Mitä on Privileged Access Management (PAM)?

Erityisen laajoihin käyttöoikeuksiin liittyy suuria tietoturvariskejä, vaikka niihin kiinnitetään usein vain vähän huomiota. Tämä artikkeli käy läpi, mitä Privileged Access Management (PAM) on, miksi se on tärkeää ja kuinka organisaatio voi saada paremman hallinnan, näkyvyyden ja suojauksen pääkäyttäjätason tileille.

Privileged Access Management (PAM)Mitä on Privileged Access Management?

Privileged Access Management (PAM) liittyy läheisesti Identity and Access Managementiin (IAM) . PAM auttaa hallitsemaan ja suojaamaan pääsyä kaikkein kriittisimpiin järjestelmien osiin ja arkaluontoisimpaan dataan. Se keskittyy erityisesti käyttäjiin ja tileihin, joilla on erityisen laajat oikeudet. Eli toisin sanottuna tileihin, jotka voivat käyttää järjestelmää ja muokata sitä poikkeuksellisen paljon. 

Esimerkkejä erityisoikeutetuista tileistä:

Järjestelmänvalvojat, jotka voivat muuttaa asetuksia ja luoda käyttäjiä
Kehittäjät, joilla on pääsy tuotantoympäristöihin tai arkaluontoiseen koodiin
Ulkopuoliset toimittajat, joilla on tilapäinen laaja pääsy IT-järjestelmiin
Palvelutilit ja automatisoidut skriptit, joita käytetään järjestelmien väliseen viestintään

Vaikka kaikki nämä tilit ovat välttämättömiä, ne voivat aiheuttaa merkittävän riskin ilman asianmukaista identiteetin- ja pääsynhallintaa. Väärä klikkaus, varastettu salasana tai haavoittuvainen integraatio voi antaa pahantahtoisille toimijoille pääsyn koko IT-ympäristön ytimiin.

PAM-teknologian avulla voit:

Hallita, kuka pääsee mihin ja milloin
Rajoittaa pääsyn vain juuri ja juuri tarpeelliseen
Valvoa ja kirjata erityisoikeutettujen tilien käyttöä
Rajata pääsyoikeuksien kestoa automaattisesti ja estää niiden jakamisen

Pähkinänkuoressa: PAM suojaa konehuoneen avaimia riippumatta siitä, käyttääkö avainnippua ihminen vai järjestelmä.

Lue myös: Mitä identiteetin- ja pääsynhallinta (IAM) on?

Miksi Privileged Access Management (PAM) on niin tärkeää?

Tavallista laajempien käyttöoikeuksien tilit ovat kyberrikollisille erityisen kiinnostavia. Jos hyökkääjä saa hallintaansa tällaisen tilin, hän voivat järjestelmissä vapaasti, varastaa tietoja, muuttaa asetuksia ja pahimmillaan lamauttaa koko liiketoiminnan. Myös tunnettu käyttäjä voi väärinkäyttää oikeuksiaan, joko tahallisesti tai vahingossa.

Tehokkaan PAMin avulla hyökkäysten ja tietovuotojen riski pienenee, kun kunkin tilin pääsy on rajattu vain välttämättömiin tietoihin. PAM-ratkaisu luo läpinäkyvyyttä siihen, kenellä on pääsy mihinkin ja milloin pääsyjä käytetään. Toimiva PAM auttaa myös täyttämään esimerkiksi ISO 27001- ja NIS2-vaatimuksia.

Ilman PAMia on vaikeaa tai jopa mahdotonta hallita ja dokumentoida etuoikeutettujen tilien käyttöä. Se altistaa sekä sisäisille virheille että ulkoisille uhkille.

Haasteet ilman PAM-ratkaisuaMistä tunnistaa, että Privileged Access Management ei ole riittävällä tasolla?

Moni on rakentanut vuosikausien ajan monimutkaisia IT-ympäristöjä kiinnittämättä kummemmin huomiota siihen, kenellä on pääsy mihinkin, ja ennen kaikkea miksi. Ongelma koskee varsinkin erikoisoikeudellisia tilejä, jotka luodaan usein tiettyyn tarpeeseen ja unohdetaan sen jälkeen.

Tavallisia haasteita, jos käytössä ei ole PAM-ratkaisua:

Pääsytiedot jaetaan useiden henkilöiden kesken ilman dokumentointia
Etuoikeutetut tilit eivät koskaan vanhene tai niitä ei koskaan arvioida uudelleen
Väliaikaisista pääsytarpeista tulee huomaamatta pysyviä oikeuksia
On mahdotonta seurata tai saada riittävää  lokitietoa siitä, kuka on tehnyt mitä ja milloin
Palvelutilit ja skriptit toimivat huomattavasti suuremmilla oikeuksilla kuin tarpeen

Seurauksena on IT-infrastruktuuri, johon jää piileviä haavoittuvuuksia. Riskit kasvavat inhimillisten virheiden, sisäpiiriuhkien ja hyökkäysten osalta osalta. Jos tietoturvaloukkaus tapahtuu, on vaikeaa reagoida nopeasti, ellei ole hallintaa siihen, millä tileillä on mitkäkin oikeudet.

Podcast-jakso Privileged Access -pääsynhallinnasta? Kyllä kiitos! 

Kuuntele koko jakso englanniksi täältä →

Miten PAM-ratkaisu toimii?

PAM-ratkaisu toimii välittäjänä erikoisoikeuksia tarvitsevan käyttäjän ja järjestelmien välillä. Käyttäjä ei kirjaudu tililleen suoraan, vaan keskitetyn alustan kautta, jolloin prosessi on turvallinen ja hallittu. 

Esimerkki: Näin toimii turvallinen pääsy käytännössä

Kuvitellaan järjestelmänvalvoja, jonka on kirjauduttava palvelimelle suorittaakseen ylläpitotehtäviä. Sen sijaan, että hän käyttäisi kiinteää salasanaa, joka saattaa olla jaettu muiden kanssa, valvoja pyytää pääsyä PAM-alustan kautta. Pääsy voidaan myöntää joko automaattisesti tai se voi vaatia hyväksynnän – ja se on voimassa vain rajoitetun ajan.

Kun pääsy on myönnetty, voi järjestelmänvalvoja kirjautua sisään ilman huolta salasanasta. Koko istunto valvotaan ja kirjataan automaattisesti, jotta kaikki tapahtumat tallentuvat dokumentaatioon. Kun tehtävä on suoritettu, pääsy suljetaan ja pääsytiedot päivitetään, jotta niitä ei voida käyttää uudelleen.

Väärinkäytön riski pienenee, samalla kun organisaatio säilyttää hallinnan ja jäljitettävyyden. Käyttäjäystävällisyydestä tinkimättä.

Tunnistatko jo PAMin käyttöönoton hyödyt?

Kun Privileged Access -pääsyt ovat ojennuksessa, on siis luvassa parempaa tietoturvaa ja tietoturvaa. Listasimme loppuun vielä muutamia esimerkkejä siitä, mikä muuttuu, kun erityisoikeudelliset tilit ottaa tiukempaan hallintaan.

PAM-ratkaisun käyttöönoton jälkeen voit:

välttää salasanojen tallentamisen taulukkolaskentaohjelmiin, sähköposteihin tai chat-viesteihin
varmistaa, että vain oikeat henkilöt pääsevät käsiksi arkaluonteisiin järjestelmiin ja vain tarvittaessa
seurata ja dokumentoida kaikkien etuoikeutettujen tilien käyttöä, esimerkiksi auditoinneissa tai tietoturvapoikkeaman tapahtuessa
rajoittaa palvelutilien ja skriptien oikeudet vain välttämättömään
kierrättää käyttöoikeustiedot automaattisesti ja estää vanhoja tunnuksia päätymästä tietoturva-aukoksi
välttää tilanteen, jossa yhdellä työntekijällä tai toimittajalla on "avaimet kaikkeen"
lisätä johdon ja hallituksen luottamusta siihen, että kriittinen pääsy on hallinnassa
helpottaa standardien, kuten ISO 27001:n ja NIS2:n vaatimusten täyttämistä
selkeyttää prosesseja ja viedä tietoturvakulttuurisi seuraavalle tasolle.

Haluatko oppia lisää PAM:sta? Katso webinaarimme täältä →

Cloudworks Group AS

Cloudworks Norge
Cloudworks AS
Org.nr. 927 879 662

Karenslyst allé 2
0278 Oslo
(+47) 22 49 07 30
kontakt@cloudworks.no