Ota pääkäyttäjätunnukset haltuun

Pääkäyttäjätunnukset PAM

Pääkäyttäjien hallinta ei ole luksusta vaan tietoturvan välttämättömyys. Pääkäyttäjätunnukset on hyvä ottaa hallintaan esimerkiksi tulevaa NIS2-direktiiviä ajatellen.

Admin- eli pääkäyttäjätunnuksia on joka puolella. Niitä eivät käytä ainoastaan IT-henkilöt, vaan myös esimerkiksi HR-, talous- ja toimitusjohtajat tarvitsevat pääkäyttäjätason tunnuksia tai oikeuksia esimerkiksi CRM-, ERP-, HR- ja BI-järjestelmiin. 

Ulkopuoliset kumppanitkin valvovat toimittamiaan järjestelmiä asiakasympäristöissä admin-oikeuksilla. Lisäksi löytyy palvelutunnuksia, oikeuksia järjestelmien välisistä integraatioista sekä pilven palveluiden keskinäisistä luvituksista. 

Pääkäyttäjätunnukset ovat kuin pieniä kipinöitä, joista voi syntyä iso roihu. Päästessään leviämään hallitsemattomasti ne voivat aiheuttaa suurta vahinkoa. Forresterin mukaan jopa 80 prosenttia tietomurroista hyödyntää pääkäyttäjätunnuksia. 

Mitä riskejä admin-oikeuksiin liittyy?

Hallitsemattomat pääkäyttäjätunnukset voivat johtaa pahimmillaan liiketoiminnan keskeytymiseen ja vahingonkorvauksiin.

Jos uusille työntekijöille jaetaan harkitsematta samat tunnukset kuin vanhoillekin, tai tunnuksia ei muisteta poistaa työntekijän lopettaessa, riskinä voi olla esimerkiksi vaatimusten rikkominen, vääriin tietoihn pääsy ja jopa tietojen urkinta, firman omien politiikkojen rikkominen, huijaukset, petokset, väärennökset, tietojen varastaminen ja hyökkäysten laajeneminen. 

Admin-tunnukset siis kannattaa ottaa kontrolliin, koska niitä on joka puolella ja niihin sisältyy isoja riskejä. Jos et tunne riskejä, et voi myöskään hallita niitä. 

Mitä PAM tarkoittaa?

Pääkäyttäjien hallinta eli PAM (privileged access management) tarkoittaa käyttäjien ja järjestelmien korotettujen käyttöoikeuksien, tunnusten ja salasanojen hallintaa ja suojaamista. PAM on osa digitaalisten identiteettien hallintaa, johon sisältyy myös mm. käyttövaltuuksien hallinta, pääsynhallinta ja nousevana trendinä pilven identiteettien hallinta (CIEM eli cloud identity entitlement management).  

PAM pohjautuu vähimmäisoikeuksien periaatteeseen, jolloin käyttäjille annetaan pääsy vain niihin resursseihin, joita he tarvitsevat hallintatyön tekemiseen. 

PAM auttaa välttämään tietomurtoja ja väärinkäytöksiä, sekä huolehtimaan vaatimustenmukaisuudesta. Esimerkiksi NIS2– tai DORA-vaatimuksia voi olla vaikea täyttää ilman toimivaa PAM-järjestelmää.

Miten PAM toimii?

Pääkäyttäjien hallintaan on monia teknologiavaihtoehtoja. Aihetta käsittelevässä webinaarissamme Markus Laaksonen, Technical Director, Ignition Technologies, esitteli BeyondTrustin ratkaisuja.

BeyondTrust jakaa PAM-ratkaisunsa Gartnerin mallin mukaan neljään kategoriaan: 

  • Privileged Password Management perinteiseen tunnusten-, pääsyn- ja sessionhallintaan
  • Secure Remote Access yhteistyökumppanien pääsynhallintaan
  • Endpoint Privilege Management päätelaitteiden pääkäyttäjätunnusten hallintaan
  • Cloud Privilege Protection kasvavassa roolissa oleva alue SaaS- ja IaaS-palveluiden tunnusten ja luvitusten hallintaan. 

Jokaiseen neljään osa-alueeseen löytyy Beyond Trustilta oma tuote, joten ratkaisun voi räätälöidä omaan haasteeseen, tarpeeseen ja ympäristöön sopivaksi. Ratkaisut kattavat myös OT-ympäristöt ja integroituvat helposti yhteen.

Secure Cloudin Petri Rantanen näytti webinaarissamme demon BeyondTrustin Password Safe- ja Privileged Remote Access -tuotteista. Password Safessa käyttäjä voi tehdä pääsypyynnön palveluun, johon haluaa yhteyden. Käyttäjän antamista perusteluista jää tieto lokiin, jonka jälkeen hän, mahdollisen hyväksynnän jälkeen, saa kertaluontoisen yhteyden palveluun. Jos käyttäjä tarvitsee palvelua useita kertoja päivässä, tiedoston tallentaminen työasemalle voidaan sallia ja näin käyttäjä voi käynnistää palvelun uudelleen kirjautumatta. 

Jos käyttäjä tarvitsee pääsyn tiettyyn yrityksen palveluun ulkopäin, käyttäjän ollessa vaikkapa toimittajan edustaja, tyypillinen tapa on muodostaa VPN-yhteys käyttäjän koneen ja kohdeyrityksen verkon välillä. VPN-yhteyksissä on kuitenkin useita riskejä ja ongelmia. 

Privileged Remote Access on juuri tähän käyttötapaukseen kehitetty ratkaisu, joka toimii myös yhdessä Password Safen kanssa. Käyttäjän ei siis tarvitse tietää muuta kuin omat tunnuksensa ja hänelle voidaan antaa turvallinen yhteys tarvitsemaansa palveluun – ja vain siihen palveluun, mitä hän tarvitsee. Samaan avattuun istuntoon voi kutsua mukaan myös toisen ulkoisen käyttäjän (toki vain, jos tämä on sallittu politiikassa). Oma henkilöstö voi valvoa tapahtumia samaa toiminnallisuutta käyttäen. Kun yhteys katkaistaan, käyttäjä kirjataan ulos. 

Nämä toiminnallisuudet ovat vain joitain esimerkkejä siitä, miten helposti PAM-ratkaisuilla voi parantaa tietoturvaa käytettävyyttä heikentämättä.

Miten pääkäyttäjätunnukset kannattaa suojata?

Jokainen organisaatio on erilainen. Tärkein suojattava omaisuus, siihen kohdistuvat riskit, politiikka, miten riskeiltä suojaudutaan, sekä tekniset kontrollit vaihtelevat organisaatiokohtaisesti. Siksi pääkäyttäjätunnusten hallintaankaan ei ole vain yhtä oikeaa ratkaisua, vaan liikkeelle kannattaa aina lähteä tietoturva-asiantuntijan kanssa.

PAM-työkalut tarjoavat paljon vaihtoehtoja ja ominaisuuksia. Pelkästään teknologialla ei kuitenkaan voi saavuttaa isoja parannuksia. Tehokkain tapa minimoida riskejä löytyy yhdistämällä teknologiaa, tietoturvapolitiikkoja ja uusia prosesseja. 

Jos pääkäyttäjätunnusten hallinnassa on kehitettävää, ota meihin yhteyttä ja etsitään yhdessä paras tapa suojautua juuri teidän organisaatiollenne tunnistetuilta riskeiltä.   

Katso webinaari pääkäyttäjien hallinnasta

Antti Rajala

Antti Rajala