TỔNG QUAN VỀ GIÁM SÁT VÀ QUẢN LÝ TRUY CẬP HỆ THỐNG DỊCH VỤ
Hiện trạng quản lý và giám sát truy cập các hệ thống dịch vụ
1.1.1 Tổng quan về các cuộc tấn công đặc quyền
Hình 1 1: Các giai đoạn của một cuộc tấn công từ bên ngoài
Hiện nay, phần lớn các cuộc tấn công bắt nguồn từ bên ngoài tổ chức và được khởi xướng bởi các tác nhân đe dọa bên ngoài Trong khi các chiến thuật cụ thể có thể khác nhau, các giai đoạn của một cuộc tấn công bên ngoài được diễn tả theo các bước như sau:
- Xâm nhập từ bên trong hoặc bên ngoài: hiện nay, các kẻ tấn công thường sẽ thực hiện một chiến dịch thông qua tấn công cấu hình sai tài nguyên với các tài khoản đặc quyền bị xâm phạm, hoặc khởi động một cuộc tấn công lừa đảo để xâm phạm quyền của người dùng hệ thống, và thiết lập một vị trí ẩn bên trong một môi trường Mục tiêu của chúng là làm xuất hiện các mối đe dọa trong hệ thống mà vô hình dưới hệ thống phòng thủ an ninh và duy trì một sự hiện diện dai dẳng Xâm nhập có thể xảy ra thông qua sự kết hợp của các vectơ tấn công, để lại một lỗ hổng có thể khai thác thông qua phương pháp quản lý từ bên ngoài tổ chức.
- Điều khiển và kiểm soát thông qua Internet: khi đó là ransomware hoặc phần mềm độc hại độc lập, kẻ tấn công nhanh chóng thiết lập kết nối đến một máy chủ chỉ huy và kiểm soát (C&C) Điều này cho phép hacker đánh giá môi trường và lập kế hoạch thực hiện tiếp theo.
- Xác định và nâng cao tài khoản đặc quyền: Các tác nhân đe dọa bắt đầu tìm hiểu về mạng, cơ sở hạ tầng, đặc quyền tài khoản, danh tính chính và nội dung hoạt động chức năng hàng ngày và mức độ quan trọng của các tài nguyên Chúng bắt đầu tìm kiếm cơ hội để thu thập thông tin xác thực bổ sung, nâng cấp đặc quyền, hoặc chỉ sử dụng các đặc quyền mà họ đã thỏa hiệp để truy cập tài nguyên, ứng dụng và dữ liệu.
- Leo quyền ngang giữa các tài sản, tài khoản, tài nguyên và danh tính:
Sau đó, các tác nhân đe dọa tận dụng thông tin đăng nhập bị đánh cắp và kiến thức về môi trường để thỏa hiệp tài sản bổ sung, tài nguyên và danh tính (tài khoản) thông qua tấn công leo quyền Điều này tiếp tục được thực hiện thông qua môi trường của nạn nhân.
- Thăm dò các cơ hội bổ sung: Trong khi tiếp tục xác định các điểm yếu khác như lỗ hổng, máy chủ cấu hình sai, và bổ sung thông tin đăng nhập đặc quyền, mục tiêu của kẻ tấn công là không bị phát hiện Nếu hành động của kẻ tấn công bị phát hiện, hầu hết các tổ chức sẽ ngay lập tức cố gắng giảm thiểu sự cố Vì vậy, hoạt động trong chế độ tàng hình, tác nhân đe dọa có thể xác định nhiều mục tiêu hơn, cài đặt thêm phần mềm độc hại hoặc hack các công cụ và mở rộng sự hiện diện của chúng bằng cách sử dụng các công cụ bổ sung vectơ tấn công, từ lỗ hổng đến bị xâm nhập danh tính.
- Lọc hoặc phá hủy dữ liệu: Cuối cùng, kẻ tấn công thu thập, đóng gói và lọc ra dữ liệu có ích cho chúng, trong trường hợp xấu nhất, kẻ tấn công thường phá hủy tài sản và tài nguyên của nạn nhân (phần mềm tống tiền) Điều quan trọng là phải xem lại điều đó toàn bộ chuỗi tấn công này có thể được thực hiện bởi mối đe dọa bên trong hoặc bên ngoài, như đã đề cập trong bước đầu tiên Kiến thức của một người trong cuộc có thể đẩy nhanh tất cả những điều này các bước và bỏ qua kiểm soát bảo mật vì chúng có thể được coi là đáng tin cậy [2]
1.1.2 Hiện trạng và các phương thức truy cập hệ thống dịch vụ
Các tổ chức CNTT lớn có một số lượng đáng kể các tài khoản đặc quyền trong nội bộ tổ chức Bản thân các hệ thống có thể chứa hơn một nghìn máy chủ, hàng trăm các thiết bị mạng và thiết bị khác Hầu hết quyền truy cập vào hệ thống sẽ cần một tài khoản chủ yếu dựa vào tên người dùng và mật khẩu trong toàn tổ chức, việc quản lý những tài khoản là rất quan trọng đối với tổ chức, người dùng có thể truy cập tài nguyên hệ thống mà không cần bất kỳ giám sát và hạn chế Nếu một tài khoản người dùng với đặc quyền không giới hạn bị xâm phạm, nó sẽ cung cấp cho những kẻ tấn công truy cập vào các hệ thống quan trọng và dữ liệu nhạy cảm của tổ chức Sự kiện này có thể dẫn đến vi phạm dữ liệu, đây là một vấn đề nghiêm trọng Năm 2019, số vụ vi phạm dữ liệu ở Hoa Kỳ lên tới 1.473, và khoảng 80% trường hợp vi phạm liên quan đến các tài khoản đặc quyền cao bị xâm phạm [9]
Thông thường, các kết nối từ người quản trị tới các hệ thống dịch vụ có thể được chia theo 2 hình thức:
- Kết nối trực tiếp: thông qua PC có kết nối trực tiếp tới các máy chủ, thiết bị trong hệ thống doanh nghiệp.
Hình 1 2: Kết nối trực tiếp
- Kết nối từ xa: người quản trị sử dụng các công cụ VPN từ Internet vào nội bộ hệ thống, từ đó kết nối tới các máy chủ, thiết bị trong doanh nghiệp.
Hình 1 3: Kết nối thông qua VPN
Với các hình thức kết nối trên, việc quản lý kết nối đa số đều thực hiện thông qua các yếu tố như chính sách của tường lửa, nội bộ hệ thống, thông tin khai báo VPN, … Đối với việc giám sát các truy cập, thao tác từ người dùng vào hệ thống cũng được kiểm tra qua việc lưu trữ, ghi log của các thiết bị và có thể cho phép phân tích hành vi thông qua các hệ thống SIEM hoặc sử dụng các giải pháp phần mềm được cài đặt từ các bên thứ ba.
Trong một số trường hợp, các tài khoản này không chỉ do nhân viên IT trong nội bộ của tổ chức nắm giữ mà còn được cung cấp cho bên thứ ba Ví dụ một tổ chức không có đội ngũ IT chuyên nghiệp để quản trị hệ thống, phải thuê đối tác thứ ba quản trị hệ thống CNTT của doanh nghiệp, khi đó tổ chức phải cung cấp các tài khoản đặc quyền này cho đối tác Hoặc các tài khoản/mật khẩu này cũng tồn tại trong các ứng dụng tự phát triển, hoặc trong các scripts hoặc file ini, … Do vậy việc quản lý yếu kém các tài khoản đặc quyền này sẽ dẫn đến các nguy cơ về an ninh, an toàn hệ thống và nhiều trường hợp làm mất nhiều thời gian trong việc tiếp cận thông tin phục vụ điều hành, kinh doanh trong tổ chức Với các tổ chức lớn, có hàng trăm các thiết bị mạng, máy chủ thì sẽ tốn rất nhiều thời gian để khắc phục sự cố liên quan đến tài khoản đặc quyền.
Các vấn đề tồn tại
Có thể nói rằng các tài khoản đặc quyền chính là chìa khóa cho mọi hoạt động truy cập đến các hệ thống của tổ chức Do vậy việc quản lý yếu kém các tài khoản đặc quyền này sẽ dẫn đến các nguy cơ sau:
- Lỗi kiểm soát: Loại bỏ các mật khẩu không được thay đổi và không được kiểm soát để tuân thủ các quy định (ví dụ như PCI DSS, Basel II, ISO 27001…).
- Nguy cơ an ninh: Một trong những mối quan tâm nhất hiện nay là các nguy cơ từ chính bên trong tổ chức, các nhân viên IT có thể gây ra những tổn thất cho tổ chức nơi họ làm việc mà bản thân các nhà quản lý không hề nghĩ tới Ví dụ trong tổ chức tài chính lớn, một nhân viên IT nhận thấy rằng mình không được thưởng công xứng đáng trong công việc có thể tắt tất cả UNIX phục vụ kinh doanh và điều này có thể gây ra thiệt hại ước tính tới hàng triệu Dollar Anh ta có thể làm được việc đó bởi vì anh ta biết mật khẩu của tài khoản root trong hệ thống máy chủ UNIX Và tổ chức cũng không thể nào chứng minh được hành động của anh ta vì cũng có vài đồng nghiệp biết mật khẩu của tài khoản root trong hệ thống máy chủ UNIX.
- Mất năng suất trong công việc: Một mật khẩu khi thiết lập theo phương pháp thủ công bởi nhân viên IT, người đã không thông báo cho đồng nghiệp của mình có thể gây ra sự chậm trễ hàng giờ đồng hồ trong trong việc tiếp cận thông tin phục vụ điều hành, kinh doanh trong tổ chức Với các tổ chức lớn, có hàng trăm các thiết bị mạng, máy chủ thì sẽ tốn rất nhiều thời gian để khắc phục sự cố. Đối với các hình thức truy cập đến các hệ thống hiện tại, sau khi phiên kết nối được thiết lập (thông qua RDP, Telnet, SSH,…) đến các máy chủ và cơ sở dữ liệu của hệ thống dịch vụ Do đó, người quản lý hệ thống chỉ giám sát được log truy cập vào các thiết bị, máy chủ hệ thống, không giám sát được các tác động đến hệ thống dịch vụ, không lưu được log các tác động này Vì vậy, tiềm ẩn rủi ro có thể xảy ra các tác động gây mất an toàn, an ninh thông tin, gây ảnh hưởng đến hệ thống dịch vụ.
Các tổ chức cần phải kiểm soát một cách chặt chẽ các tài khoản đặc quyền này Theo dõi mọi hoạt động của các loại tài khoản này sẽ làm giảm thiểu các nguy cơ bảo mật và cung cấp các quy định buộc hệ thống phải tuân thủ để đảm bảo quá trình hoạt động của tổ chức được liên tục.
Kiến trúc giải pháp quản lý giám sát truy cập đặc quyền
1.3.1 Giới thiệu về giải pháp quản quản lý truy cập đặc quyền
Thông tin đăng nhập tài khoản đóng một vai trò quan trọng trong tính liên tục của một tổ chức Tuy nhiên, các nghiên cứu kết luận rằng vẫn còn nhiều tổ chức không bảo vệ được mức cao của họ tài khoản đặc quyền Trong khi một số công ty bắt đầu nhận thức được vấn đề này, nhiều tổ chức vẫn còn ít quan tâm đến nó Do đó, các tài khoản đặc quyền cao trong một tổ chức có thể bị hack dễ dàng, dẫn đến vi phạm dữ liệu Các tổ chức hiện đang đang tìm kiếm một dịch vụ có thể giúp quản lý tất cả các đặc quyền cao này tài khoản bên trong một giải pháp Vì vậy, cần có giải pháp quản lý tài khoản đặc quyền cao để dễ dàng các quản trị viên trong việc xử lý các tài khoản đặc quyền cao [9]
Từ một nghiên cứu được thực hiện bởi IBM, đó là được biết đến trong năm
2022, 70% tổ chức sẽ thực hiện triển khai các giải pháp PAM để giảm các rủi ro tổng thể Theo hình 1.4, Forrester Wave tuyên bố rằng ít nhất 80% vi phạm dữ liệu là kết quả của thông tin đăng nhập đặc quyền bị xâm phạm [9]
Hình 1.4: Vi phạm dữ liệu do thông tin xác thực đặc quyền bị xâm phạm
Trong một môi trường thực thi nguyên tắc tối thiểu đặc quyền, khoảng 80- 90% tài khoản không có bất kỳ đặc quyền Những tài khoản này thường được gọi là tài khoản người dùng chuẩn hoặc tài khoản người dùng khách Một tài khoản có thể được coi là đặc quyền khi nó có quyền truy cập và khả năng cao hơn những người có tài khoản không đặc quyền Các tài khoản đặc quyền này thường được gọi là tài khoản siêu người dùng, mà cụ thể nhân viên sử dụng để quản lý các thay đổi hệ thống và thực hiện mệnh lệnh Các tài khoản siêu người dùng này được gọi là root trong Linux và quản trị viên trong Windows Bởi vì những siêu người dùng này tài khoản có nhiều đặc quyền hơn, nó có thể gây ra hậu quả nghiêm trọng hơn mối đe dọa khi bị xâm phạm so với các tài khoản không có đặc quyền [9]
Quản lý truy cập đặc quyền (Privileged Access Management - PAM) thường được gọi là quản lý tài khoản đặc quyền (Privileged Account Management), quản lý danh tính đặc quyền (PIM), hoặc quản lý người dùng đặc quyền (PUM) Với kiến trúc PAM, người quản trị có thể quản lý và giám sát các tài khoản đặc quyền, giảm thiểu các rủi ro về an ninh thông tin như đánh cắp thông tin do người sử dụng tài khoản đặc quyền lạm dụng quyền truy cập [4]
Quản lý truy cập đặc quyền (PAM) là một lĩnh vực của ngành bảo mậtCNTT, với nhà cung cấp các dịch vụ kiểm soát, quản lý và báo cáo về mức độ đặc quyền của người dùng (quản trị viên hệ thống) truy cập hệ thống hoặc tài nguyên, thông qua một tập hợp các chức năng và quy trình bảo mật Một giải pháp PAM có thể xem xét như là giải pháp của hệ thống Zero Trust và thậm chí nó có thể cung cấp một số khả năng giống như PEP - Điểm thực thi chính sách (PEP): Hệ thống này chịu trách nhiệm kích hoạt, giám sát và chấm dứt kết nối giữa chủ thể và tài nguyên doanh nghiệp [6]
Mục tiêu chính của PAM là giữ cho tổ chức, doanh nghiệp an toàn khỏi hoặc cố tình bị lạm dụng thông tin xác thực và quyền truy cập đặc quyền, bất kể cho dù hệ thống đang được truy cập từ xa hay người dùng đang ngồi trực tiếp trước bàn phím và màn hình Các mối đe dọa truy cập đặc quyền đặc biệt có liên quan nếu tổ chức đang phát triển và trải nghiệm thay đổi do tăng trưởng, thị trường mới và mở rộng kinh doanh Thông tin về môi trường của doanh nghiệp, tổ chức càng lớn và càng phức tạp thì hệ thống công nghệ sẽ trở nên tốt hơn, tổ chức sẽ có nhiều tài khoản đặc quyền hơn Trong vài năm gần đây, các tổ chức đã trải qua sự bùng nổ của tài khoản người dùng đặc quyền và bài toán về quản lý đặc quyền Những tài khoản mới này bao gồm nhân viên, nhà thầu, nhà cung cấp, kiểm toán viên, và thậm chí cả người dùng tự động sử dụng các giải pháp tại chỗ, trong đám mây và trong các môi trường kết hợp phức tạp có thể bao gồm nhiều kết nối giữa doanh nghiệp với doanh nghiệp Điều này không làm giảm nhu cầu cho các tổ chức nhỏ nắm lấy PAM, mà là bảo mật đó các chuyên gia gặp khó khăn hơn trong việc xác định phạm vi vấn đề và tiến hành các bài tập giảm thiểu ở quy mô lớn hơn Mỗi doanh nghiệp và mọi người tiêu dùng đều có khả năng gặp rủi ro từ các đặc quyền được sử dụng như một véc tơ tấn công Chỉ riêng thực tế này đã thôi thúc nhu cầu về PAM ở mọi nơi, mặc dù có thể chỉ cần một phần để giảm thiểu rủi ro liên quan Do đó, một chiến lược thành công cho các đặc quyền như một véc tơ tấn công không yêu cầu tất cả các nguyên tắc của PAM phải được thực hiện để giảm thiểu rủi ro - chỉ những cái có liên quan đến doanh nghiệp Nói chung, các doanh nghiệp càng lớn và càng phức tạp thì càng có nhiều trường hợp sử dụng PAM cần thực hiện [4]
Một giải pháp PAM cung cấp quy trình làm việc an toàn được tối ưu hóa để ủy quyền và giám sát tất cả người dùng đặc quyền cho tất cả các tài nguyên Điều này sẽ cung cấp cho doanh nghiệp của những khả năng sau:
- Chỉ cấp đặc quyền cho người dùng đối với các tài nguyên mà trên đó họ được ủy quyền.
- Cấp quyền truy cập đặc quyền an toàn từ tài nguyên cho tài nguyên được môi giới bởi một bên thứ ba được ủy quyền.
- Chỉ cấp quyền truy cập cho những trường hợp đó khi thích hợp và thu hồi quyền truy cập khi hết nhu cầu.
- Loại bỏ nhu cầu người dùng đặc quyền có hoặc cần có kiến thức về mật khẩu hệ thống.
- Quản lý phiên truy cập từ xa đặc quyền cho hoạt động phù hợp với quản lý thông tin xác thực.
- Đảm bảo tất cả các hoạt động đặc quyền có thể được liên kết với một tài khoản và, khi các tài khoản được chia sẻ, thực thi ánh xạ tới một danh tính.
- Quản lý tập trung và nhanh chóng quyền truy cập của tất cả các thiết bị vật lý và tài nguyên ảo, tại chỗ hoặc trên đám mây, cung cấp bất kỳ tập hợp tài nguyên không đồng nhất nào yêu cầu quyền truy cập đặc quyền.
- Tạo một lộ trình kiểm toán bền vững cho bất kỳ đặc quyền nào sử dụng thông qua bản ghi phiên, ghi nhật ký gõ phím và giám sát ứng dụng.
- Trao quyền cho các tổ chức để sẵn sàng ứng phó với các vi phạm bằng cách ghi nhật ký hoạt động đặc quyền cung cấp các chỉ số về thỏa hiệp (báo cáo, phân tích và cảnh báo) [4]
Giải pháp quản lý truy cập đặc quyền (PAM) có thể đem lại nhiều lợi ích cho các tổ chức như bảo mật hệ thống, giới hạn quyền truy cập chỉ cho người dùng cần thiết và nâng cao tính linh hoạt trong quản lý quyền truy cập Tuy nhiên, việc triển khai PAM cũng đối diện với một số thách thức như sau:
- Điều chỉnh lại quy trình làm việc: Triển khai PAM đòi hỏi phải điều chỉnh lại quy trình làm việc của các nhân viên và quản trị viên để đảm bảo tính nhất quán và an toàn Điều này có thể ảnh hưởng đến sự thoải mái và hiệu suất làm việc của các nhân viên.
- Độ phức tạp trong triển khai và phát triển: PAM là một giải pháp phức tạp và cần sự đầu tư vốn, thời gian và nhân lực để triển khai và phát triển Những thách thức này có thể làm tăng chi phí và tiêu tốn nguồn lực của tổ chức.
- Khởi động lại các hệ thống và ứng dụng hiện có: Để triển khai PAM, các hệ thống và ứng dụng đang hoạt động phải được khởi động lại để cài đặt các chính sách truy cập mới Việc này không chỉ tốn nhiều thời gian mà còn gây ra sự bất tiện cho người dùng cuối.
Kết luận chương
Chương 1 đã giới thiệu tổng quan về hiện trạng quản lý và giám sát truy cập hệ thống dịch vụ cũng như các vấn đề đang tồn tại gây mất an toàn thông tin trong các doanh nghiệp tổ chức thông qua các tài khoản đặc quyền Trong chương 1 đã nêu rõ mức độ quan trọng và ảnh hưởng của tài khoản đặc quyền đối với tổ chức,doanh nghiệp Bên cạnh đó, chương 1 cũng giới thiệu về giải pháp quản lý truy cập đặc quyền giúp tăng cường, đảm bảo an ninh an toàn thông tin cho tổ chức, doanh nghiệp với hình thức tấn công đặc quyền ngày nay.
GIẢI PHÁP QUẢN LÝ TRUY CẬP ĐẶC QUYỀN CYBERARK
Hệ thống quản lý truy cập đặc quyền CyberArk
CyberArk là một công ty hàng đầu thế giới trong lĩnh vực bảo mật định danh số Khởi đầu với phát minh và cung cấp giải pháp quản lý truy cập đặc quyền - Privilege Access Management, CyberArk hiện nay đang cung cấp các giải pháp bảo mật toàn diện nhất cho quản lý truy cập và định danh số không chỉ cho định danh con người mà còn cho các ứng dụng, các hệ thống tự động hóa và định danh máy. Giải pháp của CyberArk giúp bảo vệ không chỉ các truy cập đặc quyền mang tính kỹ thuật, hệ thống mà còn bảo vệ cả các ứng dụng nghiệp vụ, bảo vệ truy cập của người dùng làm việc từ xa, các ứng dụng và hệ thống làm việc trên điện toán đám mây cũng như các hoạt động DevOps Rất nhiều các tổ chức, doanh nghiệp hàng đầu thế giới đã và đang tin tưởng và sử dụng CyberArk để bảo vệ các tài sản số quan trọng của họ Trong hàng thập kỷ qua, CyberArk đã và đang dẫn đầu thị trường trong việc bảo vệ các tổ chức, doanh nghiệp khỏi các nguy cơ tấn công mạng với mục tiêu nhằm vào các định danh đặc quyền trong nội bộ và tấn công vào các tài sản số quan trọng của đơn vị.
Theo báo cáo của Magic Quandrant của Công ty CNTT Gartner 2022,CyberArk đang dẫn đầu trong thị trường sản phẩm giải pháp quản lý truy cập đặc quyền PAM Magic Quadrant (MQ) là một loạt các báo cáo nghiên cứu thị trường được xuất bản bởi công ty tư vấn CNTT Gartner dựa trên các phương pháp phân tích dữ liệu định tính độc quyền để chứng minh các xu hướng thị trường, chẳng hạn như hướng đi, sự trưởng thành và những người tham gia [8]
Hình 2 1: Thị trường giải pháp PAM theo báo cáo Gartner 2022
Giải pháp quản lý truy cập đặc quyền của CyberArk là một giải pháp đầy đủ để quản lý các tài khoản đặc quyền trong doanh nghiệp Nó cho phép các tổ chức bảo mật, cung cấp, quản lý, kiểm soát và giám sát tất cả các hoạt động liên quan đến tất cả các loại danh tính đặc quyền, chẳng hạn như:
- Quản trị viên trên máy chủ Windows
- Root trên máy chủ UNIX
- Kích hoạt Cisco trên thiết bị Cisco
- Mật khẩu nhúng được tìm thấy trong các ứng dụng và tập lệnh
Các thành phần và tính năng của giải pháp
Giải pháp Quản lý truy cập đặc quyền bao gồm các thành phần chính như sau:
Hình 2 2: Thành phần giải pháp PAM CyberArk 2.2.1.1 Digital Vault (Thành phần lưu trữ gốc)
Digital Vault là thành phần lưu trữ toàn bộ thông tin quan trọng nhất của hệ thống, thành phần này dựa trên công nghệ Digital Vault của CyberArk, đáp ứng với chuẩn bảo mật FIPS 140-2 (với thuật toán mã hóa AES-256) và đã được chứng minh là đáp ứng các chuẩn bảo mật như: PCI, NERC, FERC, SOX, HIPAA, GLB… Secure Digital Vault được thiết kế với khả năng bảo mật đa lớp (bao gồm: tường lửa, VPN, xác thực, điều khiển truy cập, mã hóa…) kết hợp chặt chẽ với nhau và trung tâm là hệ thống quản lý mật khẩu đặc quyền – PIM Suite là giải pháp tối ưu trong vấn đề lưu trữ, chia sẻ định danh trong môi trường doanh nghiệp [1]
2.2.1.2 Trung tâm quản lý chính sách - Central Policy Manager (CPM)
Hình 2 3: Module quản lý chính sách
Thành phần này quản trị chính sách tập trung về bảo mật định danh truy cập đặc quyền đặt ra các chính sách cho hệ thống (độ dài của mật khẩu, độ phức tạp của mật khẩu, tần suất đổi mật khẩu…) [1]
Central Policy Manager chịu trách nhiệm thực hiện đổi mật khẩu của các thiết bị được hệ thống quản lý theo chính sách đã được định nghĩa Khi một tài khoản cần phải thay đổi mật khẩu (đến thời hạn đổi mật khẩu, người quản trị chỉ định đổi mật khẩu) [1]
Central Policy Manager thực hiện sinh mật khẩu mới với độ phức tạp tuân theo chính sách mật khẩu được định nghĩa và lưu trữ trên Vault [1]
Central Policy Manager gửi lệnh đổi mật khẩu xuống thiết bị, bao gồm mật khẩu đang dùng và mật khẩu mới, sử dụng các công cụ chuẩn tương ứng với từng nền tảng để đổi mật khẩu Kết quả đổi mật khẩu và mật khẩu mới được Central Policy Manager gửi tới Vault Server để cập nhật [1]
2.2.1.3 Cổng truy cập web - Password Vault Web Access (PVWA)
Thành phần PVWA là giao diện web portal tập trung để yêu cầu, truy cập và quản lý các tài khoản đặc quyền, cũng như kết nối với các thiết bị được quản lý trong toàn doanh nghiệp, kể cả các người dùng đầu cuối và các người quản trị [1]
Người dùng đặc quyền, để truy cập vào hệ thống đích cần phải login vào giao diện portal của PVWA Trên giao diện portal, người dùng đặc quyền sẽ nhìn thấy các thiết bị/máy chủ mà mình được phép truy cập, tương ứng với giao thức truy cập được phép theo chính sách bảo mật/tuân thủ được định nghĩa trước [1]
PVWA cung cấp giao diện đơn giản, thuận tiện cho người sử dụng Ngoài ra người dùng có thể tìm kiếm các thông tin một cách dễ dàng và nhanh chóng thông qua công cụ tìm kiếm được thiết kế một cách hợp lý nhất Chức năng Accounts Page cung cấp cho các quản trị viên công cụ rất nhanh chóng trong việc hiển thị, tìm kiếm hay truy cập tới các tài khoản đặc quyền do mình quản lý [1]
PVWA không yêu cầu phải cài bất kỳ một plug-in nào trên máy của người sử dụng trong khi đa số các giải pháp khác đều chạy trên môi trường JAVA [1]
2.2.1.4 Quản lý phiên đặc quyền - Privileged Session Manager (PSM)
Hình 2 4: Module quản lý phiên đặc quyền
- Module này hoạt động như một proxy, có chức năng ghi lại toàn bộ thao tác của người quản trị khi đăng nhập vào thiết bị do PSM quản lý như: Window, Unix,Network Devices qua các giao thức RDP, SSH và Telnet ra file Video hoặc dưới dạng text và được lưu giữ trong Vault Server Một điểm nổi bật của module PSM là không yêu cầu cài đặt bất cứ một AGENT nào trên các target server (server, database, …) [1]
- Cho phép theo dõi trực tiếp (real-time monitoring) tất cả các thao tác của quản trị hệ qua video Auditor có thể ngắt các phiên làm việc trong trường hợp cần thiết.
- Cung cấp tính năng Single-Sign-On cho phép các quản trị hệ thống không cần phải nhớ các mật khẩu của các hệ thống do mình quản lý [1]
2.2.1.5 Phân tích mối đe dọa đặc quyền - Privilege Threat Analytics
Module này đảm nhận trách nhiệm thu thập và phân tích dữ liệu từ các thành phần mạng lưới để phát hiện và ngăn chặn các cuộc tấn công nhắm vào các tài khoản đặc quyền PTA cho phép người quản trị có khả năng:
- Phát hiện sự cố bảo mật bằng cách xác định các hoạt động người dùng đặc quyền bất thường, vì các tài khoản đặc quyền thường bị tổn hại nhất như là một phần của cuộc tấn công
- Giảm nhẹ các sự cố an ninh, tạo ra những hiểu biết có thể thực hiện để hỗ trợ giảm nhẹ các sự cố nhanh.
- Endpoint Protection - Bằng cách thu thập các bản ghi từ các thiết bị đầu cuối quan trọng trong Cơ sở hạ tầng Threat Analytics có thể cảnh báo về hành vi bất thường trên hệ thống cục bộ Ví dụ: đăng nhập qua tài khoản đặc quyền mà không được quản lý bởi Vault của CyberArk có thể cho biết tài khoản gián tiếp cố gắng vi phạm Intelligent Dashboard – PTA Dashboard cung cấp giao diện để dễ dàng giám sát, điều tra và phản hồi nhanh các mối đe dọa khi chúng được cảnh báo Một nhà điều hành có thể đi sâu vào chi tiết cảnh báo để xem thông tin về các sự kiện liên quan đến cảnh báo
- PTA và PSM cung cấp kiểm tra và hiểu biết thực tế thời gian thực về các rủi ro liên quan đến các phiên người dùng đang diễn ra và cung cấp xem xét các sự kiện cần sự chú ý Tier 1 trong bảng điều khiển PTA với kết nối trực tiếp đến các bản ghi
PSM Điều này sẽ cung cấp cho các nhóm bảo mật khả năng đáp ứng trong thời gian thực các phiên có nguy cơ cao bằng cách chấm dứt các phiên trực tuyến (terminate) và cho phép họ giám sát các máy chủ quan trọng hơn mà không tăng chi phí hoạt động [1]
Module quản lý khóa SSH - SSH Keys Manager
Hình 2 5: Module quản lý khóa SSH
- Module này có chức năng lưu trữ, quản lý tập trung và bảo mật cao các SSH Key trong máy chủ Vault.
- Kiểm soát việc truy cập các SSH Key của ứng dụng thông qua quyền sử dụng và chính sách.
Kết luận chương
Chương 2 đã giới thiệu về giải pháp quản lý truy cập quyền của nhà cung cấp CyberArk – một nhà cung cấp giải pháp tăng cường bảo mật hàng đầu thế giới. Trong chương 2 cũng nêu rõ các thành phần, chức năng, nguyên lý hoạt động của giải pháp và các tính năng của giải pháp giúp tăng cường khả năng đảm bảo an toàn, an ninh thông tin cho tổ chức, doanh nghiệp Từ đó giúp chúng ta hiểu sâu về giải pháp và khả năng tăng cường an toàn bảo mật cho doanh nghiệp.
XÂY DỰNG VÀ ĐÁNH GIÁ GIẢI PHÁP QUẢN LÝ TRUY CẬP ĐẶC QUYỀN CYBERARK
Mô hình triển khai thử nghiệm
Trong phần này, học viên xây dựng mô hình triển khai hệ thống CyberArk PAM cơ bản đầy đủ các tính năng cho một doanh nghiệp vừa và nhỏ (200 nhân sự, chỉ cần 1 site phục vụ việc sử dụng tại chỗ) Hệ thống được xây dựng trên 04 máy chủ: 01 máy chủ đóng vai trò Vault Server, 01 máy chủ cài đặt các module PSM + CPM + PVWA, 01 máy chủ cài đặt module PTA.
Sau khi xây dựng hệ thống, học viên thực hiện vận hành hệ thống trong việc quản lý và giám sát truy cập với kịch bản như sau: Người dùng yêu cầu tạo phiên kết nối đến các thiết bị đích thông qua CyberArk và phiên kết nối cần được yêu cầu duyệt bởi người ủy quyền cấp 1, thực hiện các thao tác cơ bản của một quản trị hệ thống và thử nghiệm các tính năng của hệ thống Từ đó đưa ra các đánh giá của giải pháp PAM CyberArk so với các hình thức truy cập truyền thống qua các tiêu chí như: hình thức kết nối, quản lý và thay đổi thông tin đăng nhập của tài khoản đặc quyền, ghi log truy cập, khả năng cho phép lưu lại video quá trình thao tác trong phiên, phát hiện, ngăn chặn mối nguy hại của người dùng khi sử dụng phiên.
3.1.2 Vận hành thử nghiệm hệ thống
Các bước tạo các Users có thể đăng nhập vào PVWA sử dụng hệ thống CyberArk:
Đăng nhập vào PrivateArk Client bằng tài khoản Administrator
Vào Tools > Administrative tools >Users and Groups
Hình 3 1: Tạo người dùng CyberArk
Nhập User Name, User type là EPVUser, sau đó sang tab Authentication
Chọn Authentication Method (phương thức xác thực) cho User, sau đó bấm OK: o Password: Xác thực bằng mật khẩu Khi chọn phương thức này, nhập thêm mật khẩu ban đầu ở bên dưới. o RADIUS: Xác thực qua OTP Authentication Server o LDAP: Xác thực qua LDAP (Active Directory, SunOne, )
Hình 3 2: Cấu hình thuộc tính người dùng
3.1.2.2 Tạo Safe và đưa thành viên vào trong Safe
Mỗi Safe là nơi lưu trữ các người dùng được cấp phép truy cập đến cùng một hệ thống.
Đăng nhập vào PVWA bằng tài khoản có quyền Add Safes
Hình 3 4: Giao diện quản lý Safe
Bấm vào Add Safe và chọn các thuộc tính trong Safe: o Enable Object Level Access Control: Phân quyền User sử dụng đến từng Account trong Safe o Save the last account versions: Số phiên bản mật khẩu trước đó mà người quản trị muốn lưu cho mỗi tài khoản. o Save account versions from the last days: số ngày mà phiên bản mật khẩu được lưu trong Safe.
Hình 3 5: Thuộc tính Safe Đưa thành viên vào trong Safe
Sau khi cấu hình thuộc tính Safe, tiến hành Add các thành viên sử dụng Safe: tìm kiếm User để đưa vào Safe và bấm Next.
Hình 3 6: Thêm thành viên vào Safe
Cấp quyền cho thành viên trong Safe và bấm Create để tạo Safe:
Hình 3 7: Đặt quyền cho thành viên của Safe
Access: o Xem danh sách Account có trong Safe. o Cho phép sử dụng Account trong Safe o Truy xuất và xem thông tin Account trong Safe.
Account Management: o Cho phép thêm Account vào Safe. o Cập nhật thuộc tính tài khoản hiện có Điều này không bao gồm thêm tài khoản mới hoặc cập nhật giá trị tài khoản. o Cho phép Thay đổi giá trị tài khoản cũng như nội dung của tệp. o Cho phép xóa các account trong Safe. o Mở khóa Account bị khóa bởi User khác
Safe Management and Monitoring: o Cho phép chỉnh sửa thuộc tính Safe. o Quản lý Safe Member. o Backup Safe.
Monitor: o View audit: Xem nhật ký sử dụng Account o View Safe Members: xem quyền của Safe member.
WorkFlow o Xác nhận yêu cầu sử dụng Account trong Safe. o Truy cập Account trong Safe mà không cần xác nhận từ người dùng được ủy quyền.
Advanced o Chuyển Account và thư mục trong Safe sang thư mục khác. o Tạo Folder trong Safe. o Xóa Folder trong Safe.
3.1.2.3 Tích hợp tài khoản đặc quyền vào hệ thống (Accounts)
- Các bước để tích hợp tài khoản đặc quyền (Accounts) vào hệ thống CyberArk:
Đăng nhập vào PVWA bằng Administrator
Loại hệ thống: Window, UNIX, Database,….
Hình 3 8: Chọn loại hệ thống
Chọn nền tảng kết nối: đối với mỗi loại hệ thống sẽ có nền tảng kết nối khác nhau: ví dụ: Window (Local Desktop Account, Domain Account, Local Server Account), UNIX (SSH),…
Hình 3 9: Chọn nền tảng kết nối
Store in Safe: lựa chọn lưu trong Safe nào.
Hình 3 10: Lựa chọn lưu trong Safe
Thuộc tính Account: ở đây sẽ bao gồm các thông tin về tài khoản đặc quyền để truy cập vào thiết bị (địa chỉ IP, Username/Password, DB name,
Hình 3 11: Thông tin tài khoản đặc quyền
- Bấm Add để lưu tài khoản đặc quyền vào hệ thống.
3.1.2.4 Tạo phiên và mở kết nối thông qua CyberArk
Trong kịch bản này, người sử dụng cần request phiên ở mức Level 1 (request sử dụng phiên cần được xác nhận bởi người dùng được ủy quyền trong Safe ở mức 1).
- Người sử dụng tạo yêu cầu sử dụng Account trong Safe tương ứng: đăng nhập PVWA và bấm vào Account cần request kết nối. Đăng nhập PVWA:
Hình 3 12: Giao diện truy cập PVWA
Sau khi đăng nhập thành công, ở màn hình chính sẽ hiển thị thông tinAccount mà người sử dụng được cấp quyền, người sử dụng chọn tài khoản đặc quyền muốn sử dụng truy cập, bấm Request Connection:
Hình 3 13: Giao diện truy cập tài khoản đặc quyền
Sau khi bấm chọn Account muốn truy cập, người sử dụng bấm Connect để tạo request phiên sử dụng, trong yêu cầu Request sẽ có các thông tin như sau để người sử dụng có thể chọn, sau khi điền các thông tin bấm OK, request sẽ được gửi đến người dùng ủy quyền cấp 1 hoặc Administrator để phê duyệt:
Lý do sử dụng phiên.
Thời gian sử dụng phiên.
Cho phép mở nhiều phiên đăng nhập (có thể tích chọn hoặc không).
Hình 3 14: Tạo yêu cầu sử dụng phiên Để phê duyệt phiên kết nối, người dùng được ủy quyền cấp 1 hoặcAdministrator truy cập PVWA, chọn tab Account và chọn mục Incoming request sẽ hiển thị các request truy cập phiên hiện có cần được phê duyệt, chọn phiên cần phê duyệt sẽ hiển thị các thông tin để người phê duyệt có thể kiểm tra:
Hình 3 15: Cấp phép truy cập phiên
Sau khi được người dùng ủy quyền phê duyệt kết nối truy cập, lúc này người tạo yêu cầu có thể truy cập phiên bằng cách đăng nhập PVWA, chọn Account cần truy cập và bấm connect, phiên kết nối thông qua PSM sẽ được tải xuống, người dùng thực hiện mở phiên và truy cập vào tài nguyên được cấp:
Hình 3 16: Giao diện SSH thông qua CyberArk
Hình 3 17: Giao diện RDP thông qua CyberArk
3.1.2.5 Tính năng phát hiện và ngăn chặn mối nguy hại
Module PTA của CyberArk cho phép thu thập dữ liệu từ các phiên để phân tích các hành động, thao tác của người sử dụng để từ đó đưa ra các cảnh báo và hành động đối với phiên, người quản trị có thể cấu hình các chính sách tùy theo tổ chức, doanh nghiệp để đảm bảo an toàn cho hệ thống Ở đây học viên đã tạo chính sách trên PTA thực hiện chặn các thao tác người dùng khi nâng quyền tài khoản sử dụng trên máy chủ Linux thông qua SSH bằng câu lệnh “su root” Khi PTA nhận được thông tin người dùng gõ lệnh “su root” thì ngay lập tức sẽ ngắt phiên và gửi cảnh báo về cho quản trị để nắm thông tin.
Hình 3 18: Chính sách khai báo trên PTA ngăn chặn các mối nguy hại
Hình 3 19: Cảnh báo PTA khi người sử dụng gõ lệnh “su root”
Đánh giá kết quả thu được
Sau khi thử nghiệm vận hành hệ thống, học viên thực hiện đánh giá giải pháp trong việc quản lý và giám sát truy cập từ người dùng tới các máy chủ đích được tích hợp thông qua các tài khoản đặc quyền
Quản lý các phiên truy cập đặc quyền
Khi người dùng yêu cầu sử dụng các tài khoản truy cập đặc quyền để truy cập vào các hệ thống đích, người dùng bắt buộc phải truy cập PVWA để thao tác tạo request truy cập tài nguyên theo ý muốn.
Khi các người dùng tạo các request truy cập hệ thống, người quản trị có thể xem các request này trên PVWA và có thực hiện phê duyệt truy cập hay không. Việc này đảm bảo rằng người quản trị có thể xem xét các truy cập nào là cần thiết và tài nguyên truy cập có thuộc quyền quản lý của người sử dụng đó không.
Hình 3 20: Thông tin phiên truy cập người dùng yêu cầu Giám sát các phiên truy cập đặc quyền
Khi người sử dụng thao tác sử dụng phiên, học viên sử dụng phần mềm Wireshark để capture lại bản tin tương tác giữa người sử dụng và máy chủ PSM (như hình 3.19, IP máy trạm người dùng 10.0.1.13, IP máy chủ PSM 10.0.1.102), sau khi phân tích bản tin thì các trường thông tin Data đều được mã hóa, nên nếu xảy ra việc có hacker đứng ở giữa sử dụng các cách tấn công nghe lén thì đều không thể giải mã được dữ liệu giữa người dùng và hệ thống đích.
Hình 3 21: Bản tin trao đổi giữa người dùng truy cập hệ thống thông qua PSM
Hình 3 22: Bản tin Wireshark cho biết thông tin đã bị mã hóa Để phục vụ công tác giám sát và hậu kiểm các thao tác của người dùng khi sử dụng CyberArk, CyberArk cung cấp 2 hình thức để người quản trị có thể xem thông tin về các phiên truy cập đặc quyền:
Giám sát và kiểm tra trên PVWA: người dùng đăng nhập bằng Account Auditor hoặc Administrator, vào mục Monitoring:
Hình 3 23: Giao diện giám sát các thao tác gõ lệnh trong phiên
Hình 3 24: Giao diện giám sát thao tác người sử dụng phiên
- Tìm kiếm các bản ghi được lưu trong Vault: Các phiên truy cập thông quaPSM sẽ được CyberArk ghi lại và lưu trữ tại Vault, người quản trị có thể xem lại các bản ghi dạng text hoặc Video của các phiên truy cập trong PrivateArk hoặc trong Folder lưu các bản ghi Tuy nhiên các bản ghi lưu trong thư mục sẽ được mã hóa và có thể giải mã thông qua Key của CyberArk: server key để mã hóa lần 1,AES-256 để mã hóa lần 2 và RSA-2048 để mã hóa lần 3 Việc mã hóa dữ liệu bản ghi trong Vault đảm bảo việc nếu có kẻ tấn công cố tình truyền dữ liệu ra ngoài cũng không thể giải mã được dữ liệu phục vụ công tác tấn công hoặc trục lợi.
Hình 3 25: Các bản ghi giám sát phiên lưu trữ tại Vault
Hình 3 26: Bản ghi nhật ký phiên tại ổ đĩa thư mục của Vault được mã hóa để đảm bảo an toàn
Khi các phiên kết nối tới các hệ thống bằng tài khoản đặc quyền thông quaCyberArk, CyberArk cho phép tổ chức bảo mật, điều khiển và giám sát các phiên truy cập đặc quyền của người quản trị vào hệ thống thiết bị Các thông tin về phiên truy cập được nén và lưu trữ an toàn trên Vault.
CyberArk PAM Truy cập truyền thống
Hình thức kết nối Mở phiên kết nối thông qua PSM.
Kết nối trực tiếp tới hệ thống thông qua các giao thức SSH, RDP,
Quản lý và thay đổi thông tin đăng nhập của tài khoản đặc quyền
Quản lý và lưu trữ tập trung, cho phép thay đổi, cập nhật mật khẩu định kỳ thường xuyên.
Quản lý và lưu trữ phân tán Các mật khẩu có thể không được cập nhật thay đổi định kỳ và theo chính sách quy định.
Các phiên truy cập được ghi lại log và lưu trữ bảo mật tại Vault (SSH, SQL, Oracle, …)
Mặc định ghi lại bằng tính năng của OS, ứng dụng.
Cho phép lưu lại video quá trình thao tác trong phiên
Các phiên truy cập được ghi lại video và lưu trữ bảo mật tại Vault (SSH, SQL, Oracle, …)
Phải thực hiện thông qua phần mềm bên thứ 3.
Phát hiện, ngăn chặn mối nguy hại
Cho phép người quản trị phát hiện và ngăn chặn hành vi thao tác nguy hại đối với các thiết bị theo mong muốn hoặc khuyến nghị.
Hỗ trợ thông qua các phần mềm Antivirus.
Bảng 3 1: So sánh kết nối thông qua CyberArk và kết nối truyền thống
Qua mô hình triển khai các kết quả thu được ta có thể nhận thấy được lợi ích từ việc truy cập các tài khoản đặc quyền thông qua hệ thống quản lý tài khoản đặc quyền CyberArk như sau:
- Tài khoản đặc quyền của các hệ thống dịch vụ được bảo mật tốt hơn: mật khẩu được tự động thay đổi theo chính sách quy định -> trở thành mật khẩu động.
- Các người sử dụng, vận hành hệ thống được phân quyền cho từng nhóm thiết bị mình quản lý, mọi hoạt động truy cập tác động đều được kiểm soát.
- Có thể giám sát (online và offline) mọi hoạt động của đối tác khi người sử dụng phiên làm việc với thiết bị quan trọng, mọi hoạt động sẽ bị ghi lại dưới dạng file video và được lưu lại một cách bảo mật trong hệ thống Việc giám sát được cấp quyền cho account auditor hoặc Administrator của hệ thống CyberArk.
- Thu thập các thông tin hành vi trong các phiên đặc quyền và cảnh báo cho quản trị viên về các mối nguy hại Bên cạnh đó người quản trị cũng có thể chủ động định nghĩa các hành động gây nguy hại đối với máy chủ bằng cách tạo ra các luật trên và hành động tương ứng trên PTA để phát hiện, giám sát và ngăn chặn kịp thời.
Mặc dù giải pháp giám sát truy cập đặc quyền CyberArk có nhiều ưu điểm, tuy nhiên giải pháp cũng có nhiều nhược điểm khó khăn cho các tổ chức, doanh nghiệp trong việc tiếp cận như:
Triển khai và triển khai: Việc triển khai và triển khai một giải pháp PAM toàn diện như CyberArk có thể phức tạp và tốn thời gian, đòi hỏi chuyên môn và nguồn lực chuyên biệt.
Chi phí: Các giải pháp CyberArk có thể tốn kém, gây khó khăn cho các tổ chức nhỏ hơn hoặc những tổ chức có ngân sách hạn chế để triển khai.
Kết luận chương
Trong chương cuối của đề án, học viên đã nghiên cứu xây dựng mô hình và triển khai và thử nghiệm hệ thống PAM của CyberArk, thực hiện vận hành thử nghiệm hệ thống và kiểm tra đánh giá các kết quả đạt được qua việc kết nối đến các hệ thống đích thông qua CyberArk Từ đó đưa ra được các lợi ích và các hạn chế của giải pháp trong khi triển khai tại tổ chức, doanh nghiệp.
