W trakcie konferencji Advanced Threat Summit 2018 miałem okazję prowadzić roundtable na temat Polityka zarządzania hasłami i dostępami, różne podejścia i ryzyka. Na dyskusję zaplanowane były następujące zagadnienia:
- Czy warto mieć restrykcyjną politykę haseł oraz politykę dostępów?
- Jak w praktyce szacować ryzyka związane z polityką haseł i polityką dostępów?
- Jakie można zastosować wskaźniki ryzyka (KRI) oraz metody udokumentowania wyników?
Dyskusja okazała się być na tyle ożywiona, że nie zdążyliśmy dokładnie omówić wszystkich kwestii, w zasadzie dogłębnie poruszyliśmy jedynie pierwsze zagadnienie. Poniżej przedstawiam najważniejsze wnioski z dyskusji oraz tezy jakie przygotowałem przed rozpoczęciem dyskusji.
Czy warto mieć restrykcyjną politykę haseł oraz politykę dostępów?
Dyskusję rozpoczęliśmy od kwestii sposobów ograniczenia stosowania hasła lub co najmniej ograniczenia ryzyka związanego z wykorzystywaniem przez użytkowników tego samego hasła wielokrotnie oraz zapisywanie hasła w pobliżu miejsca pracy. Wartościowym sposobem ograniczenia tego ryzyka jest:
- wprowadzenie dwuskładnikowego uwierzytelniania
- wprowadzenie haseł jednorazowych w sytuacji, gdy użytkownik zapomni karty lub tokenu (jeżeli jest stosowany).
W tym zakresie padło również stwierdzenie, że możliwe jest wykazanie ekonomicznych podstaw takiego podejścia (w tym zysków z wdrożenia).
Zastanawialiśmy się także, jakie są sposoby skutecznego wdrożenia polityki ochrony haseł (tj. np. jak zapewnić, że użytkownicy nie trzymają hasła na żółtej karteczce pod klawiaturą). Proponowane pomysły w tym zakresie obejmowały:
- audyty wewnętrzne, w szczególności weryfikację spełnienia zabezpieczenia „czystego biurka”
- działania uświadamiające / szeroko rozumiany awareness
- wprowadzenie restrykcji za złamanie zasad – np. w przypadku znalezienia niezabezpieczonego hasła – użytkownik musi przejść ponownie cały zestaw szkoleń z bezpieczeństwa (np. e-learning)
Kolejnym obszarem rozmowy były kwestie podejścia do zarządzania dostępami, szczególnie w systemach, które oferują bardzo granularne zarządzanie uprawnieniami. Kluczową kwestią w tym zakresie jest:
- konieczność określenia ról (biznesowych)
- określenie schematów uprawnień
Koniecznym elementem poprawnego funkcjonowania polityki dostępów jest wprowadzenie procesu okresowego przeglądu (certyfikacji) uprawnień.
Techniczne rozwiązania wdrożenia polityki dostępu obejmują wykorzystanie narzędzi klasy:
- IAM/IDM – do zarządzania dostępami dla użytkowników
- PIM/PAM – do zarządzania dostępami uprzywilejowanymi
Podsumowując ZA i PRZECIW restrykcyjnej polityki haseł i dostępów:
ZA:
- Łatwiej spełnić wymogi formalne (np. w przypadku audytów)
- Prostsze dyskusje z użytkownikami/pracownikami (tak mówi polityka)
- Łatwiejszy forensic (wiemy jakie dowody będą uprawnione)
PRZECIW
- Trudniej zapewnić zgodność/compliance (wdrożenie do stosowania skomplikowanych polityk dostępu jest pracochłonne)
- Trudniej przejść audyty (im bardziej szczegółowe wymogi tym łatwiej znaleźć błąd)
Wprowadzenie restrykcyjnej polityki haseł oraz polityki dostępów zależy od celu zastosowania polityki, która powinna być dostosowana do sposobów postępowania z informacjami odpowiednio sklasyfikowanymi.
Jak w praktyce szacować ryzyka związane z polityką haseł i polityką dostępów?
W zakresie tego zagadnienia powstało podstawowe pytanie – czy w praktyce są już organizacje, które odważyły się przeprowadzić analizę ryzyka i zmienić polityki haseł w taki sposób, by nie spełniały minimalnych wymogów określonych w Ustawie o ochronie danych osobowych obowiązującej przed RODO. Żaden z uczestników dyskusji nie potwierdził przeprowadzenia takich zmian.
Jednym z możliwych sposobów podejścia do analizy ryzyka haseł jest wpis Szacowanie ryzyka okresu ważności hasła.
Jakie można zastosować wskaźniki ryzyka (KRI) oraz metody udokumentowania wyników?
Zagadnienie nie było omówione podczas sesji roundtable, moją propozycją są KRI określone we wpisie Szacowanie ryzyka okresu ważności hasła.
- Liczba zablokowanych kont przez przekroczenie ilości prób z błędnym hasłem.
- Próg alarmowy – więcej niż 3 konta na tydzień.
- Częste blokowanie konta określonego użytkownika przez przekroczenie ilości prób z błędnym hasłem.
- Próg alarmowy – 2 lub więcej zablokowań na miesiąc.
- Incydenty bezpieczeństwa polegające na kompromitacji hasła (utracie poufności np. poprzez podejrzenie hasła wpisywanego przez użytkownika).
- Próg alarmowy – każde wystąpienie incydentu.