Skip to main content

Gestionarea permisiunilor

Software-ul EPM/PEDM (Endpoint Privilege Management / Privilege Elevation and Delegation Management) reprezintă soluții care combină două elemente – controlul aplicațiilor care rulează și gestionarea permisiunilor conturilor utilizatorilor la nivel de sistem de operare. Combinarea celor două funcții permite implementarea mecanismelor care permit rularea doar a aplicațiilor de încredere pe calculatoarele angajaților, limitând în același timp permisiunile contului de utilizator la un minim necesar. Cu ajutorul sistemelor de gestionare a permisiunilor (Sisteme EPM/PEDM), se poate elimina în mod simplu necesitatea de a utiliza conturi privilegiate – de exemplu, conturi locale cu permisiuni de administrator – afectând în același timp minim performanța angajaților și „percepția” lor în timpul lucrului cu sistemul de operare.

Asigurarea securității și protecției echipamentelor informatice este unul dintre aspectele-cheie ale gestionării resurselor IT, iar sistemele de clasă EPM reprezintă unul dintre pilonii acestei securități și constituie tehnologia de bază în implementarea politicii de privilegii minime pentru utilizatorii finali.

  • Implementarea sistemelor EPM se bazează pe modele sau asistenți care facilitează crearea unor politici de securitate corecte, simplificând și accelerând procesul de implementare.
  • Se recomandă implementarea unei politici de privilegii minime pentru toate tipurile de utilizatori, dar în practică, se acordă o atenție deosebită grupurilor de utilizatori avansați (programatori, contractori, administratori), în cazul cărora revocarea permisiunilor de administrator fără a utiliza un sistem EPM le-ar împiedica să îndeplinească sarcinile zilnice.
  • Funcția de ridicare (elevare) selectivă a permisiunilor – per aplicație – este extrem de importantă. Utilizatorul, folosind un cont cu permisiuni de utilizator standard, poate rula programele specificate ca și cum ar face parte din grupul administratorilor.
  • Sistemele EPM pot opri rularea software-ului periculos, cum ar fi ransomware și malware (reducerea suprafeței de atac prin acordarea permisiunilor ridicate doar pentru aplicații, scripturi, sarcini sau comenzi aprobate care au nevoie efectiv de ele).
  • Soluțiile EPM permit controlul asupra aplicațiilor lansate de utilizatori prin blocarea programelor specificate, inclusiv cele care funcționează fără a necesita permisiuni de cont ridicate.
  • Sistemele EPM sunt echipate cu module de raportare, prin intermediul cărora departamentul de securitate poate obține informații detaliate despre toate aplicațiile necunoscute / neaprobate rulate de utilizatori.

Minimizarea riscului legat de vulnerabilități

Conform datelor din raportul „Malware Threat Report 2021” privind securitatea sistemelor Microsoft, vulnerabilitățile nepatch-uite reprezintă aproximativ 30% din toate încălcările de securitate în IT. Creșterea numărului de vulnerabilități în cazul produselor Microsoft între anii 2019 și 2020 este de 48%, unde în 2019 au fost înregistrate 858 de vulnerabilități, iar în 2020, 1268. În cazul vulnerabilităților critice, în 2020, 56% dintre acestea ar fi fost inofensive dacă permisiunile de administrator ar fi fost eliminate. În cazul sistemului Windows 10, din toate breșele de securitate identificate în 2020, 132 au fost considerate critice, iar revocarea drepturilor de administrator ar fi făcut imposibilă exploatarea a 70% dintre aceste vulnerabilități.

O mare parte a amenințărilor poate fi ușor atenuată prin eliminarea permisiunilor de administrator pe dispozitivele finale, ceea ce este o recomandare comună a experților din industrie.

Strategia privilegiilor minime

Sistemele de gestionare a permisiunilor (sistemele EPM/PEDM) sunt strâns legate de unul dintre principiile de bază ale securității în IT, și anume politica de privilegii minime (least privilege). Deținerea drepturilor de administrator local înseamnă că utilizatorul are permisiunea de a efectua practic toate funcțiile în sistemul de operare pe computer. Aceste permisiuni pot include sarcini precum instalarea de software și drivere de echipament, modificarea setărilor sistemului. De asemenea, pot crea conturi de utilizator și pot modifica parolele tuturor conturilor. Uneori, se acordă permisiuni de administrator local pentru a reduce cererea de asistență IT, în același timp, expunându-se la un risc ridicat de încălcări ale securității.

O abordare comună în gestionarea conturilor de utilizator privilegiate este modelul de privilegii minime, care presupune acordarea utilizatorilor și programelor a celei mai mici cantități de permisiuni necesare pentru a efectua sarcini specifice. Politica de privilegii minime funcționează cel mai eficient în combinație cu conceptul de listare albă a aplicațiilor. Lista albă este practica de a defini aplicațiile aprobate care pot fi instalate și rulate în sistemul de operare. Scopul listării albe a programelor este de a proteja calculatoarele și rețelele de aplicații potențial dăunătoare.

Sistemele eficiente EPM/PEDM, utilizând reguli generale bazate pe criterii ușor de definit, pot opri automat rularea aplicațiilor neaprobate și, astfel, pot reduce semnificativ riscul asociat cu rularea programelor și aplicațiilor care nu sunt conforme cu standardele de securitate din organizație.