Como as contas privilegiadas devem ser protegidas no Linux e no Windows?

4

Recentemente, comecei a trabalhar na segurança de aplicativos em uma empresa de médio porte, com uma transição de mais de cinco anos em consultoria de segurança (pentesting etc.). Um dos maiores desafios que vejo aqui desde o início é que os scanners de segurança e outras ferramentas usam o acesso root / Administrator, já que é isso que os fornecedores disseram a eles para usar, provavelmente devido à facilidade de configuração. Eu realmente não gosto dessa ideia. Por exemplo, o Nexpose e o Nessus são configurados para usar root e administrador.

Minha pergunta - Quais são as melhores práticas em termos de controle de acesso a essas contas privilegiadas? Meu pensamento inicial é ter um tipo de sistema de cofre de senha, que conhece apenas as senhas para o sistema. Então, um usuário pode "fazer check-out" da senha root / Administrator conforme necessário "Para o Nessus em particular, apenas alguns comandos são executados como root, então eu acho que faria sentido apenas criar um usuário padrão, e adicioná-lo ao sudoers enquanto permite apenas esses comandos específicos.

Obrigado!

    
por appsecguy 08.07.2014 / 17:19

2 respostas

1

Se você procura um grupo centralizado ou um gerente de usuários, há muitos aplicativos comerciais disponíveis para isso.

Em suas caixas de linux, desabilite o login como root e faça os usuários logarem como eles mesmos. Se a caixa autenticar para o LDAP ou AD, você terá um registro de tais transações. Você ainda precisará conceder a esse usuário direitos específicos na caixa. Usar o sudo uma vez logado na caixa também facilita a auditoria e o rastreamento.

Não saber como sua empresa é estruturada e dividida dificulta a resposta da pergunta. Segurança, administradores de servidores, gerentes de aplicativos são divisões separadas onde estou empregado. Os gerentes de aplicativos não têm direitos de administrador para executar essas ferramentas, apenas os administradores de servidores. Administradores de servidores, embora possam adicionar / remover / excluir contas locais em uma caixa, não podem alterar o AD / LDAP. A segurança audita todos os servidores para obter quais contas locais estão em uma caixa específica e precisa que as pessoas justifiquem seu uso.

O uso de um login de usuário genérico pode deixar seu sistema aberto sem nenhuma maneira de determinar quem causou o problema. É melhor bloquear tudo e dar acesso conforme necessário, então, supor que as pessoas serão honestas e que novas coisas vão estragar tudo. É mais trabalho para você, mas permitirá que você durma melhor à noite. Mais importante, você nunca viveu até descobrir que um de seus servidores foi comprometido e o CIO quer saber o motivo.

    
por 08.07.2014 / 18:18
1

No site do meu empregador atual, uma das muitas medidas de segurança em vigor são as contas de quebra de vidro que só podem ser acessadas usando um monitor de sessão privilegiada que registra toda a atividade.

Para sistemas específicos, o gerenciamento de senhas de todas as contas privilegiadas é entregue a um aplicativo de senha externo e até mesmo os administradores não conhecem as senhas root / Administrator / DB-owner etc.

Nos casos em que as RBACs claramente definidas são insuficientes e root / Administrator / etc. o acesso é necessário, o administrador solicita acesso, após a aprovação pela equipe de operações de segurança (princípio de quatro olhos, trilha de auditoria com alteração / número de incidente) e através do cofre de senhas um SSH ou RDP é iniciado com as credenciais corretas do cofre. O administrador não recebe uma cópia em texto simples da senha armazenada no cofre. A sessão SSH ou RDP pode ser monitorada e gravada para a trilha de auditoria desejada. Após a sessão ser encerrada, o aplicativo do cofre irá alterar a senha novamente.

É claro que a segurança real de tais procedimentos depende, em grande parte, da consciência de qualidade e segurança de seu gerenciamento de configuração, monitoramento de eventos e maturidade geral de sua equipe de operações.

O risco que você corre (na verdade, a realidade) é que a resolução de incidentes e até mesmo o trabalho agendado levará muito mais tempo, mas pelo menos você terá uma excelente trilha de auditoria do motivo!

    
por 08.07.2014 / 19:45