man using smartphone while walking 1080_608

 

 

 

AD security groups - mikä sotku?

 

"Monissa organisaatioissa Active Directory ei ole ajan tasalla. AD:n siivoamista ei kuitenkaan kannata sysätä to do -listan hännille, sillä epäjärjestyksessä olevassa AD:ssa piilee merkittävä tietoturvariski."

Artikkelissa käydään ensin läpi AD:n ylläpitoon liittyviä ongelmia ja minkälaisia riskejä ylimitoitetut käyttäjäoikeudet aiheuttavat.Lopuksi pohditaan identiteetinhallinnan (IdM) ja AD:n raporttien toimivuutta AD:n siivousprojektissa, ja esitellään Identity Intelligence* -palvelun hyödyt.

 

Ongelma – miksi AD:n sisältö ei pysy ajan tasalla?

 

Active Directory (AD) on useimmalle organisaatiolle elintärkeä käyttäjä- ja käyttöoikeus-tietovarasto:

  • Ilman AD:ta yksikään käyttäjä ei voi kirjautua sisään organisaation lähiverkkoon tai käyttää siihen liitettyjä palveluita.

  • Monet liiketoimintasovellukset ovat integroitu hyödyntämään AD:n federoimia identiteettejä sisäänkirjautumisissa ja käyttöoikeuksien tarkistuksissa.

Käytännössä AD:n tietosisältö on kuitenkin tuskin koskaan ajan tasalla. Tyypillisiä puutteita on muunmuassa:

  • AD:n rakennetta on osittain muutettu ajan kuluessa, jonka takia AD:n tiedot ovat epäyhtenäisessä hakemistorakenteessa.

  • AD:n tiedoista puuttuvat hallinnan kannalta tärkeät attribuutit, esim. security group:ien managerit.

  • AD:ssa olevia vanhentuneita tietoja ei osata tunnistaa poistamista varten.

  • AD:ssa on samoja työtehtäviä tekevillä käyttäjillä hyvinkin erilaiset käyttöoikeudet, eikä näitä poikkeamia osata tunnistaa käyttöoikeuksien yhdenmukaistamista varten.

     

Edellä kuvattuihin ongelmiin törmää harvoin liiketoiminta-sovelluksissa. Syy tähän on erot AD:n ja liiketoimintasovellusten hallintatavoissa:

  • AD:n tietosisältöä ylläpidetään adminien toimesta organisaation esittämien palvelupyyntöjen (tiketit) perusteella.

  • Liiketoimintasovellusten käyttö on hajautettu käyttäjille, ja tietosisällön ylläpitoa ohjataan suunniteltujen prosessien mukaisesti.

 

" organisaatiot ovat ikävällä tavalla tottuneet elämään AD:n epäkurantin tietosisällön kanssa"

 

Joku voisi ajatella, että kunhan käyttäjät voivat kirjautua sisään ja käyttää sovelluksia, niin tilanne ei ole kriittinen. Näin AD:n “siivoaminen” ja hakemistorakenteen uusiminen siirtyy taas seuraavalle vuodelle, ja jää usein roikkumaan to do -listan hännille.

 

Riski – mitä ylimitoitetut käyttäjäoikeudet tarkoittavat turvallisuuden kannalta?

 

Julkisuudessa paljon olleet O365-käyttäjätilien (=AD) kaappaukset ja EU:n tietosuoja-asetus (josta en halua tässä yhteydessä sanoa sen enempää) ovat kasvattaneet AD:n tietosisällön puutteista aiheutuvia riskejä.

Käyttäjille saattaa vuosien saatossa ja alati muuttuvien tehtävien takia kertyä "liian paljon" AD security group -jäsenyyksiä. Nämä samat ylimitoitetut käyttöoikeudet ovat myös mahdollisen hyökkääjän käytettävissä. Myös viime aikoina vähemmälle huomiolle jääneet kryptolockerit hyödyntävät kaapatun AD-tunnuksen käyttöoikeuksia.

 

Ratkaisu – identiteetinhallintaa uusin välinein

 

Identiteetinhallinta (IdM) on pysyvä ratkaisu AD:n ajantasaistamiseen. Apua saadaan myös AD-raportointityökaluista.

  • IdM:n avulla voidaan AD:n tietosisällön ylläpitoon luoda samankaltaiset liiketoimintalähtöiset prosessit kuin mihin tahansa liiketoimintasovellukseen.
  • AD raportointityökalujen avulla voimme tarkastella kunkin AD security groupin jäseniä, mutta jäsenyys itse ei kuitenkaan kerro, onko se perusteltu vai ei. Pelkkä jäsenyys ei myöskään kerro, poikkeaako tietyn käyttäjän käyttöoikeus muista, vastaavankaltaisten käyttäjien, oikeuksista.

Molemmilla lähestymistavoilla on kuitenkin omat puuttensa, joiden vuoksi AD:n perinpohjainen siivoaminen jää edelleen roikkumaan to do -listalle.

  • IdM:n on vaikea tunnistaa jo olemassa olevien, perittyjen käyttöoikeuksien oikeellisuutta. Monesti IdM:n käyttöönottoa myös siirretään eteenpäin AD:ssa olevien ongelmien takia.

  • AD-raportointityökalujen avulla voidaan tarkastella AD:n tietosisältöä satojen erilaisten valmisraporttien avulla. Puute näissä kaikissa raportoissa on kuitenkin se, etteivät ne osaa yhdistää AD:ssa olevia käyttöoikeuksia muiden järjestelmien tietoihin.

Identity Intelligence -palvelu tarjoaa helppokäyttöisen ratkaisun AD:n tietosisällön ongelmiin.

 

Identity Intelligence -palvelu

 

Identity Intelligence palvelu yhdistää AD:ssa olevat käyttäjät ja käyttöoikeudet muihin tietolähteisiin. Näitä muita tietolähteitä on esimerkiksi HR, CRM ja ERP, joissa on käyttäjiin ja näiden työtehtäviin liittyviä attribuutteja.

  • HR:n esihenkilötieto kuvaa käyttäjän asemaa organisaatiorakenteessa.

  • HR:n toimenkuva, titteli, kustannuspaikka, toimipaikka ja muut vastaavat tiedot tarkentavat henkilön työtehtäviä ja tarpeita käyttöoikeuksille.

  • ERP, ServiceNow ja muut toiminnanohjaukseen liittyvät järjestelmät voivat antaa hyvinkin yksityiskohtaista tietoa työntekijän osallistumisesta tuotantoon, toimituksiin ja niin edelleen.

  • CRM voi kertoa työntekijän osallistumista asiakasrajapinnassa tehtävään työhön.


Yhdessä nämä kaikki eri liiketoimintajärjestelmät tarjoavat metatietoja, joiden avulla työntekijöitä voidaan ryhmitellä liiketoimintalähtöisesti ja luoda erisuuruisia homogeenisiä käyttäjäryhmiä. Nämä referenssi-ryhmät ovat perusta AD:ssa olevien tietojen auditoinnille.

 

Business Intelligence excel kuva ps

 

Yllä olevassa esimerkissä tarkastellaan tietyn homogeenisen henkilöstöryhmän käyttöoikeuksia. Tässä R&D-henkilöstöryhmässä on yhteensä 23 työntekijää, joista:

  • 100 prosentilla on käyttöoikeudet kolmeen ensimmäiseen AD security groupiin

  • 70 prosentilla on käyttöoikeus neljänteen AD security groupiin

  • 13 prosentilla on käyttöoikeus viimeiseen AD security groupiin

Raportin vihreä-, keltainen- ja punainen-luokituksia voidaan hyödyntää esimerkiksi seuraavasti:

VIHREÄ:

Tulisiko nämä käyttöoikeudet vakioida työrooliin kuuluviksi niin, että jokainen tähän henkilöstöryhmään tuleva uusi jäsen saisi nämä käyttöoikeudet automaattisesti, ja vastaavasti henkilöstöryhmästä poistuva jäsen menettäisi ne?

KELTAINEN:

Tietyillä työntekijöillä on käyttöoikeuksia, joita tämän homogeenisen henkilöstöryhmän kaikilla jäsenillä ei ole.

  • Tuleeko käyttöoikeus poistaa näiltä 70 prosentilta, vai onko olemassa muita työntekijä-attribuutteja kuin kustannuspaikka, funktio ja titteli, jotka voisivat antaa perustelut näiden 70 prosentin käyttöoikeuksille.

  • Uusien HR-attribuuttien ja uusien metatieto-lähteiden avulla saatetaan R&D-henkilöstöryhmä pilkkoa pienemmiksi homogeenisiksi ryhmiksi.

PUNAINEN:

Joillakin työntekijöillä on käyttöoikeuksia, joita suurimmalla osalla samoja työtehtäviä tekevillä muilla käyttäjillä ei ole. Ovatko nämä käyttöoikeudet jäänteitä aikaisemmista työtehtävistä, jolloin ne voitaneen poistaa?

 

No alt text provided for this image

 

Yllä olevassa kuvassa on edellisen auditoinnin jälkeen poistettu punaisella merkityt poikkeavat käyttöoikeudet ja lisätty uusi työntekijä-attribuutti (ERP Projects), jonka jälkeen kaikilla käyttöoikeuksilla on hyväksytty, läpinäkyvä, työtehtäviin liittyvä peruste.


Pulsen Identity Intelligence on palvelu, joka:

  1. Luo puuttuvan 'audit trailin' työntekijöiden ja näiden käyttöoikeuksien välille

  2. Tuo esille käyttöoikeuksien poikkeamat vakioiduista työrooleista

  3. On helppo ottaa käyttöön, ja jota voidaan laajentaa ajan kanssa

  4. Tarjoaa konkreettista hyötyä hyvin nopeasti

  5. On tärkeä osa organisaation 'compliance'-työtä ja -näyttöä

No alt text provided for this image

*The ability to relate information from different target and authoritative sources. Data about users and user accounts are collected from different sources, using different standards, different structures and different technologies. [wiki]