Silverfort. Το μέλλον της προνομιακής πρόσβασης είναι απελευθερωμένο από «θησαυροφυλάκια» (vaults)

Η πρόσφατη ανακοίνωση της εξαγοράς της CyberArk από την Palo Alto Networks, μίας ιστορικής συμφωνίας αξίας περίπου 25 δισεκατομμυρίων δολαρίων, συγκλόνισε τον κλάδο της κυβερνοασφάλειας. Πέρα από την οικονομική κλίμακα της συναλλαγής, η συγκεκριμένη εξαγορά σηματοδοτεί και μια αλλαγή στον τρόπο με τον οποίο ο κλάδος αντιμετωπίζει την ασφάλεια ταυτότητας. Η πρόσφατη εξαγορά ουσιαστικά επιβεβαίωσε αυτό που η Silverfort έχει επισημάνει κατά καιρούς: η ταυτότητα είναι η πρώτη και η τελευταία γραμμή άμυνας και απαιτεί το δικό της εξειδικευμένο επίπεδο ασφάλειας. Όπως έχουμε δει και σε άλλους τομείς, όπως στην ασφάλεια τερματικών συσκευών (endpoint security) και στην ασφάλεια νέφους (cloud security), η προστασία των ταυτοτήτων απαιτεί μια πλατφόρμα απ’ άκρη-σε-άκρη (end-to-end) που να προσφέρει ενοποιημένη ορατότητα, έξυπνη πληροφόρηση και αναλυτικά στοιχεία και πραγματικού χρόνου επί τόπου προστασία (ενσωματωμένη).

Η CyberArk, που εδραιώθηκε στον τομέα της διαχείρισης της προνομιακής πρόσβασης (PAM) προχώρησε στην επέκταση των δυνατοτήτων προστασίας της ταυτότητας για να ανταποκριθεί στις ανάγκες της αγοράς. Η εξαγορά αυτή ωστόσο θέτει ένα πιο κρίσιμο και επίκαιρο ερώτημα:

Ποιο είναι το μέλλον του PAM;

Πιστεύουμε ότι βρισκόμαστε στην απαρχή ενός μετασχηματισμού. Αναφερόμαστε σε ένα μέλλον όπου η ασφάλεια της προνομιακής πρόσβασης δεν θα περιστρέφεται πλέον γύρω από ένα «θησαυροφυλάκιο» (vault). Οι προσεγγίσεις μάλιστα που βασίζονται σε θησαυροφυλάκια δεν θα αποτελούν πλέον την κύρια μέθοδο επιβολής της ασφάλειας προνομιακής πρόσβασης.

Αυτή η αλλαγή έρχεται σε συνάρτηση με άλλους μετασχηματισμούς που έχουμε δει να συμβαίνουν σε άλλους τομείς της κυβερνοασφάλειας:

Η ασφάλεια cloud έχει καταστεί πλέον «agent-less» (δίχως πράκτορες λογισμικού), αντικαθιστώντας τις παρεμβατικές εγκαταστάσεις/υλοποιήσεις με ελαφριά και βασισμένη σε API ορατότητα.
Η πολυπαραγοντική αυθεντικοποίηση (MFA) ή αλλιώς ο έλεγχος ταυτότητας πολλαπλών παραγόντων δεν απαιτεί αλλαγές στον κώδικα ή διακομιστές μεσολάβησης όπως γινόταν στο παρελθόν. Σήμερα επιβάλλεται από τον πάροχο ταυτότητας ή μια επέκταση (extension) προς τον πάροχο ταυτότητας.
Οι πλατφόρμες προστασίας ταυτότητας επιβάλλουν πλέον πολιτικές σε πραγματικό χρόνο χωρίς την έγχυση (εισαγωγή) κλειδιών ή κωδικών πρόσβασης, μειώνοντας την επιφάνεια επίθεσης.
Η ασφάλεια δικτύου απομακρύνθηκε από τα φυσικά τείχη προστασίας και τα VPNs και μεταπήδησε στην δικτυακή πρόσβαση μηδενικής εμπιστοσύνης ή Zero Trust Network Access (ZTNA) που παρέχει πρόσβαση με δυναμικό τρόπο βάσει της ταυτότητας, του πλαισίου και της στάσης (κατάστασης).

Σε κάθε μία από αυτές τις περιπτώσεις, η βασική ιδέα ήταν η ίδια: να απομακρυνθούμε από την προστασία των μυστικών ή της υποδομής και να επικεντρωθούμε στην προστασία της ίδιας της πρόσβασης. Το ίδιο το PAM τώρα περνάει σε μια παρόμοια εξέλιξη.

Το πρόβλημα με το PAM που βασίζεται σε θησαυροφυλάκια

Τα θησαυροφυλάκια εισήχθησαν ως ένας τρόπος προστασίας των διαπιστευτηρίων που χρησιμοποιούνται από προνομιακούς λογαριασμούς -ονομασίες χρήστη και κωδικοί πρόσβασης διαχειριστών διακομιστών, βάσεων δεδομένων, μεταγωγέων (switches) και άλλων. Η λογική ήταν η εξής: να μην επιτρέπετε στους χρήστες να γνωρίζουν ή να επαναχρησιμοποιούν ισχυρούς κωδικούς πρόσβασης. Αντ’ αυτού, να τους επιτρέπετε να ανακτούν τα διαπιστευτήρια τους από ένα ασφαλές θησαυροφυλάκιο όταν κριθεί απαραίτητο καθώς και να τα εναλλάσσουν μετά τη χρήση τους.

Παρά ταύτα, στην πράξη, το PAM που βασίζεται σε θησαυροφυλάκια γίνεται αιτία διάφορων προβλημάτων:

Προστατεύει τα διαπιστευτήρια, όχι την πρόσβαση. Μόλις ένας χρήστης ανακτήσει τα διαπιστευτήρια, μπαίνει τέλος στις προστασίες που προσφέρει το θησαυροφυλάκιο. Ο κωδικός πρόσβασης μπορεί να «εξαχθεί» από τη μνήμη, να καταγραφεί από κακόβουλο λογισμικό, να πέσει στα χέρια κάποιου κακόβουλου εσωτερικού ή να υποκλαπεί σε μια επίθεση τύπου «man-in-the-middle». Όπως είναι κατανοητό, δεν προστατεύεται η ίδια η πρόσβαση, αλλά το μέρος αποθήκευσης του κωδικού πρόσβασης μόνο.
Είναι λειτουργικά περίπλοκο. Το PAM που βασίζεται σε θησαυροφυλάκιο εισάγει μεγάλες τριβές στις ροές εργασίας. Η αλλαγή του τρόπου με τον οποίο οι χρήστες συνδέονται στα συστήματα -ανακατεύθυνση μέσω διακομιστή μεσολάβησης, υποχρεωτική εξακρίβωση των κωδικών πρόσβασης, η επαναληπτική αυθεντικοποίηση -συχνά απαιτεί εκπαίδευση, παρακάμψεις πολλές φορές ή ακόμα και εξαιρέσεις. Στον τομέα των NHI (Non-Human Identities, δηλαδή των ψηφιακών ταυτοτήτων που χρησιμοποιούνται από μη ανθρώπινες οντότητες, όπως υπηρεσίες, εφαρμογές ή συσκευές για να αυθεντικοποιούνται όταν «επικοινωνούν» με άλλα συστήματα χωρίς την ανθρώπινη παρέμβαση), για την εναλλαγή των διαπιστευτηρίων υπηρεσιακών λογαριασμών συνήθως απαιτούνται πολλαπλές εγκρίσεις και προσεκτική εργασία για την αποφυγή παρεμβάσεων που θα μπορούσαν να προκαλέσουν προβλήματα ή διακοπές λειτουργίας. Αυτή η αλλαγή στη συμπεριφορά περιπλέκει την υιοθέτηση και καθιστά την εφαρμογή του PAM χρονοβόρα και δαπανηρή. Πολλές εταιρείες χρειάζονται χρόνια για να εφαρμόσουν το PAM σε μεγάλη κλίμακα, ειδικά σε υβριδικά περιβάλλοντα όπου τα παλαιά συστήματα, οι λογαριασμοί υπηρεσιών και η πρόσβαση τρίτων απαιτούν ξεχωριστές διαμορφώσεις.
Δεν είναι ανθεκτικό στις παραβιάσεις. Από μόνα τους τα θησαυροφυλάκια αποτελούν στόχους υψηλής αξίας. Οι επιτιθέμενοι ξέρουν ότι η παραβίαση ενός θησαυροφυλακίου μπορεί να τους δώσει πρόσβαση σε διαπιστευτήρια των πλέον ευαίσθητων συστημάτων του οργανισμού. Και έχουμε δει πραγματικές παραβιάσεις που αποδεικνύουν του λόγου το αληθές. Το 2022, σε μια υψηλού προφίλ παραβίαση, ο επιτιθέμενος σύμφωνα με αναφορές απέκτησε πρόσβαση στο θησαυροφυλάκιο προνομιακής πρόσβασης μίας εταιρείας και εξαπάτησε έναν υπάλληλο να προχωρήσει στην έγκριση αιτημάτων για πολυπαραγοντική αυθεντικοποίηση (MFA). Μόλις παρείσδυσε στο εσωτερικό του εταιρικού δικτύου, ο εισβολέας είχε αποκτήσει πρόσβαση στην υποδομή, σε εργαλεία διαχείρισης και σε ευαίσθητα δεδομένα. Σε άλλα περιστατικά, οι εισβολείς εκμεταλλεύτηκαν λανθασμένες ρυθμίσεις στα θησαυροφυλάκια, διακριτικά API ή αδυναμίες ενοποίησης/ ενσωμάτωσης για να κλιμακώσουν την πρόσβασή τους. Δεν μπορεί να υποστηριχθεί πλέον η ιδέα ότι τα θησαυροφυλάκια είναι άτρωτα.
Δημιουργεί ψευδή αίσθηση ασφάλειας. Συχνά, οι ομάδες ασφάλειας υποθέτουν ότι η εναλλαγή διαπιστευτηρίων και ο περιορισμός της πρόσβασης στο θησαυροφυλάκιο επαρκούν. Αν ωστόσο ο κωδικός πρόσβασης εξακολουθεί να παραδίδεται στον χρήστη, ακόμη και για μικρό χρονικό διάστημα, εξακολουθεί να υπάρχει η πιθανότητα κατάχρησης ή υποκλοπής του. Οι μηχανισμοί ασφαλείας (όπως το MFA, η καταγραφή συνεδριών ή οι εγκριτικές ροές εργασίας) είναι συνδεδεμένοι μόνο με το θησαυροφυλάκιο και όχι με την ίδια την προνομιακή πρόσβαση. Όταν ολοκληρωθεί η διαδικασία σύνδεσης (login), δεν υπάρχει κάποιο πρόσθετο σημείο επιβολής της εφαρμογής μέτρων ασφαλείας.

Το PAM που βασίζει τη λειτουργία του στα θησαυροφυλάκια λειτούργησε καλά στην εποχή της στατικής υποδομής και των μακροχρόνιων λογαριασμών. Τα σημερινά ωστόσο περιβάλλοντα πληροφορικής είναι δυναμικά, κατανεμημένα και ταυτότητο-κεντρικά. Δεν είναι πλέον λύση να προστατεύεις απλώς τα διαπιστευτήρια σε ένα θησαυροφυλάκιο.

Από τη διαχείριση προνομιακών λογαριασμών στην ασφάλεια προνομιακής πρόσβασης

Η πραγματική ευκαιρία -και αυτό που καθορίζει το μέλλον χωρίς θησαυροφυλάκια- είναι η μετάβαση από τη διαχείριση προνομιακών λογαριασμών στην ασφάλεια προνομιακής πρόσβασης.

Σε αυτό το μοντέλο, οι οργανισμοί δεν βασίζονται πλέον σε μόνιμους λογαριασμούς με κωδικούς πρόσβασης που αποθηκεύονται σε θησαυροφυλάκια. Αντιθέτως, η χορήγηση των προνομίων είναι δυναμική, και πραγματοποιείται ακριβώς εκείνη τη στιγμή (JIT, Just-in-Time) ενώ αφαιρούνται όταν πλέον δεν είναι απαραίτητα. Η πρόσβαση ελέγχεται και επιτηρείται διαρκώς σε πραγματικό χρόνο βάσει της ταυτότητας χρήστη, του περιβάλλοντός (συσκευή, τοποθεσία, ώρα) και της πολιτικής.

Έτσι, εξαλείφονται πολλοί από τους κινδύνους που σχετίζονται με το PAM που βασίζεται στα θησαυροφυλάκια:

Δεν υπάρχουν μόνιμα ή μακροχρόνια διαπιστευτήρια που μπορούν να κλαπούν ή να επαναχρησιμοποιηθούν.
Η αλλαγή στη συμπεριφορά του χρήστη είναι ανεπαίσθητη. Δεν υπάρχουν πλέον διακοπές κατά τη διαδικασία της σύνδεσης και δεν απαιτείται κάποια διαδικασία επικύρωσης του κωδικού πρόσβασης.
Όλη η πρόσβαση παρακολουθείται στενά και συνδέεται με μια επαληθευμένη ταυτότητα.
Ακόμα και αν ο εισβολέας καταφέρει να αποκτήσει τον κωδικό πρόσβασης, η πρόσβαση εξακολουθεί να είναι ασφαλής και η επίθεση μπορεί να σταματήσει εκεί.

Το ίδιο μοντέλο επεκτείνεται πλέον απρόσκοπτα και στις μη ανθρώπινες ταυτότητες (NHI) -όπως υπηρεσιακοί λογαριασμοί, σκριπτς, πράκτορες τεχνητής νοημοσύνης και εργαλεία αυτοματοποίησης- που αποτελούν πλέον την πλειονότητα των προνομιακών προσβάσεων στους περισσότερους οργανισμούς. Αντί να διαχειρίζονται χιλιάδες μακροχρόνια διαπιστευτήρια για αυτές τις οντότητες, οι οργανισμοί μπορούν να εφαρμόζουν πολιτικές που να επιτρέπουν σε συγκεκριμένα συστήματα να χορηγούν προνομιακή πρόσβαση υπό αυστηρούς μηχανισμούς ελέγχου, χωρίς στατικά μυστικά. Καθώς οι μη-ανθρώπινες ταυτότητες γίνονται περισσότερο διαχειρίσιμες μέσω των παρόχων ταυτότητας, των διάφορων εργαλείων στο cloud και της επιβολής πραγματικού χρόνου, η προσέγγιση χωρίς θησαυροφυλάκιο γίνεται πλέον εφικτή και ασφαλέστερη.

Ταυτοτητο-κεντρική πρόσβαση: Μια ασφαλέστερη προσέγγιση

Αυτή η στροφή προς την ασφάλεια της προνομιακής πρόσβασης καθίσταται δυνατή χάρη στις τεχνολογικές εξελίξεις στον τομέα της ασφάλειας ταυτότητας. Οι οργανισμοί μπορούν πλέον να εφαρμόζουν ισχυρούς μηχανισμούς ελέγχου της ασφάλειας στο επίπεδο της ταυτότητας -επιβάλλοντας MFA, πολιτικές βάσει κινδύνου, επιτήρηση συνεδριών και αναβάθμιση just-in-time- χωρίς να εισάγουν διαπιστευτήρια ή να τροποποιούν την υποδομή.

Πράγματι, οι σύγχρονες πλατφόρμες μπορούν να διασφαλίσουν την προνομιακή πρόσβαση με τρόπο που να:

Μην απαιτεί διακομιστή μεσολάβησης -δεν απαιτεί τη δρομολόγηση όλης της δικτυακής κίνησης μέσω μιας πύλης ή τον επαναπρογραμματισμό εφαρμογών.
Μην απαιτεί διαπιστευτήρια -αποφεύγει την εισαγωγή ή την έκθεση διαπιστευτηρίων προνομιακής πρόσβασης.
Είναι πραγματικού χρόνου και επί τόπου -ανταποκρίνεται δυναμικά στις απόπειρες πρόσβασης με προσαρμοστικές αποφάσεις πολιτικής.

Αυτή η στροφή στην αρχιτεκτονική επιτρέπει στους οργανισμούς να εφαρμόζουν τις αρχές μηδενικής εμπιστοσύνης (Zero Trust) στην προνομιακή πρόσβαση –με το να επικυρώνουν διαρκώς κάθε αίτημα, να εφαρμόζουν πολιτικές ελάχιστων προνομίων και να ανταποκρίνονται άμεσα σε ανωμαλίες.

Και επιπλέον ευθυγραμμίζεται με τον τρόπο που θέλουν να λειτουργούν οι ομάδες ασφάλειας: με τη μείωση της επιφάνειας επίθεσης, την ελαχιστοποίηση των διαταραχών στις ροές εργασίας των χρηστών και με την απλοποίηση των λειτουργιών.

Θα εκλείψουν τα θησαυροφυλάκια;

Τα θησαυροφυλάκια θα παραμείνουν μέρος του τοπίου της προνομιακής πρόσβασης στο προσεχές μέλλον. Ορισμένα συστήματα θα εξακολουθήσουν να απαιτούν κωδικούς πρόσβασης. Ορισμένες απαιτήσεις συμμόρφωσης θα επιβάλλουν την ασφαλή αποθήκευση των διαπιστευτηρίων. Και σε ορισμένα σενάρια παλαιού τύπου ή σενάρια έκτακτης ανάγκης, η ύπαρξη ενός θησαυροφυλακίου ως μηχανισμού εφεδρείας εξακολουθεί να έχει νόημα.

Τα θησαυροφυλάκια ωστόσο δεν θα είναι πλέον ο βασικός τρόπος διασφάλισης της προνομιακής πρόσβασης από τους οργανισμούς. Το κέντρο βάρους αντιθέτως θα μετατοπιστεί σε ταυτοτητο-κεντρικούς μηχανισμούς ελέγχου πραγματικού χρόνου, ένα μοντέλο που όχι μόνο δεν βασίζεται στην παροχή διαπιστευτηρίων στους χρήστες αλλά και που δεν απαιτεί την ύπαρξη τέτοιων διαπιστευτηρίων.

Ήδη παρατηρούμε αυτή τη μετάβαση. Οι σύγχρονες πλατφόρμες ασφάλειας ταυτότητας χρησιμοποιούνται για την επιβολή λεπτομερών ελέγχων πρόσβασης για προνομιακές συνεδρίες σε περιβάλλοντα τόσο στις εγκαταστάσεις μίας εταιρείας (on-premises) είτε στο cloud. Οι συγκεκριμένοι μηχανισμοί ελέγχου -που βασίζονται στο ποιος είναι ο χρήστης, σε ποιον πόρο έχει πρόσβαση και υπό ποιο πλαίσιο- είναι ακριβέστεροι, περισσότερο επεκτάσιμοι και πιο ασφαλείς από τις προσεγγίσεις που βασίζονται στα θησαυροφυλάκια.

Και το σημαντικότερο, είναι ταχύτεροι στην εφαρμογή/υλοποίηση τους και ευκολότεροι στη διαχείριση, επειδή πολύ απλά δεν απαιτούν από τους χρήστες να αλλάξουν τον τρόπο σύνδεσής τους ή από τις ομάδες IT να επανασχεδιάσουν τα περιβάλλοντά τους.

Ατενίζοντας το μέλλον

Το μέλλον της προνομιακής πρόσβασης δεν βασίζεται σε θησαυροφυλάκια. Τα θησαυροφυλάκια ήταν κρίσιμης σημασίας, αλλά σε μια παλαιότερη εποχή. Σήμερα, καθώς η ταυτότητα γίνεται η νέα περίμετρος και η πρόσβαση το ίδιο το σημείο ελέγχου, ήρθε η ώρα να προχωρήσουμε προς το μέλλον.

Οι υπεύθυνοι ασφάλειας που επιθυμούν να μειώσουν τον κίνδυνο, να επιταχύνουν την υιοθέτηση του μοντέλου μηδενικής εμπιστοσύνης (Zero Trust) και να απλοποιήσουν τα λειτουργικά τους βάρη θα πρέπει να ξεκινήσουν με την ερώτηση: Χρειάζεται να προστατεύσω αυτόν τον κωδικό πρόσβασης ή μπορώ να τον εξαλείψω εντελώς;

Εστιάζοντας λοιπόν από τους λογαριασμούς στην ίδια την πρόσβαση, μπορούμε επιτέλους να διασφαλίσουμε τις ταυτότητες με έναν τρόπο που είναι αόρατος για τους χρήστες, ανθεκτικός στις παραβιάσεις και σχεδιασμένος για τα δυναμικά περιβάλλοντα του σήμερα και του αύριο.

Μάθετε περισσότερα σχετικά με την ασφάλεια προνομιακής πρόσβασης και τα οφέλη της για τις ομάδες ταυτότητας και ασφάλειας.

Πηγή: Silverfort

5 Σεπτεμβρίου, 2025

Cyber Security Elements by NSS