Najlepsze praktyki z zakresu cyberbezpieczeństwa dotyczące zarządzania dostępem dostawców

Dostawcy zewnętrzni są niezbędnym elementem działalności organizacji, ale dodawanie ich do organizacji zwiększa powierzchnię ataku i może wiązać się z różnymi zagrożeniami dla bezpieczeństwa, takimi jak wycieki danych lub naruszenia danych. Do skutecznego zarządzania dostępem dostawców oraz zapobiegania zagrożeniom bezpieczeństwa w organizacji wymagane jest przeprowadzenie szczegółowej oceny ryzyka dostawców, wdrożenie dostępu na zasadzie niezbędnych minimalnych uprawnień, określenie przejrzystych zasad dostępu dostawców, wymaganie MFA, rejestrowanie aktywności dostawców, aktualizacja dostępu dostawców oraz zapewnienie zgodności dostawców ze standardami branżowymi.

Czytaj dalej, aby dowiedzieć się jakie ryzyko wiąże się z niewłaściwym zarządzaniem dostawcami zewnętrznymi, jakie jest siedem najlepszych praktyk dotyczących zarządzania dostępem dostawców oraz jak rozwiązanie do zarządzania uprzywilejowanym dostępem (PAM) może zapewnić bezpieczeństwo dostępu dostawców.

Znaczenie zarządzania ryzykiem związanym z innymi firmami

Niewłaściwe zarządzanie dostępem dostawców może narazić organizacje na szereg zagrożeń bezpieczeństwa, takich jak zagrożenia wewnętrzne, słaba higiena bezpieczeństwa oraz luki w zabezpieczeniach systemów dostawców. Mimo że dostawcy są podmiotami zewnętrznymi, ich pracownicy lub wykonawcy mogą uzyskać dostęp do poufnych informacji organizacji. W 2024 r. miało miejsce kilka poważnych naruszeń danych w wyniku naruszenia dostępu dostawców, dotyczących największych firm, takich jak American Express oraz HealthEquity. Te naruszenia danych były spowodowane słabą higieną bezpieczeństwa oraz dużymi powierzchniami ataku dostawców zewnętrznych.

Ponieważ nie wszyscy dostawcy stosują rygorystyczne praktyki w zakresie higieny bezpieczeństwa, mogą stanowić łatwy cel dla cyberprzestępców, którzy wykorzystują słabe lub ponownie wykorzystywane hasła na potrzeby uzyskania dostępu do systemów organizacji. Dostawcy z lukami w zabezpieczeniach mogą zostać wykorzystani przez cyberprzestępców jako punkt wejścia do systemów organizacji, nawet jeśli zastosowano w niej silne środki bezpieczeństwa. Świadomość tych zagrożeń umożliwia podjęcie odpowiednich działań w celu zapewnienia bardziej rygorystycznej kontroli dostępu dostawców w organizacji na potrzeby zapobiegania naruszeniom danych.

Siedem najlepszych praktyk dotyczących zarządzania dostępem dostawców

Właściwe zarządzanie dostępem dostawców ułatwia identyfikację luk w zabezpieczeniach organizacji, które mogą zostać wykorzystane przez cyberprzestępców. Oto siedem najlepszych praktyk, które ułatwiają ograniczenie zagrożeń bezpieczeństwa organizacji podczas współpracy z dostawcami zewnętrznymi.

1. Przeprowadzenie szczegółowej oceny ryzyka dostawcy

Ocena ryzyka dostawcy obejmuje ocenę praktyk w zakresie bezpieczeństwa oraz potencjalnych zagrożeń dostawcy zewnętrznego przed przyznaniem mu dostępu do danych lub systemów organizacji. Ponieważ nie wszyscy dostawcy zapewniają taki sam poziom bezpieczeństwa, ważne jest, aby przed zatrudnieniem dostawcy w organizacji przeprowadzić szczegółową ocenę ryzyka i współpracować wyłącznie z partnerami, którzy spełniają wymagane standardy. Dokładna analiza procedur dostawcy w zakresie ochrony danych, danych historycznych, reputacji oraz planu reagowania na incydenty może ułatwić zapobieganie naruszeniom danych w organizacji i zapewnić zgodność organizacji z przepisami oraz standardami branżowymi.

2. Wdrożenie zasady niezbędnych minimalnych uprawnień (PoLP)

Zasada niezbędnych minimalnych uprawnień (PoLP) ogranicza dostęp w zależności od obowiązków służbowych użytkownika. Oznacza to, że dostawcy otrzymują dostęp wyłącznie do danych, systemów oraz zasobów niezbędnych do wykonania przydzielonych zadań. Należy również określić w organizacji rodzaj dostępu wymaganego przez dostawców, na przykład dostęp do wewnętrznych interfejsów użytkownika stron internetowych, paneli administracyjnych, serwerów systemów Windows lub Linux, infrastruktury w chmurze lub aplikacji SaaS. Wykorzystywane protokoły, takie jak protokół przeglądarki internetowej, RDP, SSH lub VNC, powinny zostać określone z wyprzedzeniem, aby zapewnić bezpieczny dostęp.

Wyeliminowanie stałego dostępu dostawcy do danych poufnych organizacji zapobiega zagrożeniom wewnętrznym oraz ułatwia zapewnienie zgodności z przepisami, ponieważ uniemożliwi to dostawcom dostęp do zasobów, które nie są niezbędne do wykonywania obowiązków. Oprócz wdrożenia PoLP w organizacji należy wdrożyć kontrolę dostępu opartą na rolach (RBAC) w celu określenia ról uprawnionych do dostępu do określonych danych, systemów lub zasobów. Przejrzyste określenie działań, które dostawca zewnętrzny może wykonać, oraz danych, do których może uzyskać dostęp, ma kluczowe znaczenie dla ochrony systemów organizacji.

3. Określenie przejrzystych zasad dostępu dostawców

Zasady dostępu dostawców określają reguły oraz procedury, których przestrzeganie jest niezbędne na potrzeby uzyskania przez dostawców dostępu do danych oraz systemów organizacji. Na potrzeby standaryzacji praktyk w zakresie bezpieczeństwa wymagane jest określenie w organizacji przejrzystych zasad dostępu dostawców, takich jak wymuszanie uwierzytelniania wieloskładnikowego (MFA) lub zasady dotyczące silnych haseł, oraz określenie wymogów w zakresie monitorowania, takich jak monitorowanie oraz rejestrowanie wszystkich działań dostawców. Jeśli konieczny jest dostęp za pośrednictwem sieci VPN, należy określić w organizacji sposób uwierzytelniania dostawców, za pośrednictwem nazwy użytkownika i hasła lub integracji dostawcy tożsamości. Na tym etapie należy również określić sposób bezpiecznego udostępniania danych uwierzytelniających, na przykład pośrednictwem szyfrowanych rozwiązań, takich jak jednorazowe udostępnienie Keeper.

4. Wymaganie uwierzytelniania wieloskładnikowego (MFA)

Należy zapewnić bezpieczeństwo dostępu dostawców poprzez wymaganie włączenia uwierzytelniania wieloskładnikowego (MFA), które zapewnia dodatkową warstwę zabezpieczeń podczas weryfikacji tożsamości. Wykorzystanie przez dostawcę MFA na potrzeby dostępu do danych poufnych lub systemów, do których może mieć dostęp, jest konieczne, aby uniemożliwić cyberprzestępcom dostęp do sieci organizacji nawet w przypadku naruszenia danych uwierzytelniających. Należy wymagać od dostawców wdrożenia MFA na potrzeby logowań każdego rodzaju, w do baz danych klientów oraz usług w chmurze. Wymóg stosowania MFA chroni systemy organizacji przed nieautoryzowanym dostępem, kradzieżą danych uwierzytelniających oraz naruszeniem danych.

5. Ciągłe rejestrowanie oraz monitorowanie aktywności dostawców

Wiele tradycyjnych rozwiązań PAM nie umożliwia monitorowania sesji internetowych za pośrednictwem paneli internetowych ani aplikacji SaaS, a KeeperPAM^® zapewnia pełny wgląd we wszystkie działania dostawców, w tym uprzywilejowane sesje internetowe. Należy nieustannie rejestrować oraz monitorować aktywność dostawców w organizacji, aby wykrywać podejrzane zachowania oraz zapobiegać potencjalnym incydentom związanym z bezpieczeństwem, zanim zostaną spowodowane poważne szkody. KeeperPAM powiadamia o nieautoryzowanym dostępie, podejrzanych próbach logowania oraz o podwyższeniu uprawnień w organizacji Śledzenie logowań, dostępu do danych, pobierania plików, aktualizacji uprawnień oraz nietypowych zachowań dostawców umożliwia identyfikację zagrożeń bezpieczeństwa i zapobieganie naruszeniom danych w organizacji.

6. Regularne przeglądy oraz aktualizacje dostępu dostawców

Po przyznaniu dostawcom dostępu do poufnych systemów należy prowadzić regularne przeglądy oraz aktualizować dostęp dostawców w organizacji, aby zagwarantować dostęp wyłącznie do niezbędnych zasobów przez określony czas. Wykorzystanie rozwiązania PAM umożliwia zautomatyzowanie wymuszania zmiany haseł oraz wygaśnięcia dostępu w organizacji, gwarantując przyznawanie dostawcom dostępu wyłącznie na określony czas i automatyczne cofanie dostępu, gdy nie jest już potrzebny. Aby zwiększyć bezpieczeństwo organizacji, należy prowadzić regularne audyty dostępu dostawców oraz cofać stary dostęp byłym dostawcom w celu zapobiegania wykorzystaniu przez cyberprzestępców nieaktywnych kont dostawców.

7. Zapewnienie przestrzegania przez dostawców standardów zgodności oraz bezpieczeństwa

Brak przestrzegania przez dostawców standardów zgodności oraz bezpieczeństwa może narazić dane poufne i systemy organizacji na ryzyko naruszenia. Należy określić w umowach z dostawcami wymogi organizacji w zakresie zgodności, zwłaszcza dotyczących standardów branżowych, na przykład HIPAA w przypadku danych w branży opieki zdrowotnej. Brak zapewnienia przez dostawców zgodności ze standardami bezpieczeństwa może prowadzić do pociągnięcia organizacji do odpowiedzialności za niezgodności dostawców, a w konsekwencji do grzywien, procesów sądowych oraz utraty reputacji.

Jak zarządzanie uprzywilejowanym dostępem (PAM) zabezpiecza dostęp dostawców

Wdrożenie PAM zabezpiecza dostęp dostawców, umożliwiając kontrolowanie oraz monitorowanie uprzywilejowanego dostępu, zarządzanie sesjami dostawców, zapewnianie dostępu ograniczonego czasowo, automatyzację raportowania oraz integrację z rozwiązaniami do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM).

Kontrola oraz monitorowanie uprzywilejowanego dostępu w czasie rzeczywistym

Rozwiązania PAM umożliwiają kontrolowanie oraz monitorowanie w organizacji aktywności dostawców obejmującej uprzywilejowany dostęp. Organizacje mogą śledzić oraz prowadzić audyt całej aktywności uprzywilejowanych dostawców, w tym logowania, działań, plików, do których uzyskano dostęp oraz zmian wprowadzanych w dowolnych systemach lub danych. W przeciwieństwie do tradycyjnych rozwiązań PAM KeeperPAM zapewnia internetową bramę dostępu, która umożliwia dostawcom bezpieczny dostęp do dowolnych zasobów bez ujawniania danych uwierzytelniających lokalnemu komputerowi. Dzięki temu klucze SSH, hasła oraz dane uwierzytelniające uprzywilejowanego dostępu nigdy nie są bezpośrednio udostępniane dostawcy.

Zabezpieczenie danych uwierzytelniających dostawców za pomocą zarządzania sesją

PAM zapewnia bezpieczny, rozliczalny oraz umożliwiający audyt dostęp dostawców w dowolnym momencie poprzez zarządzanie sesjami dostępu. Rozwiązania PAM bezpiecznie przechowują dane uwierzytelniające dostawców w szyfrowanym magazynie, zapobiegając wyciekom haseł, kradzieży danych uwierzytelniających oraz ponownemu wykorzystaniu haseł. Rozwiązania takie jak KeeperPAM umożliwiają dostawcom dostęp do zasobów bez ujawniania danych uwierzytelniających, co znacząco ogranicza zagrożenia bezpieczeństwa. KeeperPAM eliminuje również konieczność instalowania agentów lub modyfikowania konfiguracji sieci przez dostawców, wykorzystując połączenie umożliwiające wyłącznie ruch wychodzący do chmury Keeper.

Zapewnienie dostępu tymczasowego, ograniczonego czasowo

Wykorzystanie PAM zapobiega stałemu dostępowi, przyznając dostawcom dostęp tymczasowy i ograniczony czasowo wyłącznie do niezbędnych zasobów organizacji tylko wtedy, gdy jest to konieczne. KeeperPAM ułatwia wdrożenie dostępu typu just-in-time (JIT) bez konieczności konfiguracji sieci VPN, zapewniając dostawcom dostęp do zasobów wyłącznie na potrzeby określonego zadania przed cofnięciem uprawnień.

Automatyzacja procesu zapewnienia zgodności oraz raportowania

PAM automatycznie generuje szczegółowe ścieżki audytu oraz umożliwia tworzenie raportów zapewniających wgląd w przestrzeganie przez dostawców zasad bezpieczeństwa i przepisów branżowych. PAM ułatwia śledzenie, dokumentowanie oraz udowadnianie stosowania w organizacji najlepszych praktyk w zakresie bezpieczeństwa na potrzeby dostępu dostawców zewnętrznych. Zastosowanie PAM eliminuje konieczność ręcznego śledzenia lub audytu i zapewnia możliwość egzekwowania w organizacji silnych zasad bezpieczeństwa, zapewnienia pełnego wglądu w dostęp dostawców oraz uproszczenia procesu zgodności.

Możliwość integracji z rozwiązaniami SIEM

Rozwiązanie PAM oferuje możliwość integracji z rozwiązaniami do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), zapewniając kompleksowy wgląd w dostęp dostawców oraz związane z nim zagrożenia i ułatwiając monitorowanie bezpieczeństwa. Integracja z SIEM dzienników audytu generowanych za pomocą rozwiązania PAM ułatwia przeprowadzanie rozszerzonej analizy aktywności dostawców oraz wykrywanie nietypowych zachowań w organizacji. Wykorzystanie SIEM w połączeniu z PAM zapewnia identyfikację zagrożeń związanych z dostawcami oraz skuteczne reagowanie na nie poprzez uruchamianie alertów systemu po wykryciu włamań i blokowanie dostępu do poufnych systemów lub natychmiastowe powiadamianie zespołów ds. bezpieczeństwa.

Kontrola dostępu dostawców za pomocą rozwiązania KeeperPAM^®

Organizacje mogą zarządzać dostępem dostawców za pomocą rozwiązania KeeperPAM, które jest oparte na chmurze i chroni dane poufne, ogranicza ryzyko cyberzagrożeń oraz zapewnia zgodność z przepisami. KeeperPAM w wyjątkowy sposób zapewnia internetowy, niezależny od protokołu dostęp do systemów wewnętrznych bez konieczności stosowania danych uwierzytelniających VPN lub ujawniania dostawcom uprzywilejowanych danych uwierzytelniających. Magazyn haseł KeeperPAM umożliwia przechowywanie uprzywilejowanych danych uwierzytelniających dostawców oraz zarządzanie nimi, eliminując ryzyko wycieków haseł lub nieautoryzowanego dostępu. Rozwiązanie KeeperPAM zapewnia szczegółowe dzienniki oraz rejestrowanie sesji w czasie rzeczywistym, umożliwiając śledzenie działań dostawców oraz natychmiastową identyfikację zagrożeń bezpieczeństwa w organizacji.

Już dziś zamów demo rozwiązania KeeperPAM, aby usprawnić zarządzanie dostępem dostawców organizacji.