Thycotic az L. törvényi megfelelésért

Az L. törvényről dióhéjban, hogy mi is ez és kire vonatkozik:

A „2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról” a pontos megnevezése. A nemzeti vagyon részét képező nemzeti elektronikus adatvagyon, valamint az ezt kezelő információs rendszerek, illetve a létfontosságú információs rendszerek és rendszerelemek biztonságát hivatott védeni. A törvény hatálya kiterjed a Honvédségre, az Országos Bírósági Hivatalra és bíróságokra, az ügyészségekre, a fővárosi és megyei kormányhivatalokra, a központi államigazgatási szervekre, stb. Az érintett szervezeteknél nem csak adminisztratív, hanem logikai és fizikai szinten is megkell felelnie az elektronikus rendszereknek (bele értve az informatikai rendszereket is).

A szervezet vezetője többek között köteles gondoskodni az elektronikus információs rendszerek védelméről, amibe az azonosítás, hitelesítés, hálózati hozzáférések kezelése és monitorozása is bele tartozik.

Ezeknek a szervezeteknek a Thycotic Secret Server ideális megoldást kínál a jelszó menedzsment területére a törvényi megfeleléshez. Amennyiben még nem ismered részletesen a Thycotic PAM megoldását, akkor az alábbi linken megtalálod a bemutató doksit: PAM.

 

thycotic secret server, L. törvényi megfelelés, PAM megoldások

 

Pontonként a megfelelésért a Secret Serverrel

A korábban Pass-the-hash és egyéb jelszó menedzsmenthez köthető támadások elleni védelemmel indult amerikai gyártó, a Thycotic Secret Server terméke, a magyar információbiztonsági törvényeknek is segít megfelelni. Nézzük meg pontonként, hogy a Secret Server hogyan ugorja meg a legkritikusabb azonosításra, legkisebb jogosultság elvére vagy akár monitorozásra vonatkozó kitételeket az L. törvényben:

A Thycotic Secret Server termék bemutatásban megjelenő Secret kifejezés egy gyűjtőfogalom, ami a Secret Server által tárolt és kezelt információt jelenti. Ez az információ lehet privilegizált jelszó routerekhez, szerverekhez, fizikai eszközökhöz, applikációkhoz; de lehet egy fájl, SSL tanúsítvány, licenszkulcs és még sok minden. A secretek létrehozását Secret Templat-ek segítik az implementáció közben.

  • 3.3.9.2.2. - Az elektronikus információs rendszer többtényezős hitelesítést alkalmaz a különleges jogosultsághoz kötött - úgynevezett privilegizált - felhasználói fiókokhoz való hálózaton keresztüli hozzáféréshez. – A Secret Server-el használhatunk Duo Security, RADIUS, Email, FIDO2, TOTP Authenticator és a 10.6-os verziótól Yubikeys-t is a kétfaktoros hitelesítés megvalósításához.
  • 3.3.10.10.1.1-2. - Meghatározott időtartamú inaktivitás után, vagy a felhasználó erre irányuló lépése esetén a munkaszakasz zárolásával megakadályozza az elektronikus információs rendszerhez való további hozzáférést; megtartja a munkaszakasz zárolását mindaddig, amíg a felhasználó a megfelelő eljárások alkalmazásával nem azonosítja és hitelesíti magát újra. –  A Secret Serverben található Check In és Check Out státuszok beállításával lehetőségünk van akár kizárólag csak egy meghatározott időtartamra biztosítani egy secret használatát. Miután ez az idő lejárt, a rendszer automatikusan visszaveszi a felhasználás jogát. A Check In mechanizmus mellé automatikus jelszócserét is társíthatunk az adott host-on, vagy az adott időtartamon belül meg is hosszabbíthatjuk a lejáratot.
  • 3.3.10.2.1.9. - Meghatározott gyakorisággal felülvizsgálja a felhasználói fiókokat, a fiókkezelési követelményekkel való összhangot. - A Secret Polycik közt beállíthatjuk, hogy a Secret Server automatikusan tesztelje a secret-ben szereplő accountok valós jogosultságát a cél host-on. Ezt a folyamatot automatizálhatjuk és értesítést is kérhetünk az eredményről.
  • 3.3.10.2.5. - Az elektronikus információs rendszer automatikusan naplózza a fiókok létrehozásával, módosításával, engedélyezésével, letiltásával és eltávolításával kapcsolatos tevékenységeket, és értesíti ezekről a meghatározott személyeket vagy szerepköröket. - A Secret Serverrel a privilegizált munkamenetek rögzítése a kiemelt userek és adminok hozzáférésének teljes rögzítését jelenti, így minden tevékenységük nyomon követhetővé válik attól a pillanattól, hogy a felhasználó egy munkamenetet elindít, egészen amíg ki nem jelentkezik. A korábban már részletesen bemutatott 10.6-os verzióban a Session monitoring újítások közé tartozik a nagy mennyiségű munkamenetet rögzítő felhasználók teljesítményének javítása. A munkamenet rögzítés egy plusz felügyeleti réteget biztosít, és segít abban, hogy a felhasználók ellenőrizhetők legyenek a privilegizált fiókok elérésekor. Sőt az Event Subscriptions funkció bekapcsolásával értesítést vagy riasztást is kérhetünk minden egyes lépésről.
  • 3.3.10.2.7. Figyelni kell az elektronikus információs rendszer fiókjait az érintett szervezet által meghatározott szokatlan használat szempontjából, és meghatározott személyeknek vagy szerepköröknek jelenteni kell azt. – Az Email Notifications beállítással lehetőségünk van különböző eseményekre feliratkozni. Amennyiben az adott esemény megtörténik, email értesítést kapunk a rendszertől. Ilyen események lehetnek például próbálkozás hozzáférési jogosultságok megváltoztatásra, vagy adott secret szerkesztése, megnézése.
  • 3.3.10.13.5.A privilegizált parancsok végrehajtásához és biztonságkritikus információk eléréséhez távoli hozzáférést csak meghatározott és elfogadott igény esetén engedélyez. – A Secret Server-ben lehetőségünk van a secret-ek használatát jóváhagyáshoz kötni, így egy secret addig nem használható, amíg egy felhasználó vagy felhasználók csoportjából egy felhasználó nem hagyja azt jóvá. Valamint lehetőség van a kikért időtartam módosítására. Sőt beállítható IP címek szerinti korlátozás, ezzel a különböző felhasználók bejelentkezési próbálkozását csak adott IP cím tartományból fogadjuk el, így lehetőség van kikényszeríteni, hogy csak olyan felhasználók jelentkezzenek be, akik VPN-en keresztül csatlakoznak a belső hálózatunkba, vagy alapból a belső hálózaton keresztül csatlakoznak a védett hálózatra. És ha mindez nem lenne elég, az egyes secretek felhasználási okáról kérhetünk kommentet, mielőtt egy user használatba vehetné azt.

 

thycotic secret server, L. törvényi megfelelés, PAM megoldások

 

Minden, ami egy PAM-ba bele fér – Secret Server erősségek

A Secret Server néhány fontos tulajdonsága összegezve:

  • Teljes életciklus menedzsmentet valósít meg a vállalati privilegizált felhasználói fiókok kezelésére.
  • Jóváhagyási folyamatok (több szem elve) is kialakíthatók a kiemelten fontos accountok védelmére.
  • A valós idejű munkamenet felügyelet (Session monitoring), -rögzítés és billentyűzetfigyelő (keylogging) segítségével felügyelhetők az informatikai rendszerekhez történő hozzáférések. Nem csak a privilegizált felhasználók felügyeletéért, de a védelméért is tehetünk ezzel a funkcióval.
  • A privilegizált felhasználók hozzáféréseit, akár automatikusan cseréli a megadott policy-k szerint, ezzel kevesebb munkaóra, erősebb felügyelet valósítható meg.
  • Üzleti felhasználók és alkalmazások hozzáféréseit is képes kezelni, így nem csak a plusz beszerzendő termék, hanem az üzlet hasznos eszközévé válik a Secret Server.
  • A legmagasabb biztonsági besorolás eléréséhez a termékben alkalmazott AES 256 titkosítás, kombinálható HSM-mel, sőt akár end-to-end titkosítás is kialakítható.
  • Androidra és iPhone-ra is létezik SS alkalmazás, így a mobileszközökön is megvalósíthatók a fent felsorolt biztonsági intézkedések.
  • A Secret Server-t lehetőség van klaszterezett környezetben kialakítani, így a magas rendelkezésre állás (HA) is kialakítható.
  • A szabványoknak való megfelelésben is helytáll, a PCI-DSS, HIPAA, NIST és számos más nemzetközi szabványnak is megfelel a Thycotic Secret Server.

 

Ennek a rövid demónak köszönhetően bepillanthatsz a Secret Server termékbe:

 

 

Még sokáig sorolhatnánk a Thycotic díjnyertes PAM megoldásának a képességeit, de inkább keress fel minket az elérhetőségeink bármelyikén, hogy a Secret Server összes a 2013. L. évi törvénynek megfeleltethető funkcióját bemutathassuk neked akár személyesen egy ÉLŐ DEMÓ-ban is!

2019. november

Kérek még több információt!  

Ami a PAMburger partin történt…
2019. augusztus

Ami a PAMburger partin történt…

Óriási hiányérzettel zárnánk a nyarat, ha a Thycotic égisze alatt megrendezésre került nyáresti rendezvényünket nem tartottuk volna meg… Nagyon örülünk, hogy eljöttetek!
2019 jelszóvédelmi botrányai, a nagyok is sérülnek
2019. július

2019 jelszóvédelmi botrányai, a nagyok is sérülnek

Mostanában elég sok hír szólt arról, hogy a Facebook és az Instagram profilok közül sokat kiszűrt a szolgáltató, azaz a fake, vagy szabálysértő profilokat törölték.
filter:max grill 2019
2019. június

filter:max grill 2019

filter:max grill 2019-ben is! PAMburger parti, avagy Privileged Access Management ismerkedés és hamburger sütés a filter:max teraszán hamarosan!
Spycloud Vectra Forcepoint Bitdefender FireEye Opswat Thycotic Ruckus

Kapcsolatfelvétel
üzenet küldése