BLOG

VPAM: Zarządzanie dostępem uprzywilejowanym dostawców IT i OT

Bartek Litwiniec
Bartosz Litwiniec
19/03/2025
VPAM

Niewłaściwe zarządzanie dostępem zdalnym dostawców oraz brak kontroli nad tym, co dzieje się na urządzeniach zewnętrznych, może prowadzić do naruszeń bezpieczeństwa. Odpowiedzią na ten problem jest technologia VPAM.

W artykule omawiamy ryzyka związane ze współpracą z podmiotami trzecimi oraz jak je zaadresować, aby zapewnić bezpieczeństwo łańcucha dostaw.

Czym jest VPAM?

VPAM (Vendor Privilege Access Management) to inaczej PAM służący do zarządzania dostępem uprzywilejowanym dostawców z sektora IT i OT. VPAM skupia się na logowaniu, monitorowaniu oraz kontrolowaniu wszelkich działań podmiotów trzecich w systemach organizacji, minimalizując ryzyko związane z nieautoryzowanym dostępem do wrażliwych zasobów.

VPAM jest jedną z technologii realizujących metodologię Zero Trust, która zakłada, że żaden użytkownik ani urządzenie, niezależnie od tego, czy znajduje się wewnątrz, czy na zewnątrz organizacji, nie jest domyślnie “zaufany”. Oznacza to, że dostęp do systemów i danych jest przyznawany wyłącznie na zasadzie „najniższych uprawnień” (least privilege) oraz ograniczonego zakresu i czasu dostępu, a każde połączenie lub akcja musi być dokładnie weryfikowana.

IT vs. OT – Wyzwania związane z dostępem zdalnym dostawców

Sektor IT

Technologia Informatyczna skupia się na przetwarzaniu danych, ich integralności, poufności i dostępności, a także zapewnia komunikację pomiędzy użytkownikiem a systemem (user-system) oraz użytkownikiem a użytkownikiem (user-user). Komunikacja ta odbywa się przy użyciu popularnych protokołów komunikacji, takich jak HTTPS czy SSH.

Istotnym wyzwaniem w utrzymaniu bezpieczeństwa IT jest zapewnienie odpowiedniego monitorowania, kontrolowania i ochrony dostępu, szczególnie gdy korzystamy z usług zewnętrznych dostawców, którzy często stosują własne urządzenia do uzyskiwania dostępu do zasobów organizacji.

Wyzwanie stanowi również zarządzanie poświadczeniami – tradycyjnie użytkownicy i dostawcy IT posiadają stałe hasła, które mogą być w łatwy sposób pozyskane i wykorzystywane przez cyberprzestępców, jeżeli nie są regularnie aktualizowane, dlatego podstawą jest tutaj uwierzytelnianie wieloskładnikowe (MFA). Dodatkowo, warto posiadać mechanizmy (SSO, klucze fizyczne, certyfikaty), które eliminują konieczność manualnego przedstawienia poświadczeń przez użytkownika, a zamiast tego opierają się na tożsamości użytkownika, automatycznie wstrzykując dane dostępowe do systemów.

Sektor OT

W Technologii Operacyjnej systemy, takie jak maszyny przemysłowe, linie produkcyjne czy urządzenia monitorujące badają fizyczny stan procesu lub pozycję podzespołów w ramach działającego cyklu, a także komunikują się ze sobą, wykonując określone operacje bez bezpośredniego udziału użytkownika.

W tym przypadku dostęp do systemów jest często realizowany za pomocą specjalistycznych protokołów, które różnią się od tych stosowanych w IT – np. protokołów dedykowanych dla przemysłowych systemów sterowania. W sektorze OT komunikacja w wielu przypadkach odbywa się bez wystarczającej widoczności i weryfikacji tożsamości urządzeń, co może prowadzić do incydentów bezpieczeństwa, które są szczególnie niebezpieczne w przypadku linii produkcyjnej (np. zmiana parametrów pieca hutniczego czy przepompowni ścieków może przyczynić się do realnego zagrożenia życia pracowników).

Maszyny w sektorze OT korzystają z trudnych do monitorowania i zarządzania metod uwierzytelnienia, które często są definiowane na etapie wdrożenia i pozostają w użyciu przez wiele lat bez odpowiedniej rotacji, co zwiększa prawdopodobieństwo wykorzystania ich przez zasoby nieuprawnione.

Ponadto w sektorze OT maszyny często posiadają mechanizmy uwierzytelnienia oraz komunikacji dedykowane producentowi lub nawet konkretnemu rozwiązaniu, co utrudnia implementację zaawansowanych technologii bezpieczeństwa. Sprawę komplikuje fakt, że wiele tych mechanizmów zostało zaprojektowanych nawet 15-20 lat temu, gdy jeszcze nie było dużej świadomości odnośnie bezpieczeństwa oraz szyfrowania, co obniża poziom zapewnianej przez nie ochrony komunikacji.

Z racji na kluczowe znaczenie działalności przemysłu, ochrona tego typu komunikacji staje się coraz bardziej priorytetowa, a brak odpowiedniego nadzoru nad urządzeniami i poświadczeniami może skutkować incydentem.

Jak VPAM dba o bezpieczny dostęp podmiotów trzecich

VPAM pełni szereg funkcji, które pomagają dbać o bezpieczny dostęp podmiotów trzecich, z których najistotniejsze to:

  • Ścisła kontrola tożsamości – VPAM integruje się z systemami zarządzania tożsamości jak IAM (np. Microsoft Entra ID) i umożliwia uwierzytelnianie dostawców bez konieczności ujawniania haseł.

  • Ograniczenie dostępu zgodnie z zasadą najmniejszych uprawnień (least privilege) – w ramach VPAM stosuje się politykę dostępu opartą na rolach, która precyzyjnie określa, do jakich systemów i zasobów dostawca ma dostęp, oraz jakie czynności może w nich wykonywać.

  • Just-in-time access – zewnętrzni dostawcy otrzymują dostęp do zasobów tylko na określony, minimalny czas, niezbędny do wykonania konkretnego zadania.

  • Monitorowanie aktywności – VPAM pozwala na śledzenie działań dostawców w systemach, w tym monitorowanie aktywności i rejestrowanie sesji. W przypadku bardziej wrażliwych operacji, możliwe jest nawet stosowanie logowania naciśnięć klawiszy oraz ruchów myszą co zapewnia pełną kontrolę nad działaniami użytkownika i umożliwia szybką reakcję w przypadku wykrycia nieautoryzowanych operacji.

  • Wykrywanie nietypowego zachowania – za pomocą analityki behawioralnej VPAM jest w stanie identyfikować nietypowe zachowania użytkowników, takie jak próby dostępu do systemów, do których nie powinni mieć dostępu, lub nagły wzrost aktywności ilości zdarzeń w ramach połączeń nawiązanych przez użytkownika. Tego rodzaju anomalie mogą być wczesnym sygnałem potencjalnego ataku, co pozwala na podjęcie odpowiednich działań prewencyjnych.

  • Automatyzacja workflow – VPAM umożliwia tworzenie zautomatyzowanych procesów zarządzania dostępem dostawców, obejmujących cały cykl życia dostępu, od onboardingu pracownika po wyłączenie konta. Dzięki temu wszystkie wnioski o dostęp są obsługiwane w sposób bezpieczny i zgodny z przepisami, takimi jak GDPR czy NIS2 (bezpieczeństwo łańcucha dostaw).

  • Znajdowanie oraz zarządzanie nieużywanymi kontami – regularne skanowanie infrastruktury zarządzania tożsamością pozwala na wykrywanie nieaktywnych lub nieznanych kont dostawców.

  • Zarządzanie sekretami – VPAM umożliwia kontrolowanie i rotowanie sekretami, co zapewnia integralność i bezpieczeństwo w komunikacji pomiędzy urządzeniami w środowisku OT.

Czy VPAM wystarczy, aby zadbać o bezpieczny dostęp dostawców?

Choć VPAM stanowi fundament w zarządzaniu dostępem uprzywilejowanym i minimalizacji ryzyk związanych z podmiotami trzecimi, pełne zabezpieczenie organizacji wymaga zastosowania bardziej kompleksowego podejścia opartego na wielowarstwowej obronie, obejmującej zarówno technologie, jak i procedury.

W przypadku zewnętrznych dostawców korzystających z urządzeń, które nie są pod pełną kontrolą organizacji, jak np. urządzenia prywatne (Bring-Your-Own-Device), zalecane jest również weryfikowanie i monitorowanie integralności tych urządzeń za pomocą narzędzi EDR/XDR.

Dodatkowo w obliczu zaawansowanych zagrożeń ze strony atakujących, takich jak grup APT, warto rozważyć integrację VPAM z usługą SOC, która oferuje dodatkową warstwę ochrony przed ukrytymi zagrożeniami.

Narzędzia PAM polecane przez naszych ekspertów

SSH

PrivX od SSH to narzędzie do zarządzania dostępem uprzywilejowanym, które eliminuje potrzebę używania tradycyjnych haseł i a nawet kluczy SSH, zamiast tego stosując certyfikaty do uwierzytelniania użytkowników. Umożliwia bezpieczne zarządzanie dostępem do systemów w środowiskach on-premise oraz chmurowych, oferując zaawansowane funkcje monitorowania i audytu sesji.

Delinea

PAM od Delinea zapewnia bezpieczne przechowywanie, zarządzanie i audytowanie poświadczeń dostępu do wrażliwych systemów i aplikacji. Narzędzie oferuje funkcje takie jak automatyczne rotowanie haseł, kontrolowanie dostępu na zasadzie "least privilege" oraz monitorowanie sesji użytkowników z dostępem uprzywilejowanym.

Delinea świetnie sprawdza się w dużych organizacjach, oferując zaawansowane podejście do integracji z systemami, zarówno w chmurze, jak i w środowiskach hybrydowych, umożliwiając płynne zarządzanie dostępem w złożonych infrastrukturach.

Fudo

Fudo PAM koncentruje się na monitorowaniu, kontrolowaniu i audytowaniu dostępu do wrażliwych systemów i aplikacji. Jednym z kluczowych elementów Fudo PAM jest łatwe nagrywanie sesji rejestrujących działania użytkowników z dostępem uprzywilejowanym, co zapewnia pełną widoczność i możliwość analizy ich działań. Narzędzie oferuje również silne mechanizmy kontroli dostępu, umożliwiając przydzielanie uprawnień zgodnie z zasadą least privilege. Fudo PAM jest szybkie w implementacji (nawet w jeden dzień) i wymaga minimalnej konfiguracji.

Zarządzanie dostępem zdalnym dostawców jest jednym z kluczowych elementów zapewniającym bezpieczeństwo organizacji. Jeśli Twoja firma korzysta w usług zewnętrznych dostawców oraz podlega pod NIS2 koniecznie skontaktuj się z naszym ekspertem, aby porozmawiać o wdrożeniu technologii PAM.

Artykuł został przygotowany przez eksperta 4Prime, a następnie zredagowany przy wsparciu narzędzi sztucznej inteligencji.

Autor tekstu:
Bartek Litwiniec
Bartosz Litwiniec , IT Security Engineer , 4Prime IT Security

Czytaj również

null

Trendy

Prisma Browser – wszystko, co musisz wiedzieć o przeglądarce Palo Alto Networks

Shadow IT

Chmura

Ochrona przed shadow IT: Jak platforma Netskope zabezpiecza Twoje dane i aplikacje w chmurze

Złośliwe oprogramowanie w chmurze

Chmura

Złośliwe oprogramowanie w chmurze. Jak zabezpieczyć firmę przed pobraniem zainfekowanych plików?

Atak na Twoją firmę mógł się zacząć już miesiąc temu.

Sprawdź, jak możesz zapewnić bezpieczeństwo swojej organizacji już dziś.