Hallintatunnusten hallinta

Abstract

Tässä insinöörityössä tutustuttiin hallintatunnusten hallinnoinnin hyviin käytäntöihin ja automaattisiin hallintajärjestelmiin. Lisäksi selvitettiin, mitä hallintatunnuksia identiteetinhallinta-konsulttiyrityksellä on viidelle eri asiakkaalleen ja miten niitä tällä hetkellä hallitaan. Kartoituksen perusteella tehtiin suosituksia ja yhteiset parhaat käytännöt. Samalla tutkittiin, onko yrityksen puolesta mahdollista automatisoida hallintatunnusten hallinnointi.

Hallintatunnukset ovat suurin yksittäinen tietomurtojen kohde ja suurin osa tietomurroista on toteutettu läpäisemällä hallintatunnus. Hallintatunnuksilla on usein suuret valtuudet sensitiiviseen dataan, joten niiden tietoturvan tulisi olla hyvin korkea. Yritykset eivät kuitenkaan usein tiedä, kuinka paljon hallintatunnuksia niillä on, ja käyttäjillä on tarpeisiinsa nähden liikaa oikeuksia.

Hallintatunnusten hallintaan on kehitetty erilaisia automaattisia ratkaisuja, jotka auttavat hallitsemaan tunnuksia ja niiden oikeuksia. Automaattisilla hallintatunnusten hallintajärjestelmillä voidaan mm. seurata, mitä oikeuksia tunnuksilla on, kenellä on tunnuksiin oikeudet, mitä tunnuksilla on tehty ja vaihtaa tunnusten salasanoja automaattisesti.

Hallintatunnuskartoituksessa yritykselle selvisi, että useimpien asiakkaiden hallintatunnuksien hallinta on ylläpitäjien omien käytäntöjen varassa. Tästä on syntynyt huonoja käytäntöjä, kuten yhteiskäytössä olevia jaettuja tunnuksia, joiden salasanat ovat heikot ja joita ei ole monitoroitu erityisen hyvin. Henkilökohtaisten tunnusten käyttöönotto vaatii kuitenkin asiakkaiden hyväksyntää ja työtunteja, joihin osa asiakkaista ei välttämättä ole valmiita investoimaan. Jaetut hallintatunnukset tulee kuitenkin tallentaa salasanapankkiin ja heikot salasanat vaihtaa vahvempiin.

Automaattista hallintajärjestelmää ei ole mahdollista ottaa käyttöön yritykselle. Automaattisia järjestelmiä voidaan kuitenkin suositella asiakkaille ja sitä kautta ottaa käyttöön myös yrityksen hallitsemissa järjestelmissä.

The purpose of this thesis project was getting to know privileged account management best practices and automated solutions. And analyze what privileged accounts an identity consultant firm has for five of their customers and how they are managed currently. Recommendations and best practices were done based on the privileged account inventory. The purpose was also to investigated would an automated management solution be viable for the firm.

Privileged accounts are the single biggest threat in hacking attempts. Most hackings are done by gaining access to a privileged account. Privileged accounts often have elevated access to sensitive data and therefore should be well protected. However, companies often don’t know how many privileged accounts they have, and users have too many privileges for their needs.

Automatic Privileged Access Management (PAM) solutions provide tools to manage privileged accounts. PAM solutions can for example manage privileged account access rights, users, provide monitoring, and automatic password management.

During the privileged account analyze it became clear that many of the privileged accounts of the investigated customers were managed by the administrators themselves. This has caused a number of bad practices, such as shared administrator accounts with weak passwords that are not well monitored. Using personal administrator accounts would require customer approval and some investments which many customers are not willing to do. Shared accounts should nevertheless be saved in a password vault and weak passwords changed.

PAM solution for the firm is not recommendable. However, PAM solution can be recommended for customers and that way use PAM in the systems controlled by the firm as well.