Splunk Cloud og nødkonto – Har du kontroll på bruken?

Hva er en nødkonto og hvorfor trenger du en

En nødkonto, også kalt «Break the glass» konto, er en konto som brukes til nødformål for å få tilgang til et system eller en tjeneste som ikke er tilgjengelig under vanlige kontroller.

Det kan være mange grunner til at et system eller en tjeneste blir utilgjengelig under vanlige kontroller. I dag som de fleste bruker en variant av hybride skyløsninger så kan det bli kommunikasjonsbrudd mellom en tjeneste og autentifiserings kontrollen. I verste fall kan det være snakk om et datainnbrudd hvor en ondsinnet aktør har tatt kontroll over tjenesten for autentifiserings kontroll.

Hvordan beskytter du nødkontoen best mulig

Teknisk sett så er nødkontoen din en bakdør inn i dine systemer og den har med stor sannsynlighet høyeste mulige rettighets nivå. Derfor er dette kanskje den kontoen du må beskytte og kontrollere tettest av alle.

For å ivareta sikkerheten på nødkontoen så er det noen tiltak som bør vurderes, aller helst bør de alle utføres, men det er kanskje ikke alltid mulig.

• Begrens tilgang: Nødkontoen skal bare være kjent for en liten gruppe med autoriserte ansatte, og tilgangen til å logge på med kontoen bør være enda færre. Typisk sett bør en slik konto ha passord som må hentes ut av en safe eller liknende.

• Passord og MFA: For en nødkonto er det ikke alltid mulig å sette opp en 2FA eller MFA validering, derfor bør det her benyttes et så langt som mulig passord, dette er et passord som det ikke er ønskelig at noen skal gå rundt å huske på.

• Monitorer bruken: All bruk av nød kontoen skal monitorers og logges for å oppdage unormal aktivitet og tegn på uautorisert bruk.

• Bruk strenge retningslinjer og prosedyrer: Bruken av nødkontoen bør styres av strenge retningslinjer og prosedyrer som beskriver når og hvordan de kan brukes. Dette inkluderer prosedyrer for å endre passord, rotere tilgang og gjennomgå aktivitetslogger.

• Regelmessig test og oppdatering: Regelmessig testing og oppdatering av nødkontoen kan bidra til å identifisere og adressere sårbarheter og sikre at det forblir effektivt i nødssituasjoner.

• Tren regelmessig: Ansatte som er autorisert til å bruke nødkontoen bør motta regelmessig opplæring i beste praksis for sikkerhet og riktig bruk av disse kontoene.

Hvordan kan du ta kontroll på bruken av nødkonto

Stikkordet her er logge og monitorere. For bruk av nødkonto i Splunk Cloud så logges dette allerede internt i Splunk. Et søk på index=_audit vil gi deg alle interne Splunk audit logger, spesifiserer du nødkontoen med user=nødkonto så har du en god start for å kontrollere audit.

Men å ha loggene gir ikke kontroll. Det gir grunnlaget for å kunne ta kontroll. Du må skrive noen søk som grunnlag til alarmer, rapporter og dashbord. Det er først da du nærmer deg å ha kontroll, i sammenheng med alt vi har vært igjennom tidligere i denne artikkelen.

Slik har jeg løst utfordringen for mine kunder

Jeg har utviklet meg et sett med søk som gir grunnlag for alarmering, rapportering og monitorering av bruken på nød kontoen.

• Alarmerer på aktivitet: Dersom nødkontoen logger seg inn i Splunk Cloud, trigges det en alarm. Mottakere av denne alarmen varierer med kundene, jeg ønsker at denne skal gå rett til servicedesk løsningen til kunden slik at det ikke er person avhengig.

  Jeg legger gjerne inn navn på noen kontaktpersoner som kan kontaktes dersom denne utløses, da blir denne informasjonen med i hendelsen som opprettes servicedesk løsningen.

• Rapporter på aktivitet: Muligheten til å kunne hente ut rapport på audit aktivitet fra nødkontoen på regelmessig intervall. Bør ideelt settes opp som automatisert rapport, f.eks månedlig.

• Monitorer aktiviteten: Med et dashbord som viser aktiviteten for ikke bare nødkontoen, men også alle andre konter som logger inn i Splunk Cloud ved å omgå vanlige kontroller.