Előző cikkeinkben áttekintettük, hogy mik a kiemelt felhasználói azonosítólopás (privileged identity theft) tipikus módszerei, és miért jelent ez a támadási forma óriási veszélyt a vállalatok adatvagyonára. Mostani cikkünkben bemutatjuk milyen megoldások léteznek a védekezésre. (x)

A rendszergazdák és egyéb kiemelt felhasználók IT-hozzáférésének átfogó kezelése – ahogy az a sorozat korábbi cikkeiből kiderül – nem egyszerű feladat. Többek között biztosítani kell a rendszergazdák jelszavainak biztonságos tárolását, az IT-rendszerekhez való automatizált és szabályozott hozzáférését, a munkameneteik felügyeletét, sőt a jogosultságaik finomhangolását is. A helyzetet tovább bonyolítja a külső IT szolgáltatók jelenléte, akik szintén magas jogosultságú, távoli hozzáférést igényelnek a belső rendszerekhez. Belátható, hogy a fentiek manuális módszerekkel vagy egy írott biztonsági szabályzattal nem magvalósítható feladatok. A lefektetett szabályokon és eljárásokon túl szükség van az azokat kikényszerítő ún. kiemelt hozzáférés-kezelő (Privileged Access Management – PAM) eszközökre is.

Egy Kiemelt hozzáférés-kezelő rendszer alapjai

A fejlett PAM megoldások csökkentik a kockázatokat, és segítik a megfelelést (compliance) azáltal, hogy a kritikus adatokhoz való privilegizált hozzáférést szabályozzák, felügyelik és elemzik. Felszámolják a rendszergazdai jelszavak cserélgetésének rossz gyakorlatát, segítenek az egyéni elszámoltathatóságban, és – természetesen – képesek a támadások gyors felismerésére és blokkolására. Mindezt úgy, hogy a termelékenységet érdemben nem befolyásolják. Nézzük meg, hogy milyen funkciókból épül fel egy fejlett PAM rendszer:

Jelszókezelés (Privileged Password Management): a jelszókezelők a felhasználói szerepek és különféle jóváhagyási eljárások alapján automatizálják és szabályozzák a jelszavak kiadását. Alapjuk általában egy titkosított jelszószéf, amely köré különböző biztonsági funkciók épülnek, mint például a jelszavak felderítése a végpontokon, azonnali vagy ütemezett jelszócsere, erős jelszavak kikényszerítése vagy kétfaktoros hitelesítés.

Munkafolyamat-kezelés (Privileged Session Management): a privilegizált munkafolyamat-kezelő eszközök szabályozzák és filmszerűen rögzítik a rendszergazdák és külsős szolgáltatók tevékenységét. A rögzített tevékenységek indexálásra kerülnek, így később visszakereshető, hogy a felhasználó milyen parancsokat adott ki, vagy mit látott a képernyőn. Ez nagyban megkönnyíti az incidensvizsgálatot, és felgyorsítja a megfelelőségi auditokat.

Viselkedés-elemzés (Privileged User Behavior Analytics): ezek az eszközök folyamatosan figyelik és elemzik a kiemelt felhasználók viselkedését, például a bejelentkezés helyét, idejét, a kiadott parancsokat, a billentyűleütések dinamikáját, az egérmozgás mintázatát, a célszervert és még vagy tucatnyi egyéb jellemzőt. Ezek alapján beazonosíthatók, hogy kik a kockázatos felhasználók és milyen gyanús tevékenységek folynak a rendszerben. Ezek az eszközök képesek észlelni a viselkedési anomáliákat, hiszen például egy azonosító-lopás esetén szignifikánsan megváltozik az adott felhasználó profilja a megszokottól.
 

Egy átfogó kiemelt hozzáférés-kezelő (PAM) rendszer felépítése


Kiemelt jogosultságok kezelése (Privilege Elevation and Delegation Management): ezzel a funkcióval konszolidálhatjuk és egységesíthetjük a rendszergazdai jogosultságokat egy komplexebb IT-környezetben. A legkisebb jogosultság elvét (least privilege principle) követve részletesen beállíthatjuk, hogy ki, melyik szerveren, milyen jogosultsági szinten dolgozhat – milyen parancsokat adhat ki és milyeneket nem. Minden rendszergazda csak olyan jogosultságokat kap, ami a napi munkájához feltétlenül szükséges, ezáltal jelentősen csökkenthetjük az IT rendszerünk támadási felületét.

Piacon elérhető megoldások

A fenti eszközök integrált alkalmazásával a vállalatok jó eséllyel indulhatnak a rendszergazdai azonosító-lopás elleni harcba. Egy PAM rendszer képes a kiemelt felhasználók tevékenységét ellenőrzött és biztonságos keretek közé szorítani, képes a gyanús tevékenységeket kiszűrni és az anomáliákról riasztást küldeni. A cikksorozat első részében felsorolt nagy adatlopási botrányok jó része megelőzhető lett volna egy fejlett PAM megoldás átgondolt bevezetésével.

A piacon elérhető PAM megoldások sokfélék. Vannak olyanok, melyek csak egy-egy részterületre (pl. jelszókezelés) fókuszálnak, és vannak komplex megoldások is. Bármelyik utat is választjuk, ezen rendszerek integrálása, bevezetése és karbantartása sokszor időigényes és költséges feladat. A Balasys által forgalmazott One Identity Safeguard fejlesztésekor a gyors ROI meghatározó szempont volt, így egy könnyen bevezethető, egyszerűen kezelhető, mégis átfogó PAM megoldás született, amelyet már több ezer vállalat használ világszerte.

Biztonság

Lepacsizott az Amazon a német versenyhivatallal, de máris jön az újabb ügy

Az online birodalom megússza a bírságot, és 30 napon belül megteszi a szükséges változtatásokat, amelyekre az év eleje óta zajló trösztellenes vizsgálat értelmében szükség lehet. Ugyanakkor az EU pont ma indított újabb, drágának ígérkező aktát.
 
Könnyen érthető, de fejlett védelmi megoldások nélkül nehezen elhárítható módszert követnek a bizalmas információk ellopására utazó kiberbűnözők.
A VISZ éves INFOHajó rendezvényén az agilitás nagyvállalati alkalmazhatósága és tanulhatósága volt az egyik kerekasztal témája. Az ott elhangzottakat gondolta tovább Both András (Idomsoft), a kerekasztal egyik résztvevője.

Ez a nyolc technológia alakítja át a gyártást

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az Oracle átáll a féléves verzió-életciklusra, és megszünteti az ingyenes támogatást üzleti felhasználóknak. Mire kell felkészülni? Dr. Hegedüs Tamás licencelési tanácsadó (IPR-Insights Hungary) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2019 Bitport.hu Média Kft. Minden jog fenntartva.