Előző cikkeinkben áttekintettük, hogy mik a kiemelt felhasználói azonosítólopás (privileged identity theft) tipikus módszerei, és miért jelent ez a támadási forma óriási veszélyt a vállalatok adatvagyonára. Mostani cikkünkben bemutatjuk milyen megoldások léteznek a védekezésre. (x)
Hirdetés
 

A rendszergazdák és egyéb kiemelt felhasználók IT-hozzáférésének átfogó kezelése – ahogy az a sorozat korábbi cikkeiből kiderül – nem egyszerű feladat. Többek között biztosítani kell a rendszergazdák jelszavainak biztonságos tárolását, az IT-rendszerekhez való automatizált és szabályozott hozzáférését, a munkameneteik felügyeletét, sőt a jogosultságaik finomhangolását is. A helyzetet tovább bonyolítja a külső IT szolgáltatók jelenléte, akik szintén magas jogosultságú, távoli hozzáférést igényelnek a belső rendszerekhez. Belátható, hogy a fentiek manuális módszerekkel vagy egy írott biztonsági szabályzattal nem magvalósítható feladatok. A lefektetett szabályokon és eljárásokon túl szükség van az azokat kikényszerítő ún. kiemelt hozzáférés-kezelő (Privileged Access Management – PAM) eszközökre is.

Egy Kiemelt hozzáférés-kezelő rendszer alapjai

A fejlett PAM megoldások csökkentik a kockázatokat, és segítik a megfelelést (compliance) azáltal, hogy a kritikus adatokhoz való privilegizált hozzáférést szabályozzák, felügyelik és elemzik. Felszámolják a rendszergazdai jelszavak cserélgetésének rossz gyakorlatát, segítenek az egyéni elszámoltathatóságban, és – természetesen – képesek a támadások gyors felismerésére és blokkolására. Mindezt úgy, hogy a termelékenységet érdemben nem befolyásolják. Nézzük meg, hogy milyen funkciókból épül fel egy fejlett PAM rendszer:

Jelszókezelés (Privileged Password Management): a jelszókezelők a felhasználói szerepek és különféle jóváhagyási eljárások alapján automatizálják és szabályozzák a jelszavak kiadását. Alapjuk általában egy titkosított jelszószéf, amely köré különböző biztonsági funkciók épülnek, mint például a jelszavak felderítése a végpontokon, azonnali vagy ütemezett jelszócsere, erős jelszavak kikényszerítése vagy kétfaktoros hitelesítés.

Munkafolyamat-kezelés (Privileged Session Management): a privilegizált munkafolyamat-kezelő eszközök szabályozzák és filmszerűen rögzítik a rendszergazdák és külsős szolgáltatók tevékenységét. A rögzített tevékenységek indexálásra kerülnek, így később visszakereshető, hogy a felhasználó milyen parancsokat adott ki, vagy mit látott a képernyőn. Ez nagyban megkönnyíti az incidensvizsgálatot, és felgyorsítja a megfelelőségi auditokat.

Viselkedés-elemzés (Privileged User Behavior Analytics): ezek az eszközök folyamatosan figyelik és elemzik a kiemelt felhasználók viselkedését, például a bejelentkezés helyét, idejét, a kiadott parancsokat, a billentyűleütések dinamikáját, az egérmozgás mintázatát, a célszervert és még vagy tucatnyi egyéb jellemzőt. Ezek alapján beazonosíthatók, hogy kik a kockázatos felhasználók és milyen gyanús tevékenységek folynak a rendszerben. Ezek az eszközök képesek észlelni a viselkedési anomáliákat, hiszen például egy azonosító-lopás esetén szignifikánsan megváltozik az adott felhasználó profilja a megszokottól.
 

Egy átfogó kiemelt hozzáférés-kezelő (PAM) rendszer felépítése


Kiemelt jogosultságok kezelése (Privilege Elevation and Delegation Management): ezzel a funkcióval konszolidálhatjuk és egységesíthetjük a rendszergazdai jogosultságokat egy komplexebb IT-környezetben. A legkisebb jogosultság elvét (least privilege principle) követve részletesen beállíthatjuk, hogy ki, melyik szerveren, milyen jogosultsági szinten dolgozhat – milyen parancsokat adhat ki és milyeneket nem. Minden rendszergazda csak olyan jogosultságokat kap, ami a napi munkájához feltétlenül szükséges, ezáltal jelentősen csökkenthetjük az IT rendszerünk támadási felületét.

Piacon elérhető megoldások

A fenti eszközök integrált alkalmazásával a vállalatok jó eséllyel indulhatnak a rendszergazdai azonosító-lopás elleni harcba. Egy PAM rendszer képes a kiemelt felhasználók tevékenységét ellenőrzött és biztonságos keretek közé szorítani, képes a gyanús tevékenységeket kiszűrni és az anomáliákról riasztást küldeni. A cikksorozat első részében felsorolt nagy adatlopási botrányok jó része megelőzhető lett volna egy fejlett PAM megoldás átgondolt bevezetésével.

A piacon elérhető PAM megoldások sokfélék. Vannak olyanok, melyek csak egy-egy részterületre (pl. jelszókezelés) fókuszálnak, és vannak komplex megoldások is. Bármelyik utat is választjuk, ezen rendszerek integrálása, bevezetése és karbantartása sokszor időigényes és költséges feladat. A Balasys által forgalmazott One Identity Safeguard fejlesztésekor a gyors ROI meghatározó szempont volt, így egy könnyen bevezethető, egyszerűen kezelhető, mégis átfogó PAM megoldás született, amelyet már több ezer vállalat használ világszerte.

Biztonság

Újabb robotflotta vág bele az ételszállításba

A Rev-1 névre keresztelt járgány három kerekével, méretével és közlekedési szokásaival hoz némi színt az egyre sűrűbb mezőnyben.
 
Hirdetés

HPE Primera: garantáltan zéró adatvesztés

Felhőalapú gépi tanulási algoritmusainak köszönhetően a HPE Infosight képes a tárolók és alkalmazások közötti meghibásodások 86 százalékát előre jelezni és megakadályozni.

Hirdetés

Ez bárkinek megér havi pár száz forintot

Két ember van: aki már leejtette a mobilját, és aki le fogja ejteni. De fel lehet készülni erre – egy jó készülékbiztosítással.

Nem elég beszélni róla, tenni is kell azért, hogy jövőállóbbak legyenek a vállalatok. Szerencsére ebben rengeteg technológia áll már a rendelkezésre, csak győzzünk válogatni közöttük.

a melléklet támogatója az Invitech

A VISZ éves INFOHajó rendezvényén az agilitás nagyvállalati alkalmazhatósága és tanulhatósága volt az egyik kerekasztal témája. Az ott elhangzottakat gondolta tovább Both András (Idomsoft), a kerekasztal egyik résztvevője.

Ez a nyolc technológia alakítja át a gyártást

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az Oracle átáll a féléves verzió-életciklusra, és megszünteti az ingyenes támogatást üzleti felhasználóknak. Mire kell felkészülni? Dr. Hegedüs Tamás licencelési tanácsadó (IPR-Insights Hungary) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2019 Bitport.hu Média Kft. Minden jog fenntartva.