A kiemelt jogosultságok kezelésének legégetőbb kérdései, hogy hol vannak az informatikai rendszerek kritikus pontjai, kiknek van hozzáférése ezekhez, illetve mennyire tartjuk lojálisnak őket ahhoz, hogy rájuk bízzuk az érzékeny adatainkat és az üzletmenet folytonossága szempontjából létfontosságú rendszereink működését. (x)

Sajnos egyetlen szervezetnek sincs lehetősége arra, hogy egy láthatatlan kézzel kontrollálja a kiemelt jogosultságú felhasználókat. Pedig a biztonsági incidensek és kritikus hibák veszélyétől való félelem valós, amit az is bizonyít, hogy az auditorok is kiemelt figyelmet fordítanak erre a területre. Bár egy sztenderd felhasználói fiók kompromittálódása is komoly kockázatot jelenthet, sokkal nagyobb eséllyel kerülhet a hírekbe vállalatunk, ha egy kiemelt jogosultságokkal rendelkező felhasználói fiókot szereznek meg a támadók.

Az IAM (Identity and Access Management) projektek többsége arra koncentrál, hogy megadják, karbantartsák, ellenőrizzék és szabályozzák a felhasználók hozzáféréseit a kritikus erőforrásokhoz. Ezek a projektek abban érdekeltek, hogy egyszerű és akadálytalan hozzáférést biztosítsanak egyszerre nagyszámú felhasználónak az IT-üzemeltetés minimális zavarása mellett.

Ezen túl azonban sokszor hajlamosak vagyunk megfeledkezni arról a tényről, hogy a legnagyobb veszélyforrást a kiemelt jogosultságú felhasználók jelentik az informatikai rendszerekben, ezért ez a terület külön figyelmet érdemel. Kutatások szerint a biztonsági incidensek 80 százalékában játszik szerepet privilegizált fiókok kihasználása.

Mi a baj kiemelt jogosultságokkal?

A kiemelt jogosultságok menedzsmentje (Privileged Access Management – PAM) az adminisztratív hozzáférésekkel végzett tevékenységek kontrollálását és auditálását jelenti.

A privilegizált felhasználói fiókok szolgálnak arra, hogy az egyes rendszerekben a különböző adminisztratív, karbantartási és egyéb műveletek elvégezhetőek legyenek. Ahhoz, hogy létrehozzanak egy felhasználói fiókot, új jelszót generáljanak valakinek, vagy telepítsenek egy szoftverfrissítést, ezekre a kiemelt jogosultságokra van szükség. A tipikus kiemelt jogosultságok közé tartozik például a Unix root, az Active Directory vagy az adminisztrátori hozzáférés egy adatbázishoz.

Ezek a hozzáférések azonban biztonsági szempontból több hibával is rendelkeznek.

– Teljes körű jogosultságot biztosítanak: mivel ezek a jogosultságok gyakorlatilag mindenhatóak, ha valaki megszerzi a hozzá tartozó jelszót, szinte bármit megtehet.
– Megosztottak: az összes olyan munkatárs, akinek adminisztratív feladata van az adott rendszerben, rendelkezik a hozzáféréshez szükséges azonosítóval.
– Felhasználók anonimitása: mivel akár húsz munkatárs is használhatja ugyanazt a felhasználói fiókot, nincs egyéni elszámoltathatósága a kollégáknak.
– Nem auditálhatóak: a felhasználók tevékenységének nyomon követése legjobb esetben is rendkívül nehéz, de gyakran teljesen lehetetlen.
– Nélkülözhetetlenek: nem lehet eltekinteni ezektől, ugyanis az IT csapatok, ide értve a szerződéses partnereket és szoftvergyártókat is, kiemelt jogosultságú hozzáférés nélkül nem lennének képesek ellátni a feladataikat.

Privilegizált hozzáférések menedzsmentjének kulcstényezői

A biztonsági kockázatok megszüntetéséhez tehát úgy kell kiküszöbölni ezeket a problémákat, hogy aközben ne csökkenjen az IT-osztályok munkavégzésének hatékonysága. Nézzük a legfontosabb teendőket!

1. A jelszavak megosztásának megszüntetése. A privilegizált hozzáférések megosztásának megszüntetése nagy előrelépést jelent a biztonsági kockázatok csökkentésében, azonban nem triviális a problémakör. Ahelyett, hogy megkíséreljük manuálisan kezelni a hozzáférésekkel kapcsolatos jogosultságokat és jelszavakat, válasszunk egy automatizált jelszószéf megoldást, amely ellátja a jogosultságok kiosztásának összetett feladatát. Ha egy adminisztrátornak teljes körű hozzáférésre van szüksége, a jelszószéfen keresztül tudják igényelni azt. A jelszószéf ellenőrzi a szabályzatot, és meghatározott időre adja ki a jogosultságot, amennyiben minden feltétel teljesül. A jelszó visszaadásakor az automatikusan megváltozik, és az egész folyamat naplózásra kerül. A jelszószéf választásánál fontos arra is odafigyelni, hogy olyan eszköz legyen, amely képes például az alkalmazás-alkalmazás vagy alkalmazás-adatbázis közötti kommunikációhoz használt beépített jelszavak kezelésére is. Ez ugyanis egy nagyon gyakran figyelmen kívül hagyott biztonsági rést szokott okozni a hozzáférés menedzsmentben.

2. Az alacsonyabb jogosultsági szintek kikényszerítése. Az elvégzendő adminisztratív feladatok az esetek nagy részében – legyen szó például egy új felhasználó beállításáról, jelszó visszaállításról, vagy egy biztonsági mentésről – a hozzáférés képességeinek csak kis részét indokolják. A legalacsonyabb jogosultság elve azt jelenti, hogy minden adminisztrátornak csupán annyi jogosultságot érdemes adni, amennyi az adott munkának az elvégzéséhez feltétlen szükséges.

3. A kiemelt hozzáférések auditálása. Nem elegendő csupán azt szabályozni, hogy melyik adminisztrátorok milyen jogosultságokat kapnak, hanem fontos azt is nyomon követni, hogy az adott felhasználók pontosan milyen tevékenységet végeznek a jogosultságaik birtokában. A kiemelt hozzáférésekkel végrehajtott munkafolyamatok auditálásának képessége ugyanis nem csak biztonsági, hanem compliance szempontból is rendkívül fontos. Olyan jelszómenedzsment megoldást érdemes választani, amely rendelkezik – vagy legalább hatékonyan integrálható – olyan funkcionalitással, amivel részletesen nyomon követhető a privilegizált felhasználók tevékenysége. Erre több technológiai megközelítés létezik a billentyűleütés naplózásán alapuló megoldástól az ennél fejlettebb, a teljes adminisztrációs tevékenységet akár grafikus formában is rögzíteni képes technológiákig, melyekre esetleg még gépi tanuláson alapuló viselkedéselemzési képesség is építhető.

Integrált megoldások

Ha a fenti elvek külön-külön teljesülnek, még akkor is kudarcba fulladhat egy PAM-projekt, ja az egyes funkciókat olyan megoldásokkal akarják megvalósítani, melyek nem integrálhatóak (hatékonyan) egymással. A PAM piac meghatározó magyar szállítójaként ismert Balasys, amely a One Identity disztribútoraként a teljes IAM termékpalettát lefedi a portfóliójával, a One Identity Safeguard for Privileged Passwords, Privileged Session és Privileged Analytics megoldáscsomagját ajánlja a PAM-projektek megvalósításához.

A jelentős részben Budapesten fejlesztett technológia a legszélesebb körű funkcionalitással rendelkezik a piacon. Alkalmazásával biztonságossá, ellenőrizhetővé és elemezhetővé válnak a privilegizált hozzáférések, ami lehetővé teszi a kockázatok csökkentését és elősegíti a compliance teljesítését. A Privileged Passwords teljes körű jelszómenedzsment-szolgáltatást kínál, a Privileged Session pedig képes az összes felhasználói aktivitást egyedülálló audit trail állományokba rögzíteni az összes billentyűleütés naplózása mellett. A Privileged Analytics a legfejlettebb viselkedéselemző képességgel rendelkezik, mely képes akár a gépelési dinamika, vagy az egérmozgatás karakterisztikája alapján azonosítani az egyes felhasználókat.

Tudjon meg többet a kiemelt jogosultságú felhasználók menedzsmentjéről: www.balasys.hu

Biztonság

Rugalmasan korlátos csomagokra váltott a Telenor

Az új kézbe került szolgáltatónál a vezetőség után a terifacsomagoknál is frissítenek. A korlátlan adatforgalmat jó áron biztosító Hello Data megy, helyébe rugalmasabb, de drágább konstrukciók lépnek.
 
Hirdetés

Az ipar digitalizációja a munkaerőpiacot is átformálja

A digitalizáció, amely hamarosan az élet minden területét áthatja, a legelsők között az ipar újabb forradalmát indította el. A folyamat újfajta tudással felvértezett szakembereket igényel. Őket várja folyamatosan bővülő budapesti Industry X.0 csapatába az Accenture is.

Hirdetés

Gépek között, avagy az API kommunikáció rejtett buktatói

Az API kommunikáció biztonsági aspektusaira egyelőre nincsenek egzakt válaszok, de a Balasys megoldása segít a kikerülhetetlenné váló, API-k által jelentett biztonsági kockázatok kezelésében.

A fintech vállalkozásokat helyzetbe hozó európai uniós direktíva általánosságban nem ront a biztonsági helyzeten a bankok szerint. Bizonyos támadási formák azonban elszaporodhatnak, ha nem vigyázunk.

a melléklet támogatója a Balasys

A VISZ éves INFOHajó rendezvényén az agilitás nagyvállalati alkalmazhatósága és tanulhatósága volt az egyik kerekasztal témája. Az ott elhangzottakat gondolta tovább Both András (Idomsoft), a kerekasztal egyik résztvevője.

Ez a nyolc technológia alakítja át a gyártást

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2018 Bitport.hu Média Kft. Minden jog fenntartva.