A hackerek kifejezetten hétköznapi, feltűnésmentes jelmezt választanak: mezei felhasználónak, esetleg kiemelt jogosultságokkal rendelkező rendszergazdának álcázzák magát. Így ugyanis még komolyabb károkat okozhatnak, és még könnyebben férhetnek hozzá érzékeny adatokhoz. Nehéz őket felismerni és hatástalanítani, de nem lehetetlen a feladat a NetIQ szakértői szerint.

Az elmúlt évek tapasztalatai azt mutatják, nincs száz százalékos védelem a kiberbűnözők ellen. Egyre több olyan esetről hallunk, ahol úgy támadták meg a vállalatot, hogy feltörték vagy valamilyen módon megkerülték a tűzfalat. Ez természetesen nem azt jelenti, hogy felesleges lenne az ilyen jellegű, első számú védelmi vonalba tartozó szoftverek használata. Inkább arra utal, hogy érdemes a peremvédelmen belül is kialakítani valamilyen stratégiát a veszélyek felismerésére és elhárítására arra az esetre, ha a rosszindulatú személyek már bejutottak a hálózatba. Erre a legjobb módszer az, ha megfigyeljük és kontextusában értelmezzük az infrastruktúrában folyó tevékenységeket. Ezzel a felhasználói álcába bújt hackerek mellett az esetlegesen rosszindulatú alkalmazottakat is kiszűrhetjük.

Kép: MTI

Védelem házon belül

Ha a kiberbűnöző valahogyan bejutott a hálózaton belülre, például egy munkavállaló hozzáférési adatait ellopva, onnantól kezdve hozzáfér a legtöbb, a hálózaton található erőforráshoz, beleértve fájlokat és információkat, illetve programokat és beállításokat. Ha pedig ezeket ellopják, lemásolják, módosítják vagy törlik, az komoly károkat okozhat.

Ahhoz, hogy felismerhessük az ilyen jellegű tevékenységet, minden egyes műveletnél tudnunk kell, hogy pontosan melyik felhasználó végzi, és a megszokott munkarendjébe beleillik-e az adott aktivitás. Komoly gyanúra ad okot például, ha az adatrögzítéssel foglalkozó kolléga hozzáférésével a legújabb céges ajánlatokat, esetleg vállalati terveket vagy pénzügyeket tartalmazó mappákat nyitják meg.

Az azonban jelentős erőforrás- és időpazarlás lenne, ha minden ilyen tevékenységet személyesen kellene figyelemmel kísérniük az informatikai szakembereknek. Ezért célszerű monitorozó rendszerre bízni ezt a feladatot, és ezzel párhuzamosan identitásokat vagy szerepköröket meghatározni az egyes felhasználók vagy az egyes munkakörökben dolgozó alkalmazottak számára. A szerepkörök alapján megadhatjuk, mi számít normális tevékenységnek az adott felhasználó vagy csoport esetében a napi munka során. Végül már csak össze kell kapcsolni ezt a két elemet, azaz a monitorozó rendszerben beállítani, hogy küldjön riasztást az informatikai szakembereknek a gyanúsnak ítélt aktivitások észlelésekor.

Különleges figyelem a rendszergazdai jogosultságokon

A kiberbűnözők számára a kiemelt jogosultságok jelentik a legnagyobb értéket, hiszen ezek birtokában olyan érzékeny fájlokhoz és komolyabb beállításokhoz is hozzáférhetnek, amelyeket az általános felhasználók nem érhetnek el. Éppen ezért érdemes külön óvintézkedéseket hozni annak érdekében, hogy ezekkel ne élhessenek vissza sem a hackerek, sem a rosszindulatú alkalmazottak.

Hasznos lehet ilyen helyzetben egy, a kiemelt hozzáférések és fiókok kezelésére szolgáló szoftver. A megoldás segítségével meghatározhatjuk, milyen tevékenységeket végezhetnek a kiemelt jogosultságokkal rendelkező személyek a nagy kockázati tényezőjű tevékenységeknél, és amennyiben ettől eltérnek, a rendszer az előzetes beállításoknak megfelelően megszakíthatja a munkafolyamatot, vagy akár a hozzáférést is megvonhatja.