Ha visszaélnek egy rendszergazdai hozzáféréssel, az komoly károkat tud okozni – írja közleményében a Micro Focus. Jó példa erre a Tesla közelmúltban napvilágot látott esete, amikor is egy munkavállaló átírta a Tesla Manufacturing Operating System rendszer kódját, és komoly mennyiségű bizalmas adatot adott ki ismeretlen harmadik félnek. Néhány nappal később pedig egy volt CIA-alkalmazottat vádoltak meg azzal, hogy régi munkaadója egyes eszközeit a WikiLeaks rendelkezésére bocsátotta. Az intő jelek tehát folyamatosan emlékeztetnek minket a lehetséges veszélyekre, ezért a vállalatoknak érdemes felülvizsgálniuk, hogyan kezelik a kiemelt hozzáféréseket és fiókokat.

PAM, a kézenfekvő megoldás

Általános esetekben megfelelő választás az ilyen visszaélések megelőzéséhez egy, a privilegizált fiókok kezelésére (Privileged Account Management – PAM) szánt szoftver. Ahogyan a Gartner is összefoglalja, „a PAM technológiák segítségével a szervezetek biztonságos, kiemelt hozzáférést nyújthatnak a kritikus erőforrásokhoz, és teljesíthetik a privilegizált fiókok és elérések biztonságossá tételére, felügyeletére és monitorozására vonatkozó előírásokat”.

A gyakorlatban ez azt jelenti, hogy egy ilyen eszközzel a vállalatok korlátozhatják, milyen feladatokat végezhetnek a kiemelt, például rendszergazdai hozzáféréssel rendelkező felhasználóik az egyes rendszerekben, meghatározott időszakokban, bizonyos parancsokkal. A megoldás monitorozza és rögzíti a tevékenységeket, ami később bizonyítékként szolgálhat az esetleges visszaéléseknél, és a rendszernaplóknál részletesebb jelentéseket tartalmaz, ami a compliance előírások teljesítésénél jelenthet hasznos támogatást.

Dupla védelem

Kritikus rendszerek és erőforrások esetében azonban érdemes egyéb eszközökkel is kiegészíteni és megerősíteni ezt a védelmi vonalat. Adódhat olyan eset például, amikor időszakos túlterheltség vagy nyári szabadságolások miatt a vállalatnak külső személyeket vagy alvállalkozókat is be kell vonnia olyan feladatok elvégzésére, amelyekhez rendszergazdai hozzáférés szükséges, és az átmeneti időszak végén, amikor már nincs rájuk szükség elfelejtik visszavonni ezeket a jogosultságokat. Szintén nem minden szervezetnél szüntetik meg azonnal a távozó kollégák fiókjait, az ilyen eléréseket pedig később akár rosszindulatú belső vagy külső támadók is kihasználhatják.

Kritikus fontosságú rendszerek esetében érdemes tehát különös figyelmet fordítani arra, hogy a kiemelt fiókoknál is érvényesüljön a legkisebb jogosultság elve. Ez azt jelenti, hogy minden alkalmazott mindig csak a munkájához szükséges, legalacsonyabb szintű hozzáférésekkel rendelkezzen. Ennek kialakításához és fenntartásához pedig a PAM eszközöket is be kell vonni a szervezeten belül már érvényben lévő személyazonosság-felügyeleti stratégiába.

IGA-ba hajtva

A modern személyazonosság-kezelő és -felügyelő (Identity Governance and Administration – IGA) megoldások lehetővé teszik, hogy a vállalatok átfogóan feltérképezzék és az illetékes személyek, részleg- és osztályvezetők bevonásával rendszeresen ellenőrizzék a szervezeten belül érvényben lévő hozzáféréseket. A fejlett IGA eszközök arra is lehetőséget biztosítanak, hogy az ellenőrzések során prioritásként kezeljék a kiemelt jogosultságokkal rendelkező felhasználókat, illetve nagyobb kockázatot jelentő területeket.

A két technológia integrálásával a vállalatok a kockázatokat is jobban felmérhetik, értékelhetik és elemezhetik. Ennek során figyelembe vehetnek olyan tényezőket is, amelyek szokatlan tevékenységeket jeleznek, például munkaidőn kívüli aktivitást vagy ismeretlen helyről történő belépést. Ezek indokoltságát pedig egyeztethetik az adott alkalmazott felettesével, ami segít kiszűrni és megakadályozni az esetleges visszaéléseket.