Egy nemrégiben készült felmérés szerint a cégek IT-biztonsági szakemberei a kibertámadásoknál is nagyobb veszélynek tartják a rosszindulatú belső személyek, munkatársak vagy alvállalkozók tevékenységét. Ezek az emberek a legnagyobb károkat kiemelt, például rendszergazdai jogosultságok birtokában okozhatják a szervezeteknek, ezért célszerű kiemelt figyelmet fordítani az adminisztrátori jogok kiosztására, kezelésére és monitorozására.
Ennek ellenére számos vállalatnál még nem létezik külön irányelv az ilyen jellegű feladatok kivitelezésére és ellenőrzésére. A téma egyik hazai szakértője, a NetIQ Novell SUSE Magyarországi Képviselet most abban segít néhány tanáccsal, hogy mit érdemes végiggondolni és átalakítani a veszélyek minimalizálásához.
1. Mérjük fel a legkomolyabb kockázatokat!
Gondoljuk át, mely szektorokban bocsátottunk ki kiemelt jogosultságokat a rendszereinken belül! Két területre érdemes különös figyelmet fordítani: a személyazonosságokat tároló adatbázisokon (például Active Directory-n vagy eDirectory-n) keresztül biztosított engedélyekre, valamint a szerver- és rendszer-felügyeleti jogosultságokra.
2. Korlátozzuk a kiemelt felhasználók számát!
Rendszeresen győződjünk meg arról, hogy csak olyan hozzáférésekkel rendelkeznek az alkalmazottak, amelyekre a munkájukhoz valóban szükség van! Emellett érdemes átgondolt folyamatot kialakítani a jogosultságok engedélyezéséhez és kiosztásához, illetve gondoskodni azok visszavonásáról, amikor már nincs rájuk szükség.
A kiemelt felhasználók számos vállalatnál teljes hozzáférést kapnak minden adminisztrátori jogosultsághoz, azonban sok esetben nem szükséges az adott munkakörhöz a mindenre kiterjedő „super user” engedély. Ezeket a jogköröket célszerű felülvizsgálni, és csak az adott tevékenységhez szükséges jogosultságokat biztosítani az adott munkatársaknak.
4. Monitorozzuk a tevékenységeket!
A visszaélések megelőzésének egyik legfontosabb eszköze a megfigyelés. Ezzel nemcsak a kiemelt jogkörökkel rendelkező alkalmazottakat ellenőrizzük, de az esetleges külső támadókat is kiszűrhetjük. Napjainkban ugyanis a támadók gyakran alkalmazzák azt a módszert, hogy belső felhasználónak álcázzák magukat, és a rendszerbe bejutva a rendszergazdák vagy más privilegizált felhasználók szintjére emelik saját jogosultságait. Ilyen hozzáféréssel felruházva már könnyedén ellophatják a kiszemelt adatokat, vagy egyéb módokon is kárt okozhatnak.
5. Használjunk dedikált eszközt!
Az adminisztrátori és egyéb kiemelt tevékenységek ellenőrzésére és kezelésére több különféle megoldás elérhető a piacon.
6. Válasszuk az igényeinknek legjobban megfelelő megoldást!
Ha úgy döntünk, igénybe vesszük egy szoftver segítségét a feladathoz, akkor a fent felsorolt pontok mellett egyéb igényeinket is célszerű áttekinteni, hogy ezeknek megfelelő megoldást választhassunk. Az alapfunkciók, azaz a kiemelt hozzáférések monitorozása mellett érdemes arra is figyelni, hogy a választott eszköz az összes kulcselemet egyszerre ellenőrizze az infrastruktúránkban, illetve képes legyen a fájlok integritását és változásait is monitorozni az érzékeny területeken. Ha vállalatunknak eleget kell tennie valamilyen megfelelőségi vagy biztonsági előírásoknak, akkor fejlett auditálási képességekre is szükség lehet. Ahol már működik valamilyen SIEM (biztonsági információ- és eseménykezelő) megoldás, ott érdemes azzal integrálható terméket választani a privilegizált felhasználók ellenőrzésére az egyszerűbb használat és jobb átláthatóság érdekében.
