A cégek IT-biztonsági szakemberei a kibertámadásoknál is nagyobb veszélynek tartják a rosszindulatú belső személyek, munkatársak vagy alvállalkozók tevékenységét. Ezek az emberek a legnagyobb károkat kiemelt, például rendszergazdai jogosultságok birtokában okozhatják a szervezeteknek, ezért célszerű kiemelt figyelmet fordítani az adminisztrátori jogok kiosztására, kezelésére és monitorozására.
Egy nemrégiben készült felmérés szerint sok vállalatnál még nem létezik külön irányelv az ilyen jellegű feladatok kivitelezésére és ellenőrzésére. A téma egyik hazai szakértője, a NetIQ Novell SUSE abban segít néhány tanáccsal, hogy mit érdemes végiggondolni és átalakítani a veszélyek minimalizálásához.
1. Mérjük fel a legkomolyabb kockázatokat!
Gondoljuk át, mely szektorokban bocsátottunk ki kiemelt jogosultságokat a rendszereinken belül! Két területre érdemes különös figyelmet fordítani: a személyazonosságokat tároló adatbázisokon (például Active Directory-n vagy eDirectory-n) keresztül biztosított engedélyekre, valamint a szerver- és rendszerfelügyeleti jogosultságokra.
2. Korlátozzuk a kiemelt felhasználók számát!
Rendszeresen győződjünk meg arról, hogy csak olyan hozzáférésekkel rendelkeznek az alkalmazottak, amelyekre a munkájukhoz valóban szükség van! Emellett érdemes átgondolt folyamatot kialakítani a jogosultságok engedélyezéséhez és kiosztásához, illetve gondoskodni azok visszavonásáról, amikor már nincs rájuk szükség.
3. Korlátozzuk, ki mit ér el!
A kiemelt felhasználók számos vállalatnál teljes hozzáférést kapnak minden adminisztrátori jogosultsághoz, azonban sok esetben nem szükséges az adott munkakörhöz a mindenre kiterjedő „super user” engedély. Ezeket a jogköröket célszerű felülvizsgálni, és csak az adott tevékenységhez szükséges jogosultságokat biztosítani az adott munkatársaknak.
4. Monitorozzuk a tevékenységeket!
A visszaélések megelőzésének egyik legfontosabb eszköze a megfigyelés. Ezzel nemcsak a kiemelt jogkörökkel rendelkező alkalmazottakat ellenőrizzük, de az esetleges külső támadókat is kiszűrhetjük. Napjainkban ugyanis a támadók gyakran alkalmazzák azt a módszert, hogy belső felhasználónak álcázzák magukat, és a rendszerbe bejutva a rendszergazdák vagy más privilegizált felhasználók szintjére emelik saját jogosultságait. Ilyen hozzáféréssel felruházva már könnyedén ellophatják a kiszemelt adatokat vagy egyéb módokon is kárt okozhatnak.
5. Használjunk dedikált eszközt!
Az adminisztrátori és egyéb kiemelt tevékenységek ellenőrzésére és kezelésére több különféle megoldás elérhető a piacon. Az igazán fejlett eszközök, mint például a NetIQ Privileged User Manager, egyszerűen és gyorsan bevezethetők és használhatók, és automatikus riasztást küldenek bármilyen gyanús tevékenységről.
6. Válasszuk az igényeinknek megfelelő megoldást!
Az alapfunkciók, azaz a kiemelt hozzáférések monitorozása mellett érdemes arra is figyelni, hogy a választott eszköz az összes kulcselemet egyszerre ellenőrizze az infrastruktúránkban, illetve képes legyen a fájlok integritását és változásait is monitorozni az érzékeny területeken. Ha vállalatunknak eleget kell tennie valamilyen megfelelőségi vagy biztonsági előírásoknak, akkor fejlett auditálási képességekre is szükség lehet. Ahol már működik valamilyen SIEM-megoldás (biztonsági információ- és eseménykezelő eljárás), ott érdemes azzal integrálható terméket választani a privilegizált felhasználók ellenőrzésére.
Forrás: Infotér