Drága (farsangi) mulatság lehet, ha bedől az álcának
"Az erény fátylat visel, az erkölcstelenség maszkot."
Victor Hugo
Itt a farsang, amikor – ha mi magunk esetleg nem is öltünk maskarát – rengeteg ötletes jelmezről látunk-hallunk a környezetünkben. Ilyenkor elfogadott, ha valaki álarc mögé bújik, de az informatika világában ebben az időszakban is résen kell lenni, hogy kiszúrhassuk, ha valaki álruhában tevékenykedik a hálózaton belül. A hackerek ugyanis kifejezetten hétköznapi, feltűnésmentes jelmezt választanak: mezei felhasználónak, esetleg kiemelt jogosultságokkal rendelkező rendszergazdának álcázzák magát. Így ugyanis még komolyabb károkat okozhatnak, és még könnyebben férhetnek hozzá érzékeny adatokhoz. Nehéz őket felismerni és hatástalanítani, de nem lehetetlen a feladat a NetIQ szakértői szerint.
Az elmúlt évek tapasztalatai azt mutatják, nincs száz százalékos védelem a kiberbűnözők ellen. Egyre több olyan esetről hallunk, ahol úgy támadták meg a vállalatot, hogy feltörték vagy valamilyen módon megkerülték a tűzfalat. Ez természetesen nem azt jelenti, hogy felesleges lenne az ilyen jellegű, első számú védelmi vonalba tartozó szoftverek használata. Inkább arra utal, hogy érdemes a peremvédelmen belül is kialakítani valamilyen stratégiát a veszélyek felismerésére és elhárítására arra az esetre, ha a rosszindulatú személyek már bejutottak a hálózatba. Erre a legjobb módszer az, ha megfigyeljük és kontextusában értelmezzük az infrastruktúrában folyó tevékenységeket. Ezzel a felhasználói álcába bújt hackerek mellett az esetlegesen rosszindulatú alkalmazottakat is kiszűrhetjük.
Védelem házon belül
Ha a kiberbűnöző valahogyan bejutott a hálózaton belülre, például egy munkavállaló hozzáférési adatait ellopva, onnantól kezdve hozzáfér a legtöbb, a hálózaton található erőforráshoz, beleértve fájlokat és információkat, illetve programokat és beállításokat. Ha pedig ezeket ellopják, lemásolják, módosítják vagy törlik, az komoly károkat okozhat.
Ahhoz, hogy felismerhessük az ilyen jellegű tevékenységet, minden egyes műveletnél tudnunk kell, hogy pontosan melyik felhasználó végzi, és a megszokott munkarendjébe beleillik-e az adott aktivitás. Komoly gyanúra ad okot például, ha az adatrögzítéssel foglalkozó kolléga hozzáférésével a legújabb céges ajánlatokat, esetleg vállalati terveket vagy pénzügyeket tartalmazó mappákat nyitják meg..
Az azonban jelentős erőforrás- és időpazarlás lenne, ha minden ilyen tevékenységet személyesen kellene figyelemmel kísérniük az informatikai szakembereknek. Ezért célszerű monitorozó rendszerre bízni ezt a feladatot, és ezzel párhuzamosan identitásokat vagy szerepköröket meghatározni az egyes felhasználók vagy az egyes munkakörökben dolgozó alkalmazottak számára. A szerepkörök alapján megadhatjuk, mi számít normális tevékenységnek az adott felhasználó vagy csoport esetében a napi munka során. Végül már csak össze kell kapcsolni ezt a két elemet, azaz a monitorozó rendszerben beállítani, hogy küldjön riasztást az informatikai szakembereknek a gyanúsnak ítélt aktivitások észlelésekor.
Egy ilyen rendszer kialakítása és beállítása elsőre bonyolult feladatnak tűnhet, a NetIQ biztonsági események kezelésére létrehozott portfóliójában azonban minden szükséges elem megtalálható hozzá. Ráadásul a NetIQ szoftverei nem csupán riasztás küldésére alkalmasak, de vészhelyzetben akár automatikusan is megteszik a szükséges lépéseket a veszélyek elhárítására. Ezzel nem csupán növeljük a biztonságot, illetve csökkentjük a kockázatokat, de bizonyos előírások és megfelelőségi követelmények teljesítését is egyszerűbben végezhetjük és igazolhatjuk.
Különleges figyelem a rendszergazdai jogosultságokon
A kiberbűnözők számára a kiemelt jogosultságok jelentik a legnagyobb értéket, hiszen ezek birtokában olyan érzékeny fájlokhoz és komolyabb beállításokhoz is hozzáférhetnek, amelyeket az általános felhasználók nem érhetnek el. Éppen ezért érdemes külön óvintézkedéseket hozni annak érdekében, hogy ezekkel ne élhessenek vissza sem a hackerek, sem a rosszindulatú alkalmazottak.
Hasznos lehet ilyen helyzetben egy, a kiemelt hozzáférések és fiókok kezelésére szolgáló szoftver. A NetIQ Privileged Account Manager például a kiemelt fiókok tevékenységeinek kezelése és felügyelete mellett azok rögzítésére is lehetőséget biztosít. Ráadásul hatékony kockázatelemző eszközöket tartalmaz, amelyek képesek visszajátszani a felhasználó műveleteket akár a billentyűleütések szintjéig. A megoldás segítségével meghatározhatjuk, milyen tevékenységeket végezhetnek a kiemelt jogosultságokkal rendelkező személyek a nagy kockázati tényezőjű tevékenységeknél, és amennyiben ettől eltérnek, a rendszer az előzetes beállításoknak megfelelően megszakíthatja a munkafolyamatot, vagy akár a hozzáférést is megvonhatja.