Highway

46_326244-P9YZ08.jpg
Forrás: ITB
Van még tennivaló a hozzáférésmenedzsmentben

Amikor a jog nem kiváltság, hanem kockázat

Iparágszerte komoly probléma az ex-munkavállalók szerződésbontás után is fennálló hozzáférése a céges adatokhoz és rendszerekhez. A szervezeten belül sokszor előfordul, hogy a felelős területek vezetői nincsenek tisztában azzal, hogy kinél maradt jogosultság, és az ebből fakadó problémákat olykor súlyuknál könnyedebben kezelik. Ez pedig cégmérettől függetlenül léket üthet a biztonságtudatosságon, a tömeges elbocsátásokat magával hozó koronavírus pedig kíméletlenül ráirányította a figyelmet egy komoly aggályra. Míg a járványhelyzet miatt a cégek zöme bezárkózott, addig a kibertér kinyílt, de nemcsak a munkavállalók, hanem a támadók előtt is. Nyitottabb lett, mint valaha.

„A koronavírus elvitte a biztonságtudatosságról a fókuszt, és »business continuity« irányába tolta, ez lépett az első helyre. Az első hullám során észveszejtő igény mutatkozott a távoli hozzáférést lehetővé tévő szolgáltatások, alkalmazások, szoftverek iránt. A cégek olyan megoldásokat kezdtek alkalmazni, amelyek nem a biztonságról voltak híresek, hanem inkább a funkcionalitást támogatták, az üzletfolytonosság lehetőségét teremtették meg. Ez viszont együtt járt a biztonsági rések megnyitásával”, foglalta össze Bencsik Balázs, a Nemzeti Kibervédelmi Intézet igazgatója.

Az amúgy is „forró” környezetben tevékenykedő szervezeteknél a jogosultságok visszavonása sokszor a prioritási lista végére csúszott, a kommunikáció, a munkamenet és a folyamatok fenntartása volt fókuszban. Azoknál a cégeknél, ahol addig nem volt a home office a kultúra szerves része, tömegesen kezdek olyan megoldásokat használni, amelyek ingyenesen elérhetők, emiatt nem voltak kifogástalanok professzionális környezetben. A költségelőnyös megoldások alkalmazása a kis-és közepes vállalkozásokat jellemzi, de nagyvállalatoknál is előfordul.

Bencsik Balázs, Nemzeti Kibervédelmi intézet
Bencsik Balázs, Nemzeti Kibervédelmi intézet

A fentiekből pedig adódik a kérdés: ha az üzletmenet-folytonosság mindent felülír, az egyébként trójai falónak számító jogosultságok kezelésére most mennyi figyelem juthat?

 

Milyen problémákra utalnak cégszinten a kallódó jogosultságok?

„A jogosultság kérdésköre COVID-19-től független probléma. Amikor összeállítunk egy tanácsadói programot, hogy az adott szervezetnél mire kell figyelni, mindig az elsők között szerepel, hogy a már nem használt jogosultságokat vissza kell vonni, és időről időre felül kell vizsgálni a meglévőket is, hogy aktuálisak-e. Ez egyébként jogszabályi kötelezettség is, sokszor mégsem történik meg”, mondta el Bencsik Balázs.

Baráti vagy ellenséges a tűz?

Az emelt szintű felhasználók tevékenységét nem igazán tudják követni, menedzselni a vállalatok, hiszen nincs olyan eszközük, mely a több forrásból származó, de egyetlen felhasználóra vonatkozó adatokat képes lenne konszolidálni, s abból következtetéseket levonni. A Ponemon Intézet kutatása szerint az esetek többségében a legtöbb vállalatnál nincs meg az erre vonatkozó szaktudás (szakember vagy technológia) házon belül.

Ez akkor jelent problémát, amikor el kellene dönteni, hogy az emelt szintű jogokkal bíró belső munkatárs tevékenységei támadásnak minősülnek-e vagy sem, fennállhat-e az az eset, hogy valaki visszaél a kiszivárgott felhasználónév-jelszó párossal? A kutatás szerint az esetek többségében ezt azért nehéz megállapítani, mert az incidensben tapasztalt felhasználói viselkedés megegyezik az alkalmazott szerepkörével és feladataival. De az is nehezíti a felderítést, hogy a biztonsági eszközök korábban túl sok hamis pozitív eredménnyel riogatták a szervezetet, vagy mert a biztonsági megoldások olyan sok adatot generálnak, hogy azokat időben képtelenség feldolgozni.

A kibervédelmi szakember véleménye szerint a jogosultságokkal való gazdálkodás nem épült bele a humánerőforrás-menedzsment rendszerbe. A folyamat kiválóan működik addig, hogy az újonnan belépő munkavállaló megkapja a szükséges jogosultságokat, ám ezek sokszor még hosszú ideig náluk maradnak a szerződésbontás után is.

„A jogosultságok vissza nem vonása tipikusan a belső kommunikáció problémáira mutat, az IT-biztonsági hiányosságokon túl. Nagyvállalati szinten a HR még talán nem talált rá a megfelelő kommunikációs csatornára, hogy a munkaviszony megszűnésével járó informatikai vonatkozásokat az IT felé továbbítsa. Ez még mindig nem jutott el a szervezetek készségszintjéig, amikor ellenőrzünk egy céget, sokszor találunk jogosultságokkal összefüggő problémákat, ami a belső kommunikációval és a szervezeti kultúrával függ össze”, mondta az NKI igazgatója.

 

Mi vár rád, kezeletlen jogosultság?

A kallódó és nem megfelelően kezelt jogosultságok számtalan veszélyforrást rejtenek. „Nem is kell hatalmas dolgokra gondolni. Tegyük fel, hogy a munkavállaló a céges emailjével regisztrált egy webshopba vagy közösségi oldalra, ahol épp adatszivárgás áll fenn. A kiszivárgott céges emaillel könnyen vissza lehet élni. Ha nincsenek karbantartva a jogosultságok, az ilyen helyzeteket kihasználva a támadók könnyedén bejuthatnak a vállalati rendszerbe, és a jogosultságok birtokában jogosultságemelést tudnak végrehajtani, ami elegendő ahhoz, hogy nyomást gyakoroljanak a szervezetre. Ha egy belső információbiztonsági felelős szemszögéből nézem a kérdést, akkor az üzleti titokhoz, a belső folyamatokhoz, a projektetekhez való hozzáférés válhat ilyen esetben igazán aggasztóvá”, világított rá Bencsik Balázs.


A jelen helyzet egyre népszerűbbé teszi a „nulla bizalom” szemléletmódot. Mivel a cégek folytonos fenyegetésnek vannak kitéve, a távmunkának köszönhetően már nemcsak kívülről, hanem belülről is, így saját szoftverekkel, a saját hálózattal és a munkavállalókkal szembeni feltétlen bizalom nem tartható, tehát a „lehető legkisebb jogosultság” elve érvényesül. Magyarán a dolgozóknak csak ahhoz lehet hozzáférésük, amire tényleg szükségük van a napi feladatok ellátásához.

 

A fenyegetett jövő árnyékában

Az jogosultságok állandó felülvizsgálásán túl a szervezeteknek meg kell birkózniuk az újszerű fenyegetésekkel is. A kis- és közepesvállalkozások első számú célpontjaivá váltak a tengerentúlon a zsarolóvírusoknak. Egy ilyen támadás során több hét, vagy akár hónap is eltelhet a rendszerhez történő kezdeti hozzáférés és az állományok tényleges titkosításának megkezdése között. A köztes időben a támadók lépésről-lépésre feltérképezik az érintett infrastruktúrát, és gyenge pontokat keresve igyekeznek hozzáférni minél több munkaállomáshoz. A nagyvállalatok, bankok, egészségügyi intézmények pedig a szolgáltatásmegtagadással járó, DDoS-támadásoknak vannak kitéve, amelyre már Magyarországon is volt példa, épp az elmúlt hetekben.

Mivel a fenyegetettség az átalakuló munkavégzési szokások miatt is folyton nő, a cégeknek a saját jól felfogott érdekükben is a támadások minimalizálására kell törekedniük, aminek első lépése a jogosultságok karban tartása.

 

Egy külföldi felmérés

A Ponemon Intézet amerikai és brit kormányzati szervezeteknél és vállalatoknál végzett felmérést. Az emelt szintű jogokkal rendelkező felhasználókat vizsgálták meg, kiváltságos felhasználóknak számították az adatbázis-adminisztrátorokat, hálózati mérnököket, IT-biztonsági szakembereket és a felhő menedzselésével foglalkozókat. Míg kisebb vállalatoknál a szerepkör alapú jogosultságokat menedzselni relatíve könnyebb, nagyobb cégeknél, szervezeteknél már árnyaltabb a kérdés. Három fő problémakörre mutattak rá.

Túl sok a jogosultság A felmérés szerint nagyon sok alkalmazottnak van olyan jogosultsága, amely nem is szükséges ahhoz, hogy munkájukat teljeskörűen ellássák. A kiváltságos jogokkal felruházott felhasználók 64 százalékának van ténylegesen szüksége az elérhető jogokra munkája elvégzésére. A megkérdezettek 36 százalékának viszont nincs szükség az összes jogokra és hozzáférésékre, mégis rendelkeznek velük.

Káosz a manuális folyamatok miatt Megvizsgálták, hogy miért is van olyan sok jogosultságuk azoknak is, akiknek nem lenne erre szükségük. A kategóriába tartozó 36 százaléknak azért van emelt szintű hozzáférése, mert a beosztási szintjükhöz tartozóknak a vállalatnál egyébként is hasonló a jogosultsága. A másik leggyakoribb ok az, hogy a vállalatnak nem sikerült ezeket a jogokat visszavonni, mikor az alkalmazottnak megváltozott a cégen belüli szerepköre, és már nem volt szüksége az emelt szintű jogosultságokra. A kiváltságos felhasználó azonban kíváncsi: az esetek 49 százalékában megnéztek vagy megnyitottak egy olyan dokumentumot, ami nem rájuk tartozott.


Hogy a vállalatoknál és kormányzati szerveknél ilyen mértékű a káosz a jogosultságok kezelésében, meg is érthető, hiszen az érintett szervezetek sok esetben (az esetek 49 százalékában) manuális folyamatok segítségével (emailen vagy telefonon keresztül) állítják be a felhasználók jogai. Az esetek 59 százalékánál valamilyen dobozos megoldást használnak a jogok menedzselésére, gyakran (47 százaléknál) a belsős fejlesztés eredményeképp létrejött megoldásokkal párhuzamosan. Vagyis nincs egy egységes, univerzális jogosultság kezelő megoldás, minden felhasználóra és folyamatra.

Mindenhol más menedzseli a jogokat Rendkívül szétszórt képet mutat a felhasználói jogok menedzselésének szerepköre, nincs univerzálisan elfogadott tulajdonos. Az válaszolók 22 százalékánál a compliance osztály menedzseli a felhasználók jogait, 20 százalékánál az IT biztonságnak is jut feladat, és a különböző üzleti csoportok is dolgoznak ezzel – az esetek 18 százalékában. De foglalkozik a kérdéssel az audit osztály, az adatközpont menedzsment és a minőségbiztosítás csoport is. A jogok menedzselésében használt rengeteg manuális megoldás miatt a szervezetek nem tudnak lépést tartani a változáskérések menedzselésével. Pedig ezek folyamatosan érkeznek az adott jogosultságkezelő megoldáshoz, és az esetek kétharmadában komoly gondot okoznak. A többválaszos kérdésből kiderült, hogy a változáskéréseket nehezen auditálják és hagyják jóvá, illetve sok időt vesz el az emelt szintű felhasználók hozzáférésének biztosítása, és így nem tudják a belső kiszolgálási SLA-kat tartani.

 

Költséges feladat a jogosultságkezelés

Az esetek 40 százalékában nagyon sok alkalmazottra lenne szükség az emelt szintű felhasználók jogainak menedzselésére, így nem meglepő módon meglehetően sok költséget foglal le a feladat. Azt is kiderült a kutatásból, hogy az alkalmazottak nem tudják kitől és hol kellene felhasználói jogosultságokat kérni: az esetek 38 százalékában rossz helyre fordulnak, ahol eleve nem tudnak nekik segíteni. Akadályozza a jogosultságkezelés folyamatát, hogy nincs meghatározott folyamat a kivételek kezelésére. Beszédes, hogy az IT és az üzlet közös nyelvezetének hiánya az esetek közel negyedében hátráltatja ezt a folyamatot.

Amerikában sem jobb a helyzet

Az Enterprise Management Association tavaly felmérte a kiemelt hozzáféréskezelés tájképét. Eszerint évente átlag 3,2 esetben sérülnek az irányelvek a vizsgált cégeknél, a „sérülések” helyrehozása átlag 5580 dollárba került. Vagyis a cégeknek évente átlag 17856 dollárt kellett költenie a vonatkozó menedzsment hiányosságai miatt. Ehhez képest a válaszolók 80 százaléka elégedett volt a használt eszközökkel és a követett stratégiával... (A felmérést a Forbes idézte 2019.07. 16-án)

Mivel a szervezetek (az esetek 43 százalékában) nem tudják, hogy a felhasználók pontosan milyen jogokkal rendelkeznek, azt sem tudják eldönteni, hogy betartják-e az érvényes szabályzatokat. Állandó bizonytalanság és bizalmatlanság övezi ezeket a felhasználókat, miközben a szervezetek nem is nagyon tudnak ezen változtatni, hiszen nem képesek a jogosultságokban bekövetkező változásokat megfelelően karbantartani, kezelni.