Security

26_vault1_420px
Forrás: -

Ellenőrzött állományok

Egyre több szervezet védi magát és adatait az illetéktelen behatolókkal szemben. De mit lehet tenni azokkal, akik jogosultan férnek hozzá bizonyos adatokhoz – csak éppen nem azt teszik velük, amire felhatalmazásuk van?

Az információbiztonság egyik állandó paradoxona, hogy a felhasználóknak hozzáférést kell biztosítani az információkhoz, különben nem tudják elvégezni a munkájukat – ami viszont együtt jár azzal a veszéllyel is, hogy a birtokukba került információt a cég számára káros módon használják fel. Egy értékesítőnek hozzá kell férnie az ügyféladatokhoz – de hogyan különböztetjük meg a napi rutinhoz kötődő lekérdezéseket a versenytárs számára végzett kémkedéstől?

 

Ahol a meglévő nem elég

Az évek során számtalan különféle megoldás született a bizalmas adatok védelmére. A dlp- (data loss prevention) rendszerek az információk meghatározott körének esetleges „szivárgását” figyelik és ellenőrzik; az adatbázis-tevékenységeket ellenőrző (database activity monitoring) eszközök pedig, ahogy nevükből is következik, az adatbázisokban segítenek felderíteni a szokatlan, és ezért veszélyesnek minősülő eseményeket.


Ezek azonban még mindig őrizetlenül hagyják a vállalati információk egyik nagy kincsestárát, az állománytárakat. Léteznek ugyan logelemző és biztonsági eseménykezelő rendszerek, de ezek inkább csak rögzítik a történéseket, ritkán kapcsolják össze az állományokat és a felhasználókat szerepkörökkel és jogosultsági csoportokkal, nem támogatják az eljárásrenden alapuló riasztásokat, és nem teszik lehetővé a hozzáférési jogok átfogó auditját, ami pedig egyre több iparágban válik szükségessé – derül ki a Securosis biztonsági elemzőcég tanulmányából.

A megoldást az eszközök egy új kategóriája, az úgynevezett állománytevékenységet figyelő (file activity monitoring, fam) megoldások jelenthetik. Ezek olyan szoftverek, amelyek a kijelölt állományrendszerekben a felhasználók szintjén figyelik és rögzítik az összes tevékenységet, és képesek riasztásokat kiadni az előre definiált szabályok megsértése esetén.

 

Más, mint a dlp

A fenti definícióból egyből számos követelmény adódik a fam-rendszerekkel szemben. A hatékony megoldás többféle állományrendszerrel is képes együttműködni, legyenek azok hálózati állománymegosztások, dokumentumkezelő rendszerek vagy egyebek. Az állományokkal kapcsolatos összes tevékenységet nyomon tudja követni, legyen az megnyitás, módosítás, mentés, másolás vagy törlés. Az egyszerűbb felügyelhetőség érdekében több állománytárban zajló eseményeket is figyel, azokat egységesen rögzíti, tárolja. A rögzített eseményeket a felhasználókhoz köti, miközben a vállalati címtárral való integráció révén megérti és feldolgozza az adott felhasználó szerepkör alapú vagy csoportszintű jogosultságait. Ha szokatlan vagy a szabályokba ütköző tevékenységet észlel (akár egy felhasználóval, akár egy állománnyal kapcsolatban), legyen képes riasztásokat generálni; végül pedig a biztonsági auditokhoz tudjon minden részletre kiterjedő jelentéseket készíteni az állománytevékenységről.

De konkrétan mire is használható egy fam-megoldás? Védhető vele például a bizalmas mérnöki dokumentumok tára: a rendszer riaszt, ha öt percen belül több mint öt dokumentumhoz akarnak hozzáférni, és tiltja a teljes mappa lemásolását. De megelőzhető vele az is, hogy a vetélytárshoz készülő értékesítők megszerezzék az ügyfelekre vonatkozó egyedi információkat: ha úgy állítják be, a rendszer jelez, ha egy felhasználó sok állományt akar másolni, vagy egy egyébként hozzáférési jogosultsággal rendelkező egyén olyan régebbi állományokhoz akar hozzáférni, amelyekkel korábban soha nem volt dolga.

A fentiekből is látszik, hogy egy fam-megoldás sok olyan funkcióval bír, mint a már szélesebb körben alkalmazott dlp-rendszerek (és valóban, lehet akár annak része is). Ugyanakkor némiképp mások a céljaik, és ezért nem annyira helyettesítik, mint inkább kiegészítik egymást. A dlp-megoldás lényege, hogy képes a tartalomelemzésre: bele tud kukkantani egy állományba, értelmezi a tartalmát, és annak megfelelően jár el. Egy fam-rendszernek viszont nem feltétlenül kell tisztában lennie egy állomány vagy éppen egy teljes állománytár tartalmával ahhoz, hogy hasznot hajtson. Bizonyos felhasználási minták (mint a nagyszabású másolás) már önmagukban is biztonsági eseményre utalhatnak, és például az auditokhoz sem kell az állományok tartalma: ott elég azt tudni, hogy ki mikor és milyen állományhoz fért hozzá, illetve mit csinált vele.

 

Csökkenő költségek

A Securosis elemzése szerint az állománytevékenységet figyelő rendszer több ponton hasznot hajthat a szervezetnek.

  • Megkönnyíti és némiképp olcsóbbá teszi a jogszabályoknak való megfelelést. Egyszerűbben lehet például jelentéseket készíteni arról, hogy kinek van hozzáférése a bizalmas információkhoz, vagy éppen kik nyitottak meg bizonyos állományokat az elmúlt időszakban.

  • Csökkenti a nagyobb szabású adatvesztés kockázatát. Bár egyik fam-rendszer sem képes arra, hogy a vállalat minden egyes állományát megvédje, arra jó lehet, hogy egyetlen betöréssel ne lehessen egy állománytár teljes tartalmát ellopni.

  • Csökkenti az állománykezelés költségeit. Még a dokumentumkezelő rendszerek sem kínálnak annyi és olyan részletezettségű információt az állományok használatáról, mint egy fam-szoftver. A jogosultságok, a csoportszintű tevékenységek és a használati információk összekapcsolása az állománytárakkal és az egyes állományokkal egészen újszerű elemzési lehetőségek előtt nyitja meg az utat; az így kinyert információk pedig egyéb dokumentumkezelési kezdeményezésekben (például a konszolidációban) jelenthetnek segítséget.

  • Javítja a tartalom láthatóságát és megtalálhatóságát. Nagyon gyakran okoz gondot annak eldöntése, hogy egy-egy állománynak ki a gazdája házon belül. A fam használatával – az állományaktivitások elemzésével – sokkal könnyebb lesz eldönteni, hogy egy-egy állomány kihez tartozik a szervezeten belül.