Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
post

THEFENCE: Hiánypótló megoldás a jogosultságkezelésben (X)

MEGOSZTÁS

Ijesztő trendeket erősít meg a Gartner iparági előrejelzése, amely szerint 2023-ban a vállalati IT-rendszerekbe való betörések 75 százaléka már a hozzáférési jogosultságok nem megfelelő kezelése miatt fog bekövetkezni. A THEFENCE automatizált jogosultság-vizsgálati megoldást kifejlesztő XS Matrix vezetői elmagyarázták miért fontos a felhasználói jogosultságok szabályozása és folyamatos monitorozása. (X)

Egyszerűen azért, mert a vállalatok, szervezetek még a korábban megszokott gyakorlatok alapján állapítják meg, ki mit érhet el a céges adatbázisokban, ezt a biztonsági rést pedig az egyre szofisztikáltabb módszerekkel dolgozó kiberbűnözők ki is használják. A legfrissebb, 2022 Data Breach Investigations Report mutatott rá arra, hogy a detektált támadások többsége, több mint 60 százaléka megtévesztő emailek vagy weboldalak használatával ért célba. Az esetek több mint 20 százalékában az ellopott azonosítók alkalmazásával, illetve a személyiség felvételének (pretexting) révén tudtak illetéktelenek érzékeny vállalati információkhoz hozzájutni. 

Az élet adta az ötletet…

A BYOD (Bring Your Own Device) trend kicsit előfutára volt a jogosultságkezelési problémának.

„Még 2010-ben Észak-Amerikában ugyanis nagyon sok munkahelyre volt jellemző, hogy a munkavállalók modernebb technológiákkal voltak felszerelve, mint, amit a cégek használtak. Emiatt a vállalatok kénytelenek voltak kikényszerítő eszközöket (policyket) telepíteni az infrastruktúrájukra” – foglalja össze Mihály Tamás, a TheFence jogosultsági kockázat-monitoring megoldás gyártója, a 2020-ban alapított XS Matrix Security Solutions Ltd.  alapító-ügyvezető helyettese.

Mihály Tamás, az  XS Matrix Security Solutions Kft. alapító-ügyvezető helyettese

Míg korábban a hozzáférés-kezelés egyfajta belső, hátsó védelmi vonalat jelentett a cégeknek, addigra a világjárvány okozta lezárások miatt megerősödött távmunka, majd a geopolitikai hatások miatt ez a hátvédelmi vonal immár a frontvonalba tevődött át. „A jogosultságok kezelése így került át a szürke zónából a fénybe, ezért sürgős feladattá vált a túlzott szerepkörök átvizsgálása. Réspiacot találtunk arra, hogy szükség van automatizált kontroll környezet felépítésére. Amikor a távmunka kezdett elterjedni, természetessé vált, hogy az otthoni magánfelhasználású gépekre is ki kell majd terjeszteni a védelmi határokat” – teszi hozzá.

„Az elmúlt években óriási fordulat zajlott le a szemünk előtt a távmunka és a homeoffice robbanásszerű elterjedésével, azzal, hogy az egyéni, saját személyes eszközeinket is használjuk munkára. S még inkább összetetté vált a probléma azon része, hogy összefolyik az üzleti és vállalati rendszerek használata a személyes rendszerek használatával. Ezért hangsúlyozzuk, hogy még nagyobb jelentősége van, hogyan kezeljük a jogosultságokat, milyen jogosultsági szinteket állítunk be, vagy milyen jogosultsági szinteket állítanak be a szervezetek otthoni használatra, legyen szó akár vállalati szintű irányítási rendszerekről, operációs rendszerekről, közös munkaterületekről, share pointokról, share storage-okról vagy különböző fájlmegosztókról” – fűzi hozzá Selmeczi János, az XS Matrix Security Solutions Ltd. ügyvezetője. 

Selmeczi János, az XS Matrix Security Solutions Kft. ügyvezetője

A gazdálkodó szervezetek alapvető érdeke a külső és belső károkozás, szabotázs, adatlopás megelőzése. Érzékeny vállalati adataink és infrastruktúránk még inkább veszélyben van, nem véletlen, hogy a kiberbiztonság, kibervédelem szerepe felértékelődött. Ennek betartatása megfelelő szoftveres támogatás és automatizáció nélkül hosszas és fáradtságos munka. 

Ezért is fontos, hogy a szervezetek kialakítsák vagy újragondolják jogosultságkezelési gyakorlataikat, s minimálisra csökkentsék a hozzáférési jogosultsági szinteket, illetve érvényesítsék a „need-to-know” vagy „least privilege” elvét, másnéven a PoLP (Principle of List Privilage) policyjukat, azaz a legkisebb jogosultság elvét. A PoLP elve gondoskodik ugyanis arról, hogy mindenki csak annyi információhoz férhessen hozzá, ami a munkájához és szerepköréhez feltétlenül szükséges. „Ennek az elvnek a betartatása az, amit mi is zászlónkra tűztünk” – emeli ki Selmeczi János.

…magyar IT biztonsági szakértők megvalósították

A valós élet adta az ötletet és IT biztonsági szakértőktől érkezett a felismerés arra, hogy szükség van automatizált jogosultsági kockázat-monitorozási rendszerre. A hozzáférési jogosultságok vizsgálatával és szerepkör-átvilágítással foglalkozó XS Matrix Security Solutions vállalat kifejlesztette a THEFENCE-megoldást, amely segítségével könnyen ellenőrizhetővé válnak a felhasználókhoz rendelt jogosultságok és szerepkörtartalmak. Így csökkenthetők a felesleges, túlzott vagy összeférhetetlen jogosultságokból adódó visszaélési kockázatok, a véletlen hibákhoz és leállásokhoz vezető esetek. A szolgáltatás elérhető on-premise szoftver és felhő-alapú (SaaS) verzióban is.

Egy olyan, magyar IT-szakemberek által alkotott, a vállalati belső biztonságra, kontrollra és kockázatfigyelésre kifejlesztett megoldást sikerült alkotnunk, amely nem csak hazánkban, hanem nemzetközileg is egyedülálló. Valós választ ad a cégek egyik legnagyobb kihívására, ami nem más, mint a jogosultságokhoz kapcsolódó kockázatok menedzselése. Miután az, hogy ki, mihez férhet hozzá, milyen licenceket használ az nem csupán adatbiztonság szempontjából kiemelt jelentőségű, hanem a költségek, kiadások lefaragása miatt szintén fontos tényező” – emeli ki Mihály Tamás. 

A vállalati belső biztonság növelésére, a nem megfelelően kezelt hozzáférési jogosultságok kiszűrésére és az adatlopásra irányuló informatikai támadások megelőzésére szolgáló szoftver, a 2022-es tavalyi sikeres magyarországi és európai bemutatkozása után, 2023 februárjától az Egyesült Államokban is elérhetővé vált. „A tengerentúli bevezetés mellett azért döntöttünk, mert a felhő-alapú IT biztonsági megoldások üzleti adaptációja Amerikában a legmagasabb szintű a világon, kiemelten a kockázatelemzés és -kezelés területén. Ennyire fókuszáltan a humán munkaerőt érintő kockázatok elemzésével azonban még ott sem foglalkoztak, pedig ez az a terület, ami egyre kritikusabbá vált a kis- és középvállalatok, illetve a nagyvállalatok körében” – teszi hozzá Selmeczi János. A megoldás azért is számít unikumnak, mert előre ütemezetten és automatizáltan felderíti a rendszerekben lévő felhasználókat, szerepköreiket, érvényességi adataikat és elemi jogosultságaikat. Ezt követően scoring alapú kockázatelemzést végez, amit riportokba foglal és küldi a kijelölt vezetőknek.

Az IT-biztonság, az informatikai, gazdasági, pénzügyi vagy HR-vezetők a túlzott, felesleges vagy összeférhetetlen (SoD) jogosítványokat visszavonhatják, illetve az inaktív felhasználókat a rendszerekből törölhetik.

 

A megoldás kockázati szabályrendszere tetszőlegesen bővíthető az adott szervezet sajátosságai, igényei szerint. Vizsgálat alá vonható a hálózat, a cloud platformok (Amazon Web Services, Microsoft Azure, Google Cloud Platform stb.), a virtualizációs platform, az operációs rendszerek, a middleware réteg, az adatbázis kezelők, vagy az üzleti alkalmazások, például az SAP különböző moduljai, valamint a Windows Active Directory alapú jogosultságkezelést használó alkalmazások is. Továbbá bármely más vagy akár egyedi alkalmazás is könnyen integrálható. Emellett képes a munkatársak és a rendszerek közötti összeférhetetlenségek felderítésére is.

A THEFENCE jogosultságkezelési megoldás elnyerte 2023-ban az ICT Global Award Best Cyber Security Solution kategória első helyezését. 

 

 

 

IT EXPERTS-TECH LEADERS 2024 FELHŐ A JAVÁBÓL KONFERENCIA

PODCAST

ICT Global News

VIDEOGALÉRIA
FOTÓGALÉRIA

Legnépszerűbb cikkek

ICT Global News

Iratkozz fel a hírlevelünkre, hogy ne maradj le az IT legfontosabb híreiről!