Egyszerűen azért, mert a vállalatok, szervezetek még a korábban megszokott gyakorlatok alapján állapítják meg, ki mit érhet el a céges adatbázisokban, ezt a biztonsági rést pedig az egyre szofisztikáltabb módszerekkel dolgozó kiberbűnözők ki is használják. A legfrissebb, 2022 Data Breach Investigations Report mutatott rá arra, hogy a detektált támadások többsége, több mint 60 százaléka megtévesztő emailek vagy weboldalak használatával ért célba. Az esetek több mint 20 százalékában az ellopott azonosítók alkalmazásával, illetve a személyiség felvételének (pretexting) révén tudtak illetéktelenek érzékeny vállalati információkhoz hozzájutni.
Az élet adta az ötletet…
A BYOD (Bring Your Own Device) trend kicsit előfutára volt a jogosultságkezelési problémának.
„Még 2010-ben Észak-Amerikában ugyanis nagyon sok munkahelyre volt jellemző, hogy a munkavállalók modernebb technológiákkal voltak felszerelve, mint, amit a cégek használtak. Emiatt a vállalatok kénytelenek voltak kikényszerítő eszközöket (policyket) telepíteni az infrastruktúrájukra” – foglalja össze Mihály Tamás, a TheFence jogosultsági kockázat-monitoring megoldás gyártója, a 2020-ban alapított XS Matrix Security Solutions Ltd. alapító-ügyvezető helyettese.
Míg korábban a hozzáférés-kezelés egyfajta belső, hátsó védelmi vonalat jelentett a cégeknek, addigra a világjárvány okozta lezárások miatt megerősödött távmunka, majd a geopolitikai hatások miatt ez a hátvédelmi vonal immár a frontvonalba tevődött át. „A jogosultságok kezelése így került át a szürke zónából a fénybe, ezért sürgős feladattá vált a túlzott szerepkörök átvizsgálása. Réspiacot találtunk arra, hogy szükség van automatizált kontroll környezet felépítésére. Amikor a távmunka kezdett elterjedni, természetessé vált, hogy az otthoni magánfelhasználású gépekre is ki kell majd terjeszteni a védelmi határokat” – teszi hozzá.
„Az elmúlt években óriási fordulat zajlott le a szemünk előtt a távmunka és a homeoffice robbanásszerű elterjedésével, azzal, hogy az egyéni, saját személyes eszközeinket is használjuk munkára. S még inkább összetetté vált a probléma azon része, hogy összefolyik az üzleti és vállalati rendszerek használata a személyes rendszerek használatával. Ezért hangsúlyozzuk, hogy még nagyobb jelentősége van, hogyan kezeljük a jogosultságokat, milyen jogosultsági szinteket állítunk be, vagy milyen jogosultsági szinteket állítanak be a szervezetek otthoni használatra, legyen szó akár vállalati szintű irányítási rendszerekről, operációs rendszerekről, közös munkaterületekről, share pointokról, share storage-okról vagy különböző fájlmegosztókról” – fűzi hozzá Selmeczi János, az XS Matrix Security Solutions Ltd. ügyvezetője.
A gazdálkodó szervezetek alapvető érdeke a külső és belső károkozás, szabotázs, adatlopás megelőzése. Érzékeny vállalati adataink és infrastruktúránk még inkább veszélyben van, nem véletlen, hogy a kiberbiztonság, kibervédelem szerepe felértékelődött. Ennek betartatása megfelelő szoftveres támogatás és automatizáció nélkül hosszas és fáradtságos munka.
Ezért is fontos, hogy a szervezetek kialakítsák vagy újragondolják jogosultságkezelési gyakorlataikat, s minimálisra csökkentsék a hozzáférési jogosultsági szinteket, illetve érvényesítsék a „need-to-know” vagy „least privilege” elvét, másnéven a PoLP (Principle of List Privilage) policyjukat, azaz a legkisebb jogosultság elvét. A PoLP elve gondoskodik ugyanis arról, hogy mindenki csak annyi információhoz férhessen hozzá, ami a munkájához és szerepköréhez feltétlenül szükséges. „Ennek az elvnek a betartatása az, amit mi is zászlónkra tűztünk” – emeli ki Selmeczi János.
…magyar IT biztonsági szakértők megvalósították
A valós élet adta az ötletet és IT biztonsági szakértőktől érkezett a felismerés arra, hogy szükség van automatizált jogosultsági kockázat-monitorozási rendszerre. A hozzáférési jogosultságok vizsgálatával és szerepkör-átvilágítással foglalkozó XS Matrix Security Solutions vállalat kifejlesztette a THEFENCE-megoldást, amely segítségével könnyen ellenőrizhetővé válnak a felhasználókhoz rendelt jogosultságok és szerepkörtartalmak. Így csökkenthetők a felesleges, túlzott vagy összeférhetetlen jogosultságokból adódó visszaélési kockázatok, a véletlen hibákhoz és leállásokhoz vezető esetek. A szolgáltatás elérhető on-premise szoftver és felhő-alapú (SaaS) verzióban is.
„Egy olyan, magyar IT-szakemberek által alkotott, a vállalati belső biztonságra, kontrollra és kockázatfigyelésre kifejlesztett megoldást sikerült alkotnunk, amely nem csak hazánkban, hanem nemzetközileg is egyedülálló. Valós választ ad a cégek egyik legnagyobb kihívására, ami nem más, mint a jogosultságokhoz kapcsolódó kockázatok menedzselése. Miután az, hogy ki, mihez férhet hozzá, milyen licenceket használ az nem csupán adatbiztonság szempontjából kiemelt jelentőségű, hanem a költségek, kiadások lefaragása miatt szintén fontos tényező” – emeli ki Mihály Tamás.
A vállalati belső biztonság növelésére, a nem megfelelően kezelt hozzáférési jogosultságok kiszűrésére és az adatlopásra irányuló informatikai támadások megelőzésére szolgáló szoftver, a 2022-es tavalyi sikeres magyarországi és európai bemutatkozása után, 2023 februárjától az Egyesült Államokban is elérhetővé vált. „A tengerentúli bevezetés mellett azért döntöttünk, mert a felhő-alapú IT biztonsági megoldások üzleti adaptációja Amerikában a legmagasabb szintű a világon, kiemelten a kockázatelemzés és -kezelés területén. Ennyire fókuszáltan a humán munkaerőt érintő kockázatok elemzésével azonban még ott sem foglalkoztak, pedig ez az a terület, ami egyre kritikusabbá vált a kis- és középvállalatok, illetve a nagyvállalatok körében” – teszi hozzá Selmeczi János. A megoldás azért is számít unikumnak, mert előre ütemezetten és automatizáltan felderíti a rendszerekben lévő felhasználókat, szerepköreiket, érvényességi adataikat és elemi jogosultságaikat. Ezt követően scoring alapú kockázatelemzést végez, amit riportokba foglal és küldi a kijelölt vezetőknek.
A megoldás kockázati szabályrendszere tetszőlegesen bővíthető az adott szervezet sajátosságai, igényei szerint. Vizsgálat alá vonható a hálózat, a cloud platformok (Amazon Web Services, Microsoft Azure, Google Cloud Platform stb.), a virtualizációs platform, az operációs rendszerek, a middleware réteg, az adatbázis kezelők, vagy az üzleti alkalmazások, például az SAP különböző moduljai, valamint a Windows Active Directory alapú jogosultságkezelést használó alkalmazások is. Továbbá bármely más vagy akár egyedi alkalmazás is könnyen integrálható. Emellett képes a munkatársak és a rendszerek közötti összeférhetetlenségek felderítésére is.
A THEFENCE jogosultságkezelési megoldás elnyerte 2023-ban az ICT Global Award Best Cyber Security Solution kategória első helyezését.