2014. június: jegyzet, portré, tudomány, it, disszemináció, innováció, paragrafus, atomenergia, közlekedés, zöldkörnyezet, építés, robotika
2014. június 2.

Szerző:
Vida Szabolcs

InnoMatrix Services Kft. • innomatrix.hu

Felügyelni a lehetetlent

Az információbiztonságban régóta ismert tény, hogy a bizalmas adatokra, belső rendszerekre a legnagyobb kockázatot a belső támadási formák jelentik.


Gyakori probléma, hogy a rendszereket üzemeltető informatikai személyzet a mindennapi munkája során az indokoltnál sokkal szélesebb jogkörökkel rendelkező hozzáféréseket biztosító felhasználói fiókok segítségével végzi a napi üzemeltetési tevékenységet. Ez pedig lehetőséget teremt vétlen vagy szándékos visszaélések, szabotázsok elkövetésére, a bizalmas információkhoz való illetéktelen hozzáférésre.

Az adminisztrátori jogkörrel végrehajtott visszaélések, jogosulatlan információszerzések az esetek többségében nem tudódnak ki, hiszen azokat a nyomokat, amelyek az incidens felfedezéséhez vezetnének az adminisztrátori jogot birtokló rendszergazda képes manipulálni, törölni.

A kontrollálatlan rendszergazdai hozzáférések kockázatának csökkentésére cégünk, az InnoMatrix Services Kft. egy saját megoldást fejlesztett ki, amelyet IdMatrix PUM néven forgalmaz.

Mi az a PUM?

A PUM (Privileged User Management) széles körű jogosultságokkal – jellemzően rendszergazdai, root vagy superuser – rendelkező hozzáférési fiókok felügyeletét biztosító szoftver. Célja, hogy a jelentős kockázatot hordozó hozzáférések esetében kikényszerítse a négy szem elv (four eyes) és szerepkörkizárás (SoD) biztonsági szempontok alkalmazását, mindezt integrálva egy előre definiált folyamatba.

PUM a gyakorlatban

A termék alkalmazása a gyakorlatban azt jelenti, hogy a privilegizált felhasználói fiókok felügyeletét és menedzsmentjét a PUM szoftver veszi át. Ez a szoftver biztosítja a különböző rendszergazdai fiókok használatához szükséges igénylési és többszintű engedélyezési folyamatot, lehetővé teszi a jelszavak kezelését, a hozzáférések kiosztását, visszavonását, valamint a hozzáférés ideje alatt a tevékenység rögzítését.

Amennyiben az üzemeltető személyzet tervezett karbantartást végez és szüksége van a karbantartás idejére egy vagy több rendszerhez rendszergazdai hozzáférésre, a PUM rendszeren keresztül elindítanak egy igénylési folyamatot, amelyben megadják, mely rendszerekhez milyen szintű hozzáférésre van szükségük. Az igénylés során – a négy szem elv teljesülése érdekében – szükséges megadni mindkét szakembert, akik a feladatot közösen fogják végezni, továbbá a jogosultság birtoklásának időintervallumát.

A rendszer a jogosultságok igénylésekor képes figyelembe venni SoD szabályokat is, így például megvalósíthatók jogosultságkizárási, illetve felhasználókizárási funkciók is.

Az igénylés többszintű jóváhagyási folyamaton megy keresztül, amelyben jóváhagyó lehet a Change Manager, illetve a biztonsági vezető is. Ha minden jóváhagyói szinten pozitív a válasz, az igénylés alanyai automatizált módon megkaphatják a hozzáférést.

Az igénylésben szereplő rendszergazdai hozzáféréshez szükséges hitelesítési adatok kiküldése néhány perccel a jogosultság kezdetének életbelépése előtt történik meg, megosztva az igénylésben megne­vezett személyek között. A hozzáférés megosztásával a feladat idejére mindkét személy jelenléte megkövetelhető, ami a tevékenység technikai rögzítése mellett erősebb kontrollt is biztosít. A jogosultság vissza­vonása az igényelt határidő leteltével azonnal megvalósul, az érintett rendszergazdai fiók automatikus kijelentkeztetésével történik.

A termék audit támogatása fejlett, számos riport segítségével nyomon követhető, mi történt korábban, milyen időszakban, kik adminisztrálták az integrált erőforrásokat.

PUM bevezetési folyamata

A megvalósítás alapját kétlépcsős folyamat biztosítja:

  • jogosultságracionalizálás: ennek keretében megtörténik a meglévő privilegizált jogosultság kiosztási metodika felülvizsgálata, a kritikus változtatással járó beavatkozások szétválasztása a napi üzemeltetési tevékenységektől, és a szükséges változtatások végrehajtása ahhoz, hogy utóbbiakat a PUM használata nélkül lehessen továbbra is végrehajtani, míg előbbiek kezelése PUM által felügyelten történjen.
  • PUM bevezetése: a termék telepítése és testreszabása.

Támogatott rendszerek

  • Címtár: MS AD, LDAP
  • Hálózat: Cisco
  • ERP rendszer: SAP, Oracle
  • Operációs rendszer: Windows, Linux, Unix
  • Adatbázis: (Oracle, DB2, MSSQL, MySQL)
  • Egyedi rendszerek
 
Innotéka