Role a oprávnění
Taková nastavení uživatelských oprávnění přitom typicky nezávisí na uživateli samotném, ale na správci aplikace. Tedy na osobě zodpovědné za správné přidělení uživatelských oprávnění/rolí každého jednotlivého uživatele, tedy za nastavení jeho profilu. Při přístupu uživatele k aplikaci tak probíhá kromě autentizace ještě proces autorizace. V průběhu kontroly přístupu je tak ověřeno, zda vůbec může daný uživatel k aplikaci přistoupit a pokud ano, tak s jakou uživatelskou rolí, s jakými oprávněními.
Správné nastavení rolí je pro každý systém velmi důležité. Přitom se nesmí zapomínat ani na vlastní správce aplikace nebo administrátory IT oddělení, kteří zajišťují její provoz. Ti všichni jsou rovněž uživatelé a jejich činnost by měla být řízena rovněž prostřednictvím příslušných uživatelských oprávnění/rolí.
Oprávnění administrátorů
Zmíněné aplikace nebo systémy obvykle nemají pouze jednoho administrátora, ale ve firmě jich bývá několik. Pokud všichni používají pouze základní systémové heslo (tzv. root heslo), v případě nějaké události způsobené IT oddělením nelze zjistit, kdo danou událost zapříčinil. Proto je nezbytné pamatovat na rozlišení účtů také pro tyto pracovníky. K tomu jsou přímo určeny produkty známé jako Privileged user management.
Logování událostí
V zabezpečení svých dat můžete jít samozřejmě ještě dál. Kromě dobře nastavených procesů přidělování oprávnění ve správě uživatelských účtů a kontroly jejich přístupů k aplikacím, můžete monitorovat chod samotných aplikací. Kdo, kdy, jak, proč a odkud k aplikaci přistupuje. Pak jste schopni v reálném čase sledovat/monitorovat chování uživatelů a ze sledování vzájemných souvislostí okamžitě rozeznat hrozící nebezpečí. Například pokud se hlásí uživatel do vašeho systému ze dvou různých míst najednou. Už to je varování, že je něco v nepořádku. Uživatel (pokud je to člověk) nemůže být v jeden okamžik na dvou různých místech. Zřejmě někdo prolomil jeho přístupové údaje a v revíru máte škodnou. Můžete reagovat hned, daného uživatele od aplikace „odstřihnout“ a zabránit tak minimálně ztrátě dat.
Jestliže jste schopni takovýmto způsobem monitorovat váš kyberprostor, vaše data jsou v bezpečí. Pokud to nedovedete, nemáte uživatele pod kontrolou a dosud pouze sbíráte gigabajty logů, které nedokážete nijak vyhodnotit, vaše data v bezpečí rozhodně nejsou. Nedokážete tak monitorovat, zda k vašim datům přistupuje skutečně jenom ten, kdo má k tomu příslušné oprávnění, tedy správně nastavenou uživatelskou roli. V horším případě dokonce nejste schopni ani identifikovat uživatele, kteří se „pohybují“ ve vašem kyberprostoru.
je společnost NEWPS.CZ
Řešení
Ale i s tím se lze vypořádat. Nesmíte ovšem udělat obvyklou chybu tím, že začnete řešit logování událostí bez toho, aniž byste měli v pořádku účty a oprávnění uživatelů. Taková analýza aktuálního stavu IT systémů není nikdy k zahození. Dobré je, podívat se, jak a kým jsou zakládány uživatelské účty, jakým způsobem o ně uživatelé žádají, jakou cestou jsou jim doručovány přístupové údaje, kdo je zodpovědný za stanovení přístupových rolí u jednotlivých aplikací, zda role odpovídají současnému stavu požadavků na aplikaci, případně legislativě, jak a kým jsou zneplatňovány účty pracovníků, kterým skončil pracovní poměr a spousty dalších detailů.
Pokud se budete s náležitou péčí věnovat správě uživatelských účtů a oprávnění, přičemž nezapomenete na uživatelskou přívětivost, a k tomu správně nastavíte systém vyhodnocování logů, budou vaše data v bezpečí.
Teprve po analýze stavu „AS IS“ se můžete pustit do přípravy návrhu stavu „TO BE“, tedy co byste sledováním událostí na základě vyhodnocování systémových záznamů (logů) chtěli dosáhnout, jaké k tomu máte další prostředky apod.
Je také dobré si uvědomit, že nejslabším článkem zabezpečení vašich aplikací nebo dat je vždy uživatel. I kdybyste své IT systémy uzavřeli do kybernetické pevnosti, uživatel navždy zůstane tím nejslabším článkem. Případný útočník se bude snažit prolomit jeho přístupové údaje, aby se dostal k vašim datům. Je to pro něj snazší cesta než se nákladně dobývat přímo do systému.
Kdo si pamatuje predátora Franka (zde), vybaví si hned několik situací, kdy se Frank snadno dostal k uživatelskému účtu a tím i k datům, které potřeboval. Dokázal se dostat k uživatelským účtům a ty pak zneužít.
Tím se dostáváme zpět k e-identitě. Měla by být taková, aby byla dostatečně bezpečná a nezcizitelná (např. s využitím certifikátů). Na druhou stranu nesmíme opomenout uživatelskou přívětivost. Přihlašovací proces musí být pro uživatele zvládnutelný. Jakmile bude složitý, uživatel si vždy najde cestu, jak proces obejít, což opět povede ke zhoršení bezpečnosti systému.
Pokud se tedy budete s náležitou péčí věnovat správě uživatelských účtů a oprávnění, přičemž nezapomenete na uživatelskou přívětivost, a k tomu správně nastavíte systém vyhodnocování logů, budou vaše data v bezpečí.
Ing. Martin Řehořek, jednatel NEWPS.CZ
Partnerem seriálu je:
Tento článek máteje zdarma. Když si předplatíte HN, budete moci číst všechny naše články nejen na vašem aktuálním připojení. Vaše předplatné brzy skončí. Předplaťte si HN a můžete i nadále číst všechny naše články. Nyní první 2 měsíce jen za 40 Kč.
- Veškerý obsah HN.cz
- Možnost kdykoliv zrušit
- Odemykejte obsah pro přátele
- Ukládejte si články na později
- Všechny články v audioverzi + playlist