B2B

34_scheidler_balazs_Balabit.jpg
Forrás: ITB
A jelszó halott

A viselkedés alapú hitelesítésé a jövő

A kiberbiztonság megkopott megközelítése, a tartsuk kívül a rosszfiúkat, egy olyan ideológia, mely kizárólag preventív eszközökre épít. Olyan megoldásokra, mint a tűzfalak vagy a biztonsági átjárók, melyek a bejövő csatornákat szűrik, és előre definiált szabályok alapján határozzák meg, hogy ki jöhet be és ki nem. Kétségtelen, hogy ezek az eszközök a mai napig a védelem fontos vonalát képezik. Azonban tudjuk, hogy a rosszfiúk egy része már bent van.

Csak azt nem tudjuk, hogy kik azok. Ez az oka annak, hogy a biztonsági technológiák fókusza a prevenció irányából a detektálás és a beavatkozás felé tolódik. Vagyis az válik egyre fontosabbá, hogy miként tudjuk megakadályozni a hálózatunkon már belül lévő felhasználókat a károkozásban. Közülük is különösen azokat, akik – akár legálisan, akár nem – olyan kiemelt jogosultságokhoz jutottak, ami az autentikációt követően gyakorlatilag korlátozások nélküli tevékenységre jogosítja őket.

 

A hiányzó plusz

A biztonsági megoldások nagy része nem tud mit kezdeni ezzel a problémával. Ha egy munkatársunk hozzáféréssel rendelkezik például a vállalati CRM rendszerhez, vagy egy külső támadó megszerzi valamelyik felhasználó jogosultságát, akkor a jelszavas azonosítást követően már nagyon nehéz megakadályozni az érzékeny vállalati adatokkal történő visszaélést. A többfaktoros autentikáció, a jelszómenedzsment és a monitoring megoldások ugyan képesek ezen segíteni, de továbbra is hiányzik valami plusz, ami a sikeres bejelentkezést követően is felismeri a visszaéléseket. Ez pedig nem más, mint a viselkedés. A viselkedés a hiányzó faktor, amely folyamatosan azonosítja a felhasználót és felismeri az illetéktelen bejelentkezéseket.

Segít a felhasználói viselkedés

A felhasználók munkahelyi viselkedésében tipikus minták fedezhetők fel, amelyek mint metaadatok rögzíthetők. Melyik szerverekre szokott valaki bejelentkezni? Melyik napszakban szokott dolgozni és jellemzően mit csinál? Milyen parancsokat ad ki munkája során? Milyen alkalmazásokat futtat? Ha minden felhasználói munkafolyamatot rögzítünk, pontos képet rajzolhatunk ezekről a viselkedésekről. Felhasználói profilokat építhetünk. Ha egy belső visszaélés történik, akkor ezekben a felhasználói viselkedés mintákban valami abnormálissá válik. Akár a használt parancsok, akár egy szokatlan felhasználótól szokatlan időpontban történő rendszer bejelentkezés. Persze elmondható, hogy egy kompromittált felhasználói fiókkal visszaélő támadó, ha nagyon körültekintően jár el, akár arra is képes lehet, hogy utánozza ezeket a viselkedés mintákat. Így ezek a metaadatok azonosnak fognak tűnni. Ezért érdemes ezen metaadatok mögé is nézni, hogy egyéb speciális, de mérhető viselkedésmintákat találjunk. Ilyen például a gépelés karakterisztikája vagy a felhasználó egérmozgatásának sajátosságai. Ha valaki megszerzi a hozzáférésemet és lassabban gépel, vagy több, esetleg eltérő hibákat vét, akkor azonosíthatjuk ezt az abnormális viselkedést, és az illetéktelen hozzáférést. Így még azelőtt megakadályozhatjuk az incidenst, mielőtt az bekövetkezne.

 

A gépek viselkedésüket tekintve gyakorlatilag egyformák. Ha ugyanolyan a specifikációjuk és azonosan programozták őket, pont ugyanúgy látják el a feladatukat. Ugyanez nem mondható el az emberekről. A felhasználók napi munkavégzésében fellelhető sajátosságok és különbözőségek azok, amelyek egyedivé teszik a viselkedésüket.

A hagyományos autentikációs metódusok egy adott időpontra koncentrálnak és nem képesek megvédeni a valós belépési adatok birtokában lévő támadótól. A viselkedés dimenziójának bevezetésével viszont képessé válunk az egész munkafolyamat során valós időben monitorozni és folyamatosan autentikálni a felhasználókat a digitális lábnyomaikból korábban épített profil alapján. Ezáltal a rosszindulatú belső és a szofitsztikált külső támadások számát egyaránt csökkenthetjük.