Mellékleteink: HUP | Gamekapocs
Keres

Intelligens felhasználókövetéssel bővül az Active Directory

Gálffy Csaba, 2014. november 17. 08:31
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

A hálózati erőforrásokhoz való szokatlan hozzáférés alapján generál incidenseket az Aorato technológiája, ezt vásárolta fel most a Microsoft. A megoldással a jogosultságok szigorú szabályozása helyett rugalmasabb, automatizált megközelítés jöhet.

Innovatív biztonsági startupot vásárolt fel a Microsoft, az Aorato specialitása az Active Directoryban szereplő felhasználók viselkedési mintájának vizsgálata, és a potenciális támadások logalapú kiszűrése. A két cég a tranzakció részleteit nem hozta nyilvánosságra, így azt sem tudni, hogy mennyi pénzt adott a startupért a redmondi óriás, de feltehetően nem nagy összegről van szó.

Igény, az lenne rá

Egyre komolyabb problémát jelentenek a social engineering és identitáslopási támadások a nagyvállalati hálózatok ellen, a kiemelt jogosultságú felhasználók mellett az egyszerű fiókok is rengeteg céges adathoz férnek hozzá. Az ilyen támadások ellen szervezeti szinten roppant nehéz védekezni, a jogosultságok drámai kurtítása ugyanis a munkavégzés hatékonyságágának romlásához vezethet, ráadásul a jogosultságok rendszeres módosítása igencsak időigényes és kevés hozzáadott értéket képvisel.

Erre kínál megoldást az izraeli Aorato szoftvere, amely a nagyvállalati rendszerben keletkező logok elemzésével minden felhasználóra és felhasználócsoportra készít egy pontos viselkedési mintát, amely a normál felhasználást írja le. Ebből pontosan látszik például, hogy milyen állományokat, tárolókat és egyéb erőforrásokat szokott a felhasználó elérni, a mindennapi mintától pedig milyen valószínűséggel tér el munkája során. Ha ezt a mintát az adott felhasználó egyszerre látványosan felrúgja, akkor a biztonsági személyzet azonnali értesítést kap erről, az incidenst pedig az Aorato által biztosított vizualizáció segítségével gyorsan át is tekintheti, azt engedélyezheti, illetve szükség esetén azonnal blokkolhatja.

A megoldást a cég Directory Services Application Firewall (DAF) néven emlegeti, ez a szolgáltatás pedig a bejelentés szerint hamarosan a Microsoft kínálatában is megjelenik majd, mint az Active Directory szolgáltatásportfólió része. A DAF hatalmas előnye, hogy használata mellett nem szükséges a jogosultságok brutális korlátozása, vagyis a dolgozók munkáját nem kell paranoid korlátok közé szorítani, a keretek maradhatnak tágak és láthatatlanok, ami a munkát nem gátolja és a morált sem rombolja, a szokatlan viselkedés azonban így is kiszűrhető (például hasonló fájlok tömeges elérése és lementése).

Az Aorato ígérete szerint ráadásul a DAF minden olyan erőforrást képes védeni, amelynek elérését az Active Directory ellenőrzi. Ennek megfelelően a DAF egyaránt képes kezelni a PC-ket, a mobileszközöket, tableteket és behozott notebookokat is. Érdekesség, hogy az Aorato üzleti modellje szerint a licencelés Domain Controllerenként folyik és független a felhasználók számától. Nagy kérdés, hogy ha a Microsoft integrálja a szolgáltatást, akkor azt ingyenesen elérhetővé teszi-e, vagy egy ehhez hasonló konstrukcióra lehet majd számítani.

Magyar cég is csinált ilyet

Az Aoratóéhoz kísértetiesen hasonló elgondolást használ a magyar BalaBit által a közelmúltban bemutatott Blindspotter is, amely a naplóforrásokból gyűjti az adatokat és a felhasználókról olyan egyedi lábnyomokat hoz létre, amelyek csak rájuk jellemzőek. Minden ettől eltérő aktivitás gyanús. A Blindspotter nem csak az Active Directoryhoz kapcsolható,  gyakorlatilag tetszőleges logforrás becsatornázható a termékbe, ha az adott eseményfolyam rendelkezik időbélyeggel, felhasználói azonosítóval és valamilyen tevékenységet tartalmaz.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.