Szerző: Gálffy Csaba

2014. november 17. 08:31:00

Intelligens felhasználókövetéssel bővül az Active Directory

A hálózati erőforrásokhoz való szokatlan hozzáférés alapján generál incidenseket az Aorato technológiája, ezt vásárolta fel most a Microsoft. A megoldással a jogosultságok szigorú szabályozása helyett rugalmasabb, automatizált megközelítés jöhet.

Innovatív biztonsági startupot vásárolt fel a Microsoft, az Aorato specialitása az Active Directoryban szereplő felhasználók viselkedési mintájának vizsgálata, és a potenciális támadások logalapú kiszűrése. A két cég a tranzakció részleteit nem hozta nyilvánosságra, így azt sem tudni, hogy mennyi pénzt adott a startupért a redmondi óriás, de feltehetően nem nagy összegről van szó.

Igény, az lenne rá

Egyre komolyabb problémát jelentenek a social engineering és identitáslopási támadások a nagyvállalati hálózatok ellen, a kiemelt jogosultságú felhasználók mellett az egyszerű fiókok is rengeteg céges adathoz férnek hozzá. Az ilyen támadások ellen szervezeti szinten roppant nehéz védekezni, a jogosultságok drámai kurtítása ugyanis a munkavégzés hatékonyságágának romlásához vezethet, ráadásul a jogosultságok rendszeres módosítása igencsak időigényes és kevés hozzáadott értéket képvisel.

Erre kínál megoldást az izraeli Aorato szoftvere, amely a nagyvállalati rendszerben keletkező logok elemzésével minden felhasználóra és felhasználócsoportra készít egy pontos viselkedési mintát, amely a normál felhasználást írja le. Ebből pontosan látszik például, hogy milyen állományokat, tárolókat és egyéb erőforrásokat szokott a felhasználó elérni, a mindennapi mintától pedig milyen valószínűséggel tér el munkája során. Ha ezt a mintát az adott felhasználó egyszerre látványosan felrúgja, akkor a biztonsági személyzet azonnali értesítést kap erről, az incidenst pedig az Aorato által biztosított vizualizáció segítségével gyorsan át is tekintheti, azt engedélyezheti, illetve szükség esetén azonnal blokkolhatja.

A megoldást a cég Directory Services Application Firewall (DAF) néven emlegeti, ez a szolgáltatás pedig a bejelentés szerint hamarosan a Microsoft kínálatában is megjelenik majd, mint az Active Directory szolgáltatásportfólió része. A DAF hatalmas előnye, hogy használata mellett nem szükséges a jogosultságok brutális korlátozása, vagyis a dolgozók munkáját nem kell paranoid korlátok közé szorítani, a keretek maradhatnak tágak és láthatatlanok, ami a munkát nem gátolja és a morált sem rombolja, a szokatlan viselkedés azonban így is kiszűrhető (például hasonló fájlok tömeges elérése és lementése).

Python és Appmenedzsment rendezvényekkel indítjuk a szezont (x) Február 26-27-én indul a HWSW free! ingyenes meetupsorozat, márciusban pedig 30 órás online képzéseket indítunk!

Az Aorato ígérete szerint ráadásul a DAF minden olyan erőforrást képes védeni, amelynek elérését az Active Directory ellenőrzi. Ennek megfelelően a DAF egyaránt képes kezelni a PC-ket, a mobileszközöket, tableteket és behozott notebookokat is. Érdekesség, hogy az Aorato üzleti modellje szerint a licencelés Domain Controllerenként folyik és független a felhasználók számától. Nagy kérdés, hogy ha a Microsoft integrálja a szolgáltatást, akkor azt ingyenesen elérhetővé teszi-e, vagy egy ehhez hasonló konstrukcióra lehet majd számítani.

Magyar cég is csinált ilyet

Az Aoratóéhoz kísértetiesen hasonló elgondolást használ a magyar BalaBit által a közelmúltban bemutatott Blindspotter is, amely a naplóforrásokból gyűjti az adatokat és a felhasználókról olyan egyedi lábnyomokat hoz létre, amelyek csak rájuk jellemzőek. Minden ettől eltérő aktivitás gyanús. A Blindspotter nem csak az Active Directoryhoz kapcsolható,  gyakorlatilag tetszőleges logforrás becsatornázható a termékbe, ha az adott eseményfolyam rendelkezik időbélyeggel, felhasználói azonosítóval és valamilyen tevékenységet tartalmaz.

a címlapról