V marci tohto roku bolo ukradnutých 45 miliónov čísel kreditných kariet spoločnosti TK Maxx.
V januári zmizlo z Nordea Banky za pomoci trójskeho koňa 1,1 milióna amerických dolárov.
... tieto útoky boli spôsobené tým, že zabezpečenie systémov bolo neporovnateľne nízke proti hodnote, ktorú zabezpečovali.
Tento článok rieši tématiku ochrany a správy už vytvorených užívateľských účtov a hesiel, nie bezpečnosť samotných hesiel z hľadiska ich tvorby, či stavby.
Preto prosím, vyvarujme sa diskusii na tému "nbusr123" ;-)
Právo "vyvoleného"
Treba si uvedomiť, že administrátori najvyššej úrovne môžu spôsobiť veľmi veľa škôd, pokiaľ si nie sú vedomí toho, čo robia a aký to môže mať následok.
Veľa organizácií sa spolieha na prísne opatrenia bezpečnostnej politiky sietí. Ale z praxe viem, že...
stále príliš veľa užívateľov má administrátorské práva, aj keď ich nepotrebujú v konkrétnom prípade a v konkrétnom čase.
stále je veľa administrátorských hesiel zdieľaných a používaných viacerými administrátormi naraz.
administrátorské účty sú stále aktívne aj po mnohých mesiacoch, čo zamestnanec ukončil pracovný pomer a noví administrátori ani nevedia o tom, že ten účet v systéme je a je aktívny.
Čo hovoria štatistiky?
86% útočníkov pracuje na technických pozíciách,
90% útočníkov má povolený prístup administrátorom do sekcií, v ktorých "nemajú čo robiť",
59% útočníkov pracuje ako bežní zamestnanci (na netechnických pozíciách),
57% útočníkov nemalo mať autorizovaný vstup do systému v čase útoku,
64% útočníkov používa vzdialené pripojenie.
Neporiadok v užívateľských právach môže spôsobiť:
zneužitie práv a vydieranie,
únik citlivých dát (lekárske záznamy, interné informácie o spoločnosti, finančné záznamy a pod.)
zneužitie finančných informácií, čísiel kreditných kariet, prístupov na účty klientov...
zničenie dobrého mena spoločnosti
Viete a môžete prideliť administrátorské práva len ľuďom, ktorí to určite potrebujú?
Viete im ich prideliť iba na nevyhnutne dlhý čas?
Zdieľané heslá
Zdieľané heslá, ktoré sú „niekde napísané" sa môžu ľahko dostať do nepovolaných rúk.
Heslá, ktoré sú vyžadované pre kritické situácie, by mali byť uložené bezpečne ale za to prístupné.
Tieto heslá sú vpodstate anonymné bez akejkoľvek možnosti vyvodenia zodpovednosti.
dokážete prideľovať práva „on demand" - vtedy, keď sú naozaj potrebné a obmedzovať, ak už nie sú vyžadované?
V ktorých prípadoch používate zdieľané heslá? Môžete z ich používania vyvodiť zodpovednosť?
Ako dokážeme lepšie spravovať heslá?
utvoríme si prehľad o tom, kto má aké práva a kto aké práva skutočne potrebuje,
všetky neaktívne užívateľské účty by mali byť automaticky zablokované po 30 dňoch a odstránené po 60 dňoch,
všetky užívateľské heslá by mali expirovať v mesačných alebo v kvartálnych intervaloch,
nezabúdajme na prednastavené (built-in) účty a ich heslá.
Správne sledovanie a poriadok v užívateľských účtoch nám môže ušetriť problémy, financie a zachovanie know-how spoločnosti. Preto je veľmi dôležité, či už formou bezpečnostných auditov alebo zamestnávaním odborníkov predísť akejkoľvek forme útoku spôsobeného práve zlou správou užívateľských účtov.
Tak teda ako máte zabezpečené svoje poklady?
[štatistické informácie boli použité z časopisov SecurityWorld a odborných prednášok na tému Bezpečnosť počítačových sietí a Ochrana dát v spoločnostiach]
