II osa. Millise jalajälje jätad sina süsteemi – identiteedi ja juurdepääsude haldus

CYBERS 19. juuni 2019

Juurdepääsude haldamisel on hea järgida vähimate õiguste printsiipi (least privilege principle), kus kasutajale antakse just nii vähe õigusi, kui tal on vaja oma tööülesande täitmiseks. Kuigi nimi võib olla eksitav, rääkides vähimatest õigustest, siis mõte selle taga on anda täpselt vajalikud õigused – ei rohkem ega vähem, kui on vaja tööülesande täitmiseks. Õigusi on võimalik piirata mitmest aspektist:

  • aeg – piirata õiguste kehtivust ajas, nt 1.04.2019 – 30.06.2019; kehtiv kuni 2020 vms
  • funktsioon – lugemine, kirjutamine, kustutamine; raamatupidamine, turundus vms
  • andmed – arhiiv, Balti regioon, ärikliendid vms
  • loogika, arhitektuur jms piirangud – testkeskkond eraldatud toodangust; administraatoril õigus häälestada süsteemi toimimist, kuid mitte muuta andmeid andmebaasis vms

Näiteks kui müügiassistent ei koosta müügiaruandeid iga päev, siis peaks olema tema õigused piiratud konkreetselt nendele päevadele, mil ta neid vajab. Näiteks võiks arvutitöökoha administraatoril olla õigus muuta ainult nende seadmete konfiguratsiooni, millega seoses on talle laekunud tööülesanne ja sedagi ainult ajal, mil ta reaalselt sellega tegeleb.

Täiendavat tähelepanu vajavad eelispääsuga (privileged access) kasutajad ja kontod, millel on suur mõju süsteemi toimimisele või kogu organisatsiooni tegevusele ja seetõttu ka kõrgendatud oht tegevustega kaasnevatele kahjulikele tagajärgedele. Mis võiksid olla sellised kasutajad ja kontod, mis tunduvad pahalastele väga ahvatlevad, kui nad otsivad võimalusi kurja teha?

Nendeks võiks IT vaatest olla esmalt administraatorid, peakasutajad (power user) ja ka süsteemides vaikimisi defineeritud kontod, näiteks root, admin vms, mis tihtipeale on ühiskasutuses mitme füüsilise inimese poolt erinevatel ajahetkedel ja puudub võimalus tagantjärele üheselt tuvastada, kes täpselt mida, kus ja miks korda saatis.

Teiseks grupiks ulatusliku mõjuga kontodest on ärilises vaates olulisi otsuseid vastu võtvad isikud, nagu tegevjuht, pearaamatupidaja, ostujuht jms, kelle otsustega kaasnevad lisaks rahalisele aspektile ka organisatsiooni suurimaid riske mõjutavad detailid.

Kolmandaks grupiks võiks olla füüsilist juurdepääsu omavad osapooled – töötajad, koristaja, remondimees jms, ehk kõik inimesed, sest inimene on nõrgim lüli ja temalt on võimalik väga kergesti kätte saada turvalisust puudutavaid detaile füüsilise turbe kohta (mõni turvauks on sageli rikkis või mõne koridori signalisatsioon annab tihti alarmi) või esinedes telefonitsi IT-mehena või turu-uuringu küsitlejana tundmas huvi arvuti kasutuskogemuse vastu.

Kui tööle tuleb uus inimene, siis õiguste määramisel tuleks alustada vähimate õiguste tasemelt ja anda juurde õigusi vastavalt sellele, mida tingivad tema tööülesanded. See sunnib dokumenteerima ja lahti mõtestama olemasolevate ja vajaminevate rollide kasutamist ning teeb tervikuna läbipaistvamaks, kellel on millised õigused.

Kui rollide ja õiguste pilt on selgem, saab juurutada tegevused nende korras hoidmiseks (inventuurid, rollide lahusus, huvide konfliktid ja toksilised kombinatsioonid, elukaare haldus jms) ja lisaks sisemisele veendumusele süsteemi sihipärasest ning korrektsest kasutamisest, on võimalik seda tõendada ka välisele auditeerivale osapoolele.

Viimased postitused

20. apr. 2022

Rita Käit-Vares: kiirustamine ja hajutatud tähelepanu on vesi küberpättide rahaveskile

Küberründe kahjusid ei saa panna alati numbrite keelde, kuid küberkurjategijad on tajunud ära piiri, kui palju on ettevõtted nõus maksma lunavararünnaku lõpetamise eest – see on keskmiselt 5% ettevõtte aastasest müügitulust. Räägime küberohtudest ja nende ennetamise võimalustest. Intervjuu Security Software OÜ partneri ja juhatuse liikme Rita Käit-Varesega.

Loe edasi
19. jaan. 2022

Mida on tegelikult turvaseire ehk SOC-i üles ehitamiseks vaja?

Ennekõike on SOC keskuse mõte see, et teil oleks turvalisusega seotud intsidentidest reaalajas koondatud ülevaade ja neile oleks võimalik mõne minuti jooksul reageerida. Panime kirja tähelepanekud, mida on mõistlik teada SOC-i üles ehitamisest.

Loe edasi
19. jaan. 2022

Kuidas aitab majasisene turvaseire (SOC) leevendada küberohte?

Küberturvalisus on küll teema, millest on hakatud rohkem rääkima, kuid jätkuvalt suhtutakse sellesse pigem reaktiivselt ja mitte proaktiivselt. Ehk siis oma ettevõtte kontekstis hakatakse sellele tõsisemalt mõtlema alles siis, kui midagi on juba juhtunud. 

Loe edasi

Kas teil on probleeme küberkurjategijatega? Kas arvate, et olete ohus?

Pakume laiahaardelist valikut küberturvalisuse teenuseid, tooteid ja lahendusi. Vajaliku lahenduse paneme kokku vastavalt iga organisatsiooni vajadustele.