Naturalnym odruchem, gdy czujemy rosnące zagrożenie, jest stosowanie coraz większych środków i sposobów na jego uniknięcie. Przykładowo, gdy boimy się, że ukradną nam samochód, parkujemy go tylko na strzeżonych parkingach, czasem znacznie oddalonych od miejsca zamieszkania. Dojście do samochodu może zająć nam kilkanaście minut. Czy na pewno po to go kupowaliśmy, żeby teraz tracić tyle czasu?

Podobnie jest z bezpieczeństwem sieci. W celu jego zwiększenia można wdrożyć wielopoziomowy sposób uwierzytelniania użytkowników, wzmocnić zabezpieczenia, ale to utrudni codzienne korzystanie z jego zasobów i naszą pracę. Biznes potrzebuje szybkiego, elastycznego dostępu do danych oraz systemów, a to jest w zupełnej sprzeczności z oczekiwaniami ekspertów ds. bezpieczeństwa IT, którzy najchętniej odcięliby dostęp do sieci firmowej z zewnątrz.

Po co uwierzytelnianie?

Dlaczego w ogóle przeprowadzane jest uwierzytelnianie? Na co dzień podczas naszych spotkań szybko rozpoznajemy znajomych po wyglądzie i łączymy ich z ich imieniem. Komputery tak nie potrafią, muszą mieć zaprogramowane narzędzie do rozpoznania danej osoby i bazują na wcześniej wgranych informacjach. System chce rozpoznać użytkownika i upewnić się, że robi on tylko to, do czego ma uprawnienia, wykonuje tylko ustalone wcześniej zadania lub ma dostęp do konkretnych wrażliwych danych.

Większość dostępnych sposobów uwierzytelniania jest skupionych na jednorazowym uwierzytelnianiu użytkowników, a potem pozwala się systemowi autoryzacji wykonać pozostałą pracę. Podczas jednej sesji użytkownik przeważnie loguje się raz, a potem ma dostęp do wszystkiego, co wcześniej administrator sieci mu udostępnił, w zależności od nadanych uprawnień dostępowych. Dla łatwości korzystania z systemu i jego użyteczności taki sposób jest ogólnie przyjęty, czasem uzupełniony o dodatkowe uwierzytelnienia przy jakichś kluczowych działaniach czy danych.

Kontrola po zalogowaniu

Jednak w idealnym świecie powinny być kontrolowane nie tylko wejścia, ale wszystkie ruchy i działania użytkowników. W świecie fizycznym można eskortować gości w budynku i uważać na każdy ich krok. Bardzo podobnie jest w świecie IT. Bardzo istotne jest monitorowanie działań użytkowników, najlepiej z jak najmniejszą niedogodnością dla nich.

Jak komentuje Márton Illés, Product Evangelist w firmie BalaBit: Nadszedł czas, aby uwierzytelnianie i monitorowanie aktywności użytkowników przenieść na kolejny poziom bezpieczeństwa IT. Niech urządzenia zabezpieczające rozpoznają użytkowników na podstawie ich zachowania, a nie tylko przez ich hasła!

Nie zatykaj następnych luk – zmień całe podejście

Pojedyncze logowanie w połączeniu z dodatkowymi metodami autoryzacji są tak naprawdę tylko drobnym lekarstwem na obecny główny problem – pełne bezpieczeństwo systemu i danych w świecie stale rozwijającej się cyberprzestępczości. Systemy zarządzania hasłami to także doraźne lekarstwo na pierwszej linii obrony. Należy przestać łatać kolejne luki w zabezpieczeniach organizacji i zmienić całą koncepcję ochrony systemu. Aktywne uwierzytelnianie jest właściwym krokiem w tym kierunku.

Stałe zwyczaje użytkownika największą ochroną systemu

Powinniśmy skupić się na rzeczywistych działaniach i używać technik takich jak rozpoznawanie użytkownika po jego stałych indywidualnych czynnościach. Są one swoistymi odciskami palców konkretnej osoby w systemie. Można też stosować inne metody behawioralne, które pozwalają rozpoznać i sprawdzić tożsamość użytkowników. Taki system pozwoli na ciągłe monitorowanie użytkowników, a nie będzie tylko opierać się na pewnych ustalonych obostrzeniach, które mogą utrudniać działalność biznesową firmy. W ostatecznym rozliczeniu monitoring plus odpowiednio dobrane zabezpieczenia dają lepsze zadowolenie użytkowników i wyższy poziom bezpieczeństwa.

Istnieją też interesujące dodatkowe efekty zwiększenia tylko zabezpieczeń. W wielu organizacjach użytkownicy końcowi mają tendencję do dzielenia się swoimi hasłami z innymi współpracownikami, aby łatwiej i szybciej zapewnić dostęp do określonych zasobów. Jest to prawdopodobnie najgorszy koszmar każdego specjalisty ds. bezpieczeństwa. Organizuje się szkolenia o bezpieczeństwie IT i umieszcza się odpowiednie zapisy w regulaminach firmy i innych dokumentach prawnych organizacji, aby zatrzymać tego typu zachowania. Mimo to wciąż to robimy, aby wykonywać sprawniej swoją codzienną pracę.

W ten sposób nieuczciwi pracownicy mogą wykorzystać naszą niefrasobliwość i uzyskać dostęp do wrażliwych firmowych danych. Przy czym taka działalność wewnątrz organizacji jest też często trudna do wykrycia. Dzięki poznaniu zwyczajów i przyzwyczajeń poszczególnych użytkowników, możliwe jest nie tylko wykrycie i blokowanie takich przypadków, ale również ustalenie, jakie złe zamiary mieli wewnętrzni przestępcy. To wszystko można wywnioskować w oparciu o ich zachowanie w stosunku do zapisanych profili behawioralnych użytkowników.