“Četiri A” u upravljanju korisničkim nalozima

Mnogi sugerišu da su u mrežnom okruženju najslabija karika upravo korisnici, tj. neizostavni ljudski faktor. Kada bi samo postojao način da se neodgovorni dovedu u red…  Načini, ipak, postoje. Implementacijom kombinacije različitih tehnika kontrole pristupa moguće je ograničiti štetu koju može da prouzrokuje određeni korisnik ili napadač koji se predstavlja kao taj korisnik. Da bi se lakše zapamtila, kombinacija tehnika o kojoj ćemo pisati često se naziva i “četiri A” u upravljanju korisničkim nalozima, iliti u originalu “The Four “A”s of Account Management”. 

Ovim člankom želimo da vas uputimo u osnove navedenih tehnika i njihove bezbednosne uloge u računarskim mrežama. U narednim člancima ćemo se pozabaviti svakom tehnikom ponaosob kako biste stekli bolji uvid u njihovu primenu i značaj.

Authentication / Autentifikacija
Prvi korak u upravljanju korisničkim nalozima je onaj sa kojim redovno susrećemo – autentifikacija. Autentifikacijom naš operativni sistem, servis ili online nalog kojem pristupamo utvrđuje naš identitet. Za kreiranje bilo kog naloga, u okviru mreže ili online, neophodno je podešavanje korisničkog imena i lozinke, a svako naredno prijavljivanje na taj nalog uključuje tačan unos podešenih kredencijala.

Authorization / Autorizacija
Nakon što kroz autentifikaciju potvrdimo naš identitet, potrebne su nam dozvole za pristup nekom sadržaju ili izvršavanje određenih aktivnosti. Autorizacija se nadovezuje na utvrđeni identitet i, na osnovu unapred definisanih dozvola za tog korisnika ili grupu kojoj pripada, kontroliše pristup sadržaju poput privatnih dokumenata, deljenih foldera, osetljivih informacija, i ulogu u određenim servisima, kao i vreme trajanja pristupa.

Access control / Kontrola pristupa
Još jedan način za definisanje odgovarajućih korisničkih privilegija je ograničavanje pristupa određenim lokacijama. U pomoć ove tehnike administrator može unapred da odredi čemu korisnik ili grupa neće imati pristup. Još bolje, na ovaj način administrator može da ograniči korisnike samo na onaj sadržaj koji je neophodan za izvršavanje redovnih zadataka.

Audit logging / Beleženje aktivnosti
Ponekad je zgodno imati veću kontrolu od uspostavljenih dozvola i zabrana jer su neželjeni i neočekivani momenti manje-više redovna pojava, pa je aktiviranje sistema za praćenje svih aktivnosti svakako dobra ideja. Monitoring zapisa ko je uradio šta i u koje vreme administratorima omogućava bolju i bržu reakciju, olakšava definisanje uzroka i posledica nastalog problema.

Administratoru je najjednostavnije da korisnicima da najšire dozvole na mreži, ali ovakav pristup je recept za katastrofu, pogotovu u vreme ekspanzije ransomware-a koji ne zaobilazi nijedan deljeni folder na mreži. S druge strane, upotrebom navedenih tehnika, štetu možete svesti na minimum i reagovati na vreme kada se problem pojavi, pa čak i po automatizovanoj proceduri, ali o tome više u narednim člancima.

www.welivesecurity.com