A Lapsus$ para: a jogosultságokkal éltek vissza
A Lapsus$ feltűnésében talán az ad okot a legnagyobb aggodalomra, hogy nagyon egyszerű eszköztárral dolgoznak: a szervezetek alkalmazottait vagy a partnereik munkatársait veszik célba. Őket – elsősorban folyamatos online támadásokkal fárasztva – hibára kényszerítik, majd a felhasználói adataikkal könnyűszerrel lépnek be a rendszerekbe. Ezt követően kihasználják a szervezeteknek azt az jellemző kritikus hibáját, hogy csak nagyon nagyvonalúan korlátozzák azt, hogy a munkatársak vagy alvállalkozók milyen adatokhoz és belső rendszerekhez férhetnek hozzá.
„A jogosultságok terén tapasztalható káosz gyakorlatilag természetes következménye annak, hogy a szervezetek házon belül és a partnereikkel is igyekeznek a lehető legkényelmesebb, legátjárhatóbb infrastruktúrát kialakítani, legyen szó kommunikációról, logisztikai kérdésekről vagy bármilyen adatmegosztásról” – mondta el Mihály Tamás, a kereskedelmi bankoknál IT biztonsági vezetőként szerzett évtizedes tapasztalattal bíró szakember, az XS Matrix alapítója. „Ez a fajta nyitottság azonban jelentős felkészültséget és strukturáltságot követel meg. Abban a világban, ahol költségcsökkentési és kényelmi okokból, vagy pusztán az egyszerűség kedvéért az alkalmazottak saját eszközeiken dolgozhatnak, tehetik ezt távol az irodától, a cégek partnerei hálózati hozzáférést kapnak a belső hálózatokhoz, muszáj kiemelt figyelmet fordítani arra, hogy ki, milyen adatokhoz és rendszerekhez férhet hozzá. Tapasztalataink szerint egy maximum 100 fővel dolgozó vállalat lehet képes arra, hogy a jogosultságokat manuálisan ellenőrizze. Ennél nagyobb létszámnál egyszerűen követhetetlenné válik, hogy az alkalmazottak vagy beszállítók – és különösen a közülük távozók – mihez és hogyan férhetnek hozzá a vállalat szenzitív adatai és rendszerei közül” – húzza alá az automatizált jogosultság átvilágítást kínáló TheFence biztonsági szolgáltatás megálmodója.
A szakember kiemelte a megfelelő jogosultsági rendszer kialakítása mellett legalább olyan fontos az is, hogy a vállalatok felkészítsék munkatársaikat és partnereiket a támadási kísérletek felismerésére. A különböző felmérések eredményeiben van némi szórás, de a napjainkban elkövetett támadások sikereinek döntő többsége – 85-95 százaléka – mögött emberi aktivitáshoz köthető hiányosságok húzódnak. Ezek hatását akkor lehet megelőzni vagy minimalizálni, ha a szervezet a valóban minimális szinten tartja a munkavégzés céljából kiadott jogosultságokat.
