Klju\u010dne sisteme in aplikacije v ve\u010dini primerov \u0161e vedno varujemo enako kot pred leti. V tem \u010dasu je tehnologija nadzora napredovala, a \u0161e vedno najdemo re\u0161itve, ki se v zadnjem desetletju niso tehnolo\u0161ko spremenile.<\/p>\n
SIEM re\u0161itve zajemajo in obdelujejo ogromne koli\u010dine dogodkov, zato za svoje delo potrebujejo veliko strojne mo\u010di, kot rezultat pa vrnejo obvestilo o dogodkih, ki so se zgodili v preteklosti.\u00a0Namesto prepre\u010devanja varnostnih incidentov, je na voljo obve\u0161\u010danje o incidentih, do katerih je pri\u0161lo. Samo prepre\u010devanje incidentov je prepu\u0161\u010deno po\u017earnim zidovom in neomajnem zaupanju v varno in zaupanja vredno obna\u0161anje skrbnikov.<\/p>\n
Pomembna je tako ustrezna obravnava skrbni\u0161kih ra\u010dunov kot tudi poskus prepre\u010devanja ne\u017eelenih aktivnosti, \u0161e preden se zgodijo!<\/em><\/strong><\/p>\n Prvi korak sodobnega pristopa je sprememba na\u010dina dostopa do sistemov in aplikacij, in sicer z\u00a0dvo-faktorsko prijavo<\/strong>\u00a0(ang. Two-Factor Authentication,\u00a02FA<\/strong>)<\/em>.<\/p>\n Pri tem se lahko osredoto\u010dimo na poljuben nabor uporabnikov ali sistemov, za katere postane dvo-faktorska prijava obvezna.<\/p>\n Priporo\u010damo dve re\u0161itvi, preprosti za uporabo, ki hkrati nudita napredno za\u0161\u010dito uporabni\u0161kih ra\u010dunov kot obla\u010dna storitev ali namestitev direktno v okolje naro\u010dnika!<\/p>\n <\/p>\n Za uspe\u0161en nadzor\u00a0priviligiranih ra\u010dunov<\/strong>\u00a0(ang.\u00a0<\/em>Privileged Access Management,\u00a0PAM<\/strong>), je poleg spremljanja dogodkov pomemben tudi vidik snemanja celotne seje skrbni\u0161kih posegov na sistemih. Snemajo se lahko RTP, SSH, VNC, VmWare Horizont in ICA protokoli. Samo snemanje ne zadostuje, zato je potrebno tudi zaznavanje odprtih aplikacij (avtomatsko zapiranje seje) in nadzor vnosa, ki prepre\u010duje neza\u017eelene aktivnosti (nadzor nad vnosom podatkov).<\/p>\n Snemanje lahko poteka brez vednosti uporabnika, saj se vr\u0161i na omre\u017enem nivoju in ne kot zajemanje serije slik na delovni postaji ali stre\u017eniku.<\/p>\n Nad klju\u010dnimi sistemi naj bdijo re\u0161itve, ki poleg branja dnevnikov tudi spremljajo dogajanje.<\/em><\/strong><\/p>\n Aktivni imenik\u00a0(ang. Active Directory, AD)<\/em>\u00a0spremljamo direktno preko API klicev, ki dnevnikov niti ne potrebujejo (skrbnik lahko izklju\u010di vse mo\u017enosti spremljanja preko GPO),spremljajo pa vse dogodke! Enako velja za Datote\u010dni sistem, SharePoint, Exchange, Office 365 in Azure AD. Celoten nadzor in vsi dogodki se zbirajo na enem mestu ter jih po \u017eelji skupaj z dnevniki vseh sistemov bele\u017eimo in shranjujemo na dalj\u0161i rok, saj je kompresija podatkov 1:40 (tudi v praksi in ne samo na papirju).<\/p>\n <\/p>\n Najpomembnej\u0161i so \u0161e vedno podatki v bazah podatkov.<\/em><\/strong><\/p>\n Dostop do podatkov ni ve\u010d samoumevno dovoljen vsem skrbnikom brez omejitev. Poleg snemanja sej, je potrebno imeti sistem, ki prepre\u010di nedovoljene poizvedbe na sami bazi podatkov ter vra\u010da podatke, maskirane ali \u0161ifrirane v delu, ki ga ne \u017ealimo pokazati!<\/p>\n\n
\n
\n