Kétségtelen, hogy ezek az eszközök a mai napig a védelem fontos vonalát képezik. Azonban tudjuk, hogy a rosszfiúk egy része már úgyis bent van. Csak azt nem tudjuk, kik azok. Ez az oka annak, hogy a biztonsági technológiák fókusza a prevenció irányából a detektálás és a beavatkozás felé tolódik. Vagyis az válik egyre fontosabbá, miként tudjuk megakadályozni a hálózatunkon már belül lévő felhasználókat a károkozásban. Közülük is különösen azokat, akik - akár legálisan, akár nem - olyan kiemelt jogosultságokhoz jutottak, ami az autentikációt követően gyakorlatilag korlátozások nélküli tevékenységre jogosítja őket.
A biztonsági megoldások nagy része nem tud mit kezdeni ezzel a problémával. Ha egy munkatársunk hozzáféréssel rendelkezik például a vállalati CRM-rendszerhez, vagy egy külső támadó megszerzi valamelyik felhasználó jogosultságát, akkor a jelszavas azonosítást követően már nagyon nehéz megakadályozni az érzékeny vállalati adatokkal történő visszaélést.
Árulkodó viselkedés
A többfaktoros autentikáció, a jelszómenedzsment és a monitoringmegoldások ugyan képesek ezen segíteni, de továbbra is hiányzik valami plusz, ami a sikeres bejelentkezést követően is felismeri a visszaéléseket. Ez pedig nem más, mint a viselkedés. A viselkedés a hiányzó faktor, amely folyamatosan azonosítja a felhasználót és felismeri az illetéktelen bejelentkezéseket.
A gépek viselkedésüket tekintve gyakorlatilag egyformák. Ha ugyanolyan a specifikációjuk és azonosan programozták őket, pont ugyanúgy látják el a feladatukat. Ugyanez nem mondható el az emberekről. A felhasználók napi munkavégzésében fellelhető sajátosságok és különbözőségek azok, amelyek egyedivé teszik a viselkedésüket.
A felhasználók munkahelyi viselkedésében tipikus minták fedezhetők fel, amelyek mint metaadatok rögzíthetők. Melyik szerverekre szokott valaki bejelentkezni? Melyik napszakban szokott dolgozni, és jellemzően mit csinál? Milyen parancsokat ad ki munkája során? Milyen alkalmazásokat futtat? Ha minden felhasználói munkafolyamatot rögzítünk, pontos képet rajzolhatunk ezekről a viselkedésekről. Felhasználói profilokat építhetünk.
Amennyiben belső visszaélés történik, akkor ezekben a felhasználói viselkedésmintákban valami abnormálissá válik. Akár a használt parancsok, akár egy szokatlan felhasználótól szokatlan időpontban történő rendszerbejelentkezés.
Árulkodó egerek
Persze elmondható, hogy egy kompromittált felhasználói fiókkal visszaélő támadó, ha nagyon körültekintően jár el, akár arra is képes lehet, hogy utánozza ezeket a viselkedésmintákat. Így ezek a metaadatok azonosnak fognak tűnni. Ezért érdemes ezen metaadatok mögé is nézni, hogy egyéb speciális, de mérhető viselkedésmintákat találjunk. Ilyen például a gépelés karakterisztikája vagy a felhasználó egérmozgatásának sajátosságai. Ha valaki megszerzi a hozzáférésemet, és lassabban gépel vagy több, esetleg eltérő hibákat vét, akkor azonosíthatjuk ezt az abnormális viselkedést, és az illetéktelen hozzáférést. Így még azelőtt megakadályozhatjuk az incidenst, mielőtt az bekövetkezne.
A hagyományos autentikációs metódusok egy adott időpontra koncentrálnak, és nem képesek megvédeni a valós belépési adatok birtokában lévő támadótól. A viselkedés dimenziójának bevezetésével viszont képessé válunk az egész munkafolyamat során valós időben monitorozni és folyamatosan autentikálni a felhasználókat a digitális lábnyomaikból korábban épített profil alapján. Ezáltal a rosszindulatú belső és a szofisztikált külső támadások számát egyaránt csökkenthetjük.
