Miközben a hálózatok nyitottsága megnőtt (internet, levelezési rendszerek), az új vírusok már professzionális fejlesztő környezet segítségével, különösebb felkészültség nélkül elkészíthetőek, és az operációs rendszerek publikált sérülékenységi területeit célozzák. A fejlesztés olyan gyors, hogy a vírusok és férgek százai lendülnek támadásba szinte a biztonsági javító csomag megjelenésével egy időben. Ilyen rövid idő alatt nagyon nehéz a rendszereket felkészíteni a támadásra, és a várva várt vírusirtók is csak több nap múlva válnak elérhetővé. Ez pedig időnként elég a megfertőződésre – fejtette ki Eperjesi Tamás, az LNX Hálózatintegrációs Rt. rendszermérnöke.

Ezért mindinkább szükség van rá, hogy a hálózat saját maga is képes legyen a védekezésre. A Cisco „Önvédő hálózat” koncepciójának például az a célja, hogy a fertőzés terjedését fékezze meg – mutatott konkrét megoldást Eperjesi. A hálózati belépés irányítására (Network Admission Control – NAC) koncentráló módszer révén az üzemeltetők a hálózati hozzáférést a hiteles végpontok (PDA, PC, szerver) számára engedélyezni tudják, míg a nem megfelelő eszközöket kapcsolatait korlátozzák. Ez a fejlesztés nagymértékben javítja az infrastruktúrának azt a képességét, hogy azonosítsa, megelőzze a veszélyeket és adaptálódjon hozzájuk.

A NAC rendszer azt vizsgálja, hogy a hálózatra csatlakoztatni kívánt számítógép állapota megfelel-e a központi NAC „házirend szerveren” meghatározott elvárásoknak, azaz a gépen rajta van-e a megfelelő vírusirtó, megfelelő biztonsági patch-ekkel ellátott operációs rendszer fut-e rajta stb. Ezt az ellenőrzést az adott számítógépen telepített, az operációs rendszerrel kommunikáló NAC kliens végzi. Ha a gépünknek nincs megfelelő védeleme, a hálózati eszközök a gépet egy független szegmensen lévő web-szerverhez irányíthatják, ahonnan a felhasználó letöltheti a hiányzó biztonsági komponenseket – azaz a vírusirtókkal együttműködő, azzal integrált megoldást kapunk.

A NAC rendszerhez szorosan kapcsolódó Cisco Security Agent, a viselkedés alapon vizsgálatot végző szoftver védelmet nyújt mind az ismert, mind az ismeretlen (úgynevezett nulladik napi, Day-Zero) fenyegetésekkel szemben, bármiféle biztonsági frissítés nélkül. A központilag kialakított szabályrendszer alapján a szoftver az adott tevékenységről eldönti, hogy annak futása megengedhető-e: például e-mail kliens szoftverek nem installálhatnak semmilyen programot a munkaállomásra, azok az alkalmazások, amelyek valahonnan letöltött tartalmat olvasnak be, nem hozhatnak létre command shell-eket, vagy a web-szerverek csak log és temp állományokat írhatnak.

Felmérések szerint a szervezetek vezetői által megbízhatónak tekintett felhasználók lényegesen nagyobb kárt képesek okozni, mint a külső támadások. A belső információkkal való visszaélések elkerülésének, a belső támadások megelőzésének szükségességére Bartos Balázs, az LNX konzulense hívta fel a figyelmet.

A hozzáférés menedzsment alkalmazásával a nagy felhasználószámú, heterogén rendszerekben is lehetőség nyílik arra, hogy a felhasználói jogosultságokat kézben tarthassuk, és a munkaerő-vándorlással kapcsolatos adminisztrációs feladatokat hatékonyan kezeljük – fejtette ki a szakértő. A gondolati váltást az jelenti, hogy a hozzáférés menedzsment alkalmazásával nem a rendszereket, hanem a felhasználókat menedzselik, átlátható kapcsolatot teremtve a személyek és a jogosultságaik között, a jogosultságok munkakörökhöz való rendelésével.

Az ilyen megoldásokkal – Bartos Balázs példaként a BMC Control-SA által kidolgozott alkalmazást említette –,lehetőség van a felhasználói jelszavak összehangolására, a változások gyors és hatékony kezelésére, a hozzáférések automatizált kialakítására, a biztonsági házirend központi felügyeletére. A rendszer mindehhez egységes felhasználói felületet nyújt, minden biztonsági beállítás, módosítás naplózott és visszakereshető. A módszer meglehetősen gyorsan terjed a világban a közepe és nagyvállalatok között. A példában említett megoldást például 11 millió ember használja, s a legnagyobb rendszer 650 ezer felhasználó hozzáféréseit menedzseli.