Riadenie prístupov
V rámci organizácie má každý zamestnanec rôznu úroveň a rozsah zodpovedností a pracovných povinností. Vo fyzickom svete má napríklad obmedzený vstup na niektoré poschodia alebo do niektorých miestností, takisto sa nedostanie k niektorým dokumentom alebo zariadeniam vo fyzickej podobe, nakoľko to nevyžaduje jeho pracovné zaradenie.
Na takéto princípy nemôžeme zabúdať aj v digitálnom prostredí. Riadenie prístupov znamená nastavenie pravidiel, aký zamestnanec môže pristupovať k akým dátam a aplikáciám. Z bezpečnostného hľadiska je kritické, aby mal každý zamestnanec prístup len k takým dátam a aplikáciám, ktoré nevyhnutne potrebuje na svoju prácu. Naopak, k cudzím dátam a aplikáciám, ktoré neslúžia na jeho prácu, sa nemôže nijakým spôsobom dostať – napríklad sieťový administrátor musí mať prístup k aplikácii manažmentu switchov a k adresnému plánu organizácie, avšak k účtovníckemu systému a pracovným zmluvám v žiadnom prípade nemôže pristupovať.
Používajte princípy najnižších privilégií a architektúry nulovej dôvery (least privilege principle, zero trust architecture), ktoré zabezpečia, že každý sa dostane len k údajom a aplikáciám, ktoré nevyhnutne potrebuje. Pokusy o porušenie pravidiel monitorujte a riešte ako incident hneď, keď nastanú.
Pri ransomvéri je riadenie prístupov veľmi dôležitou súčasťou na minimalizovanie množstva ukradnutých alebo zničených dát. Ak je v prípade ransomvérového útoku kompromitované používateľské zariadenie a z neho nie je možné dostať sa do ďalej do iných segmentov vašej siete, je možné tak útok ohraničiť len na zariadenie resp. určitý sieťový segment. Takisto aj pri úniku prihlasovacích údajov sa útočník dostane len do obmedzenej časti vašej infraštruktúry a vy tak viete ohraničiť a izolovať infikované, resp. kompromitované prostredia.
Na prístup do zariadení, aplikácií a služieb, tam, kde je to možné, zapnite a vyžadujte dvojfaktorovú, resp. viacfaktorovú autentifikáciu. Odporúčame používať fyzické hardvérové tokeny, OTP aplikácie, prípadne biometriu. Vyhýbajte sa autenitfikácii cez SMS, hlasové hovory a emaily.