Kada je riječ o IT-u u sjeni i sigurnosti, mnogo smo puta naglasili važnost nadzora i izazove zaštite lozinki i računa koje su kreirali zaposlenici. Naš partner Scirge je, izdavanjem novog rješenja – Scirge 3.1, ovo podigao na višu razinu, poboljšavajući učinkovitost pronalaženja kapaciteta uz istodobnu zaštitu privatnosti zaposlenika.
Scirge prikuplja podatke koje korisnici izričito odaberu, kako bi od početka poštovao privatnost. Uz to, jedna od već postojećih prinicipijelnih značajki je omogućiti anonimnost osobnih podataka za revizore i administratore – čak i za evidentiranje i upozoravanje.
Scirge je ažurirao svoju politiku privatnosti kako bi omogućio dodatne slučajeve uporabe, detektirajući privatnu ponovnu uporabu korporativnih zaporki bez prikupljanja PII podataka od zaposlenika.
Zašto je ovo uopće važno? Već smo otkrili uporabu slabih, dijeljenih, ponovo korištenih i provaljenih lozinki, no naše politike su zahtijevale prikupljanje kompletnih informacija o računu, uključujući adresu e-pošte i URL koji se koristio, kao i lozinke. I to odlično funkcionira za korporativnu e-poštu, pošto je ona vlasništvo organizacije i uređena je internim politikama.
No, problemi su nastali s osobnim računima. Podrazumijeva se da je ponovno korištenje korporativne lozinke (čak i Active Directory lozinke) na osobnom računu – bez obzira radilo se o zabavi, osobnim financijama ili nekoj drugoj svrsi – poprilično zastrašujuće za sigurnost. Uz milijarde provaljenih dostupnih podataka, korelacija različitih adresa e-pošte koje pripadaju istoj osobi lako može postati prijetnja za direktore i zaposlenike na odgovornim pozicijama.
Kada napadači ustanove takvu korelaciju, privatne lozinke postaju puno vrjednije, pošto vjerojatno koriste istu lozinku za korporativne račune. Na kraju krajeve, svi smo mi ljudi i kada smo već prisiljeni kreirati i pamtiti jake poslovne lozinke, jedino što ima smisla je ponovno ih iskoristiti na našim privatnim računima, pošto je njihovu snagu potvrdila politika korporacije.
Ovo je jedan od najmračnijih kutaka IT-a u sjeni, pošto osobna priroda ovakvih računa nije relevantna za organizaciju. Ipak, lozinke koje se u njima koriste, mogu predstavljati nevidljivi stražnji ulaz u naše kraljevstvo. Praćenje osobne aktivnosti oduvijek je bilo kontroverzna tema, no vjerujemo da je to jedini način kako bi se istodobno pružila stopostotna privatnost i stopostotna sigurnost.
Jednostavno rečeno, izazov ovih računa je otkriti privatnu ponovnu uporabu korporativnih lozinki, a da pritom ne prekršimo privatnost pojedinaca.
I upravo je to Scirge učinio. Počevši s inačicom 3.1, moguće je prikupiti podatke o lozinkama bez prikupljanja podataka o računu – tj. bez prikupljanja adresa e-pošte ili URL-ova koji su korišteni. To znači da se politike mogu oblikovati kako bi pratili osobne aktivnosti, a da im je jedina namjera praćenje koristi li netko korporativnu zaporku u privatnoj aplikaciji. Naravno, to zahtijeva prikupljanje sigurnih „hasheva“ privatnih lozinki i uspoređivanje s drugim korporativnih „hashevima“ lozinki.
Jednosmjerni sigurnosni „hash“ nije moguće osobno identificirati; stoga oko njega nema razloga za zabrinutost zbog privatnosti. Usput rečeno, nikada ne pohranjujemo tekstualne verzije korporativnih lozinki kako bismo izbjegli dodatne moguće slabosti u organizaciji.
„Hashevi“ lozinki mogu se pohraniti u lokalnom okruženju a da se pritom nikad nigdje ne pošalju, samo za potrebe usporedbe i korelacije sa slučajevima ponovne uporabe i dijeljenja. Ove nove postavke omogućuju nam da rasvijetlimo i najmračnije kutke IT-a u sjeni, istodobno poštujući svoje zaposlenike i bez kompromitiranja privatnosti.
Obratite nam se za više detalja o rješenju Scirge 3.1!
