Priorytety w zarządzaniu dostępem i tożsamością

trecom.pl 16 godzin temu
CopyCopied Twitter Facebook LinkedIn

Dlaczego zarządzanie dostępem i tożsamością jest ważne dla współczesnych organizacji?

Dobre zarządzanie dostępem i tożsamością to fundament bezpieczeństwa. ​To właśnie konta użytkowników są najczęściej celem ataków – od phishingu, przez przejmowanie haseł, po nadużycia uprawnień. Te cyber aataki skupiają się na przejęciu danych logowania i wykorzystaniu ich do dalszych działań przestępczych.

Według statystyk szacuje się, iż 80% włamań na konta społecznościowe odbywa się przy użyciu wcześniej wykradzionych lub wyciekłych danych uwierzytelniających, a według ostatniego Microsoft Defense Raport Polska zajmuje 3. miejsce w Europie i 9. na świecie pod względem ekspozycji na ataki cyberprzestępcze, głównie ukierunkowane właśnie na pozyskanie danych uwierzytelniających użytkowników.

W ramach serii o priorytetach technologicznych, procesowych i organizacyjnych rozmawiamy z Tomaszem Matułą, ekspertem rynku ICT i cyberbezpieczeństwa.

Pobierz grafikę z mapą priorytetów technologicznych, procesowych i organizacyjnych w cyberbezpieczeństwie i bezpieczeństwie informacji.

Poziom podstawowy – jak wyglądają pierwsze kroki w ochronie tożsamości?

  • Silne i unikalne hasła – wymuszanie złożonych, unikalnych haseł dla wszystkich kont. Hasła należy zmieniać regularnie. UWAGA: regularność zmiany haseł nie może być jednocześnie przesadzona
  • Podstawowe zarządzanie tożsamością – ograniczenie uprawnień i kontrola ról – ręczne zakładanie i usuwanie kont, kontrola ról i uprawnień w systemach (np. Active Directory). Każdy użytkownik powinien mieć dostęp wyłącznie do tych zasobów, które są mu niezbędne do pracy (zasada najmniejszych uprawnień).
  • Stosowanie prostych SSO (Single Sign-On) – jedno logowanie do kilku podstawowych aplikacji (jeśli to możliwe)
  • Monitoring i audyt dostępu do krytycznych systemów
  • Szkolenie pracowników z rozpoznawania phishingu i innych metod wyłudzania danych(najczęstszego wektoru ataku na tożsamość)

Należy też pamiętać o “martwych kontach” czyli kontach, które nie są już używane. Martwe konta są częstym wektorem ataków. W-g międzynarodowych raportów ponad 24% naruszeń bezpieczeństwa w 2024 roku było związanych z wykorzystaniem nieaktywnych lub rzadko używanych kont, w tym martwych kont użytkowników. Atakujący często wykorzystują je do uzyskania nieautoryzowanego dostępu do infrastruktury IT, ponieważ takie konta rzadko mają włączone MFA i nie są monitorowane na bieżąco.

W Polsce, według raportu CERT Polska za rok 2024, jednym z najczęściej identyfikowanych wektorów ataku było wykorzystanie kont niechronionych MFA oraz długotrwały dostęp do infrastruktury – co w praktyce często oznacza  wykorzystanie tzw. martwych (nieużywanych) kont.

Nawet na poziomie podstawowym warto regularnie przeglądać i usuwać nieużywane konta oraz ograniczać liczbę kont z uprawnieniami administracyjnymi. Rekomendowana częstotliwość przeglądu kont użytkowników to co najmniej raz na kwartał – usuwanie nieużywanych kont i ograniczanie nadmiernych uprawnień zwykle nadawanych „na chwilę”, o których często zapomina się.

Poziom średniozaawansowany. Jak wdrożyć automatyzację i lepszą kontrolę w zarządzaniu dostępem i tożsamością?

  • Weryfikacja dwuetapowa (2FA/MFA) – wszędzie, gdzie to możliwe, należy włączyć uwierzytelnianie dwuskładnikowe – np. kod SMS, aplikacja mobilna, token sprzętowy. MFA znacząco utrudni przejęcie konta choćby w przypadku wycieku hasła.
  • Systemy IAM (Identity and Access Management) – centralizują zarządzanie cyklem życia użytkownika – automatycznie nadają i odbierają uprawnienia, integrują z HR i systemami kadrowymi. Dodatkowo umożliwiają automatyzację procesów takich jak przyjęcie, zmiana roli, odejście pracownika oraz znacząco usprawniają regularne przeglądy i certyfikację uprawnień, eliminując „martwe konta” i nadmiarowe uprawnienia.
  • PAM (Privileged Access Management) – kontrolują i monitorują dostęp do kont uprzywilejowanych (administratorów, serwisów, kont technicznych). Wprowadzenie polityk just-in-time (dostęp tylko na czas wykonania zadania) i just-enough privilege (tylko niezbędne uprawnienia) oraz automatyczne rejestrowanie i audytowanie sesji uprzywilejowanych, integracja z SIEM czy platformami zarządzającymi cybersec.
  • SSO (Single Sign-On) z integracją – umożliwia użytkownikom logowanie do wielu aplikacji (lokalnych i chmurowych) dzięki jednego zestawu poświadczeń. Centralizuje zarządzanie dostępem i ułatwia egzekwowanie polityk bezpieczeństwa. Redukuje ryzyko związane z wieloma hasłami i poprawia doświadczenie użytkownika.
  • Least Privilege Access
  • Wdrożenie zasady minimalnych uprawnień na poziomie systemów, aplikacji i ról.
  • Regularne audyty uprawnień, automatyczne odbieranie niepotrzebnych dostępów.
  • Wykorzystanie RBAC (Role-Based Access Control) i polityk czasowych (just-in-time access).
  • Zero Trust dla Active Directory – każda próba dostępu do zasobu jest weryfikowana – nie ma domyślnego zaufania choćby dla użytkowników wewnętrznych.
  • Wprowadzenie polityk Authentication Policies, ochrona kont Protected Users, segmentacja ról administracyjnych.

Poziom Zaawansowany. Jak wygląda adaptacyjnosć, Zero Trust i pełna automatyzacja w zarządzaniu dostępem i tożsamością?

Na najwyższym poziomie dojrzałości zarządzanie dostępem i tożsamością to już nie tylko kontrola, ale i ciągła adaptacja do zmieniających się zagrożeń.

  • Zaawansowane rozwiązania IAM z adaptacyjnym uwierzytelnianiem – systemy IAM analizują kontekst logowania (lokalizacja, urządzenie, czas, zachowanie użytkownika) i dynamicznie dostosowują wymagania uwierzytelniania. W przypadku nietypowych prób logowania (np. z nowego kraju, o nietypowej porze) system może wymusić dodatkowe potwierdzenie tożsamości, np. przez MFA, biometrię lub jednorazowy kod.

Adaptacyjne uwierzytelnianie minimalizuje ryzyko nieautoryzowanego dostępu, a jednocześnie nie utrudnia pracy uprawnionym użytkownikom.

  • Pełna implementacja modelu i architektury Zero Trust – każda próba dostępu do zasobu jest dynamicznie oceniana – nie ma domyślnego zaufania choćby dla użytkowników wewnętrznych. Wymuszane jest wieloskładnikowe uwierzytelnianie (MFA) oraz ciągła weryfikacja tożsamości i stanu urządzenia. Dostęp przyznawany jest na zasadzie „najmniejszych uprawnień” (Least Privilege), a uprawnienia są regularnie przeglądane i automatycznie odbierane, gdy nie są już potrzebne.
  • Zaawansowane PAM (Privileged Access Management) – Pełna kontrola i monitoring sesji uprzywilejowanych, automatyczne nadawanie i odbieranie uprawnień na czas wykonania zadania (just-in-time access). Zaawansowane PAM automatyzują rotacęi haseł, audytowanie i nagrywanie sesji, wykrywanie anomalii w działaniach administratorów. Pozwalają na integrację z SIEM, SOAR i innymi narzędziami bezpieczeństwa dla szybkiej reakcji na incydenty.
  • Automatyzacja cyklu życia tożsamości
  • Automatyczne nadawanie, modyfikowanie i odbieranie uprawnień na podstawie zmian w systemach HR, strukturze organizacyjnej lub atrybutach użytkownika.
  • Automatyczne przeglądy uprawnień, workflowy zatwierdzania dostępu, automatyczne usuwanie kont po odejściu pracownika.
  • Integracja i orkiestracja
  • IAM, PAM i systemy monitoringu są zintegrowane, co umożliwia centralne zarządzanie, korelację zdarzeń i automatyczną reakcję na incydenty.
  • Wykorzystanie AI i machine learning do wykrywania anomalii i predykcji zagrożeń
  • Regularne przeprowadzanie przeglądów uprawnień i recertyfikacji kont – automatyzacja access review, eliminacja martwych kont i nadmiarowych uprawnień
  • Testowanie i audytowanie polityk – regularne przeprowadzanie testów penetracyjnych, symulacje ataków i audyty zgodności polityk z wymaganiami biznesowymi i regulacyjnymi.

Podsumowując poziom zaawansowany w zarządzaniu dostępem i tożsamością to możliwie pełna automatyzacja, adaptacyjność i wdrożenie filozofii Zero Trust. najważniejsze są tu: dynamiczne uwierzytelnianie, automatyzacja cyklu życia tożsamości, zaawansowane zarządzanie dostępem uprzywilejowanym oraz integracja i orkiestracja systemów bezpieczeństwa.

Jaką wartość daje wdrożenie IAM i PAM?

Wdrożenie IAM i PAM to projekty, które są wyzwaniem dla większości organizacji, ale za to przynoszą ogromne korzyści – automatyzują procesy, zmniejszają liczbę błędów i naprawdę znacząco poprawiają bezpieczeństwo. Dodatkowo nie do przecenienia jest znaczenie systemu PAM w kontekście incydentów bezpieczeństwa, takich jak kradzież lub wyciek danych dokonany przez osoby z dostępem uprzywilejowanym. W przypadku podejrzenia przestępstwa (np. kradzieży lub wycieku danych przez administratora lub dostawcę):

  • Dowody cyfrowe: Organy ścigania i sąd wymagają twardych dowodów potwierdzających, kto i w jaki sposób dokonał nieautoryzowanych działań. Logi PAM i nagrania sesji są kluczowym źródłem takich dowodów.
  • Odtworzenie przebiegu incydentu: Nagrania sesji pozwalają zrekonstruować krok po kroku, jak doszło do wycieku lub kradzieży danych.
  • Zabezpieczenie przed podważeniem: Logi generowane przez PAM są chronione przed edycją i zapewniają integralność dowodów, co zwiększa ich wartość procesową.

Zasadność wdrożenia systemów IAM czy PAM pokazuje między innymi atak ransomware na UnitedHealth Group z 2024 roku – jeden z największych incydentów cyberbezpieczeństwa w amerykańskiej ochronie zdrowia, w wyniku którego skompromitowano dane około 190 milionów osób – czyli jednej trzeciej populacji USA. Grupa ransomware BlackCat uzyskała dostęp do systemów poprzez podatny port i skradzione poświadczenia, a dodatkowo w organizacji nie było włączone wieloskładnikowe uwierzytelnianie MFA. Incydent ujawnił także słabości w monitorowaniu kont uprzywilejowanych, co stało się modelowym przykładem na to, jak krytyczne dla bezpieczeństwa jest adekwatne zarządzanie oraz nadzór nad dostępami, szczególnie o podwyższonych uprawnieniach.

Coraz więcej narzędzi IAM, PAM czy SSO jest dostępnych także dla średnich organizacji – w modelu on-premise, ale też chmurowym, jako usługa, z elastycznym wdrożeniem.

Podsumowanie – jakie są najważniejsze zasady w zarządzaniu dostępem i tożsamością?

Niezależnie od poziomu dojrzałości, warto pamiętać o kilku uniwersalnych zasadach:

  • Regularnie przeglądaj i aktualizuj uprawnienia użytkowników.
  • Wdrażaj MFA tam, gdzie to możliwe – choćby proste SMS-y czy aplikacje mobilne znacząco podnoszą bezpieczeństwo.
  • Automatyzuj procesy nadawania i odbierania uprawnień – minimalizuje to ryzyko błędów i nadużyć.
  • Edukuj użytkowników – choćby najlepsze narzędzia nie pomogą, jeżeli ktoś udostępni swoje hasło.
  • Audytuj i monitoruj dostęp do kont uprzywilejowanych – to one są najcenniejszym celem dla atakujących.

Zarządzanie dostępem to nie tylko technologia, ale też procesy i świadomość. Każdy obszar cyberbezpieczeństwa i ochrony informacji to połączenie narzędzi, procesów, dobrych praktyk i kultury bezpieczeństwa – o czym do znudzenia przypominamy za każdym razem.

Idź do oryginalnego materiału
  1. Strona główna
  2. Serwisy SEC
  3. Priorytety w zarządzaniu dostępem i tożsamością

Powiązane

Microsoft Teams wprowadza zabezpieczenie przed przechwytywaniem ekranu podczas spotkań

Microsoft Teams wprowadza zabezpieczenie przed przechwytywan...

6 godzin temu
Czym są TTP (Taktyki, Techniki i Procedury) i jak je wykorzystać?

Czym są TTP (Taktyki, Techniki i Procedury) i jak je wykorzy...

16 godzin temu
YouTube zaostrza zasady. Sprawdź, jakie filmy będą usuwane

YouTube zaostrza zasady. Sprawdź, jakie filmy będą usuwane

18 godzin temu
Złośliwe paczki npm wykorzystują Adspect i fałszywe CAPTCHA do omijania analizy

Złośliwe paczki npm wykorzystują Adspect i fałszywe CAPTCHA ...

1 dzień temu
Fałszywe rozszerzenie Chrome „Safery” wyłudza frazy seed portfeli Ethereum

Fałszywe rozszerzenie Chrome „Safery” wyłudza frazy seed por...

1 dzień temu
Chcą szpitali pod ziemią. „Potrzeba jest pilna”

Chcą szpitali pod ziemią. „Potrzeba jest pilna”

1 dzień temu
Amazon zaostrza kontrolę nad sprzętem. „Kupujesz, my decydujemy”

Amazon zaostrza kontrolę nad sprzętem. „Kupujesz, my decyduj...

1 dzień temu
Od reaktywnego do proaktywnego cyberbezpieczeństwa w 4 krokach

Od reaktywnego do proaktywnego cyberbezpieczeństwa w 4 kroka...

1 dzień temu

Polecane

Wprowadzono trzeci stopień alarmowy w Polsce. Co oznacza dla obywateli?

Wprowadzono trzeci stopień alarmowy w Polsce. Co oznacza dla...

41 minut temu
Trzebnica. Saperzy zabezpieczyli niewybuch z czasów II Wojny Światowej

Trzebnica. Saperzy zabezpieczyli niewybuch z czasów II Wojny...

1 dzień temu
Rząd podał nowe informacje w sprawie dywersji. "Nad sprawą pracują najlepsi ludzie"

Rząd podał nowe informacje w sprawie dywersji. "Nad sprawą p...

1 dzień temu
Rząd podał nowe informacje w sprawie dywersji. "Pracują nad tym najlepsi ludzie"

Rząd podał nowe informacje w sprawie dywersji. "Pracują nad ...

1 dzień temu
Szokujące ustalenia ws. sabotażu na torach. Znaleziono nowy ładunek wybuchowy

Szokujące ustalenia ws. sabotażu na torach. Znaleziono nowy ...

1 dzień temu
Panika w Gliwicach. Znaleziono niewybuch – ewakuacja i blokada miasta

Panika w Gliwicach. Znaleziono niewybuch – ewakuacja i bloka...

1 dzień temu
Brawo policja! Mikołaj, który podszywał się m.in. pod Niebezpiecznika został w końcu zatrzymany

Brawo policja! Mikołaj, który podszywał się m.in. pod Niebez...

2 dni temu
Dywersja na torach kolejowych

Dywersja na torach kolejowych

2 dni temu
Fałszywe alarmy paraliżowały urzędy. Siedmiu zatrzymanych

Fałszywe alarmy paraliżowały urzędy. Siedmiu zatrzymanych

2 dni temu