Solidne uprawnienia IAM w chmurze powinny być zgodne z zasadami zerowego zaufania

cyberfeed.pl 1 miesiąc temu


W dzisiejszym cyfrowym krajobrazie tradycyjne granice bezpieczeństwa rozpłynęły się, czyniąc tożsamość nową linią frontu obrony. W miarę jak organizacje coraz częściej korzystają z usług w chmurze i modeli pracy zdalnej, zarządzanie tożsamościami i ich zabezpieczanie stało się sprawą najwyższej wagi. Skuteczny zarządzanie tożsamością i dostępem Praktyki IAM są niezbędne dla działów IT, aby chronić się przed cyberatakami, próbami phishingu i zagrożeniami związanymi z oprogramowaniem ransomware. Wdrażając solidne strategie IAM, organizacje mogą zapewnić dostęp do krytycznych zasobów tylko upoważnionym osobom, ograniczając w ten sposób potencjalne zagrożenia bezpieczeństwa. Przyjrzyjmy się najważniejszym rzeczom, na których warto się skupić, a wszystkie są zgodne z podstawowymi zasadami zerowego zaufania.

Sprawdź wyraźnie

Jednym z głównych czynników napędzających ciągłe wdrażanie technologii chmury jest niezrównana łatwość dostępu do zasobów z dowolnego miejsca, z dowolnego urządzenia i o każdej porze dnia. W praktyce jednak krótkowzrocznością byłoby zezwolenie na taki poziom niekwestionowanego dostępu bez sprawdzenia, czy wnioski o dostęp są robione przez adekwatną osobę. W końcu wciąż żyjemy w czasach, w których nazwy użytkowników i hasła są często zapisywane w pobliżu urządzeń, na których są używane. Zespoły ds. bezpieczeństwa IT powinny dysponować solidnymi mechanizmami umożliwiającymi bezpośrednią weryfikację tych żądań dostępu, aby można było mieć pewność, iż umożliwią dostęp, zwłaszcza z nierozpoznanych lokalizacji sieciowych.

Przykładami tego, jak mogłoby to wyglądać w praktyce, byłoby użycie silne uwierzytelnianie wieloskładnikowe (MFA) metody zabezpieczania żądań. Skuteczne metody obejmują zatwierdzenie żądania dostępu za pośrednictwem powiadomienia w wybranej aplikacji uwierzytelniającej na urządzeniu inteligentnym (już korzystającej z danych biometrycznych do odblokowania) lub dzięki monitu o dopasowanie numeru, tak aby osoba żądająca musiała manualnie wprowadzić poprawną „odpowiedź” w swojej aplikacji przed dostęp jest przyznany. Metody te pomagają ominąć niektóre z coraz powszechniejszych technik używanych przez atakujących w celu obejścia monitów MFA, a mianowicie wymiany kart SIM i zmęczenia MFA. Pojawienie się technik ataków skoncentrowanych na MFA pokazuje, iż osoby atakujące zawsze będą starały się być o krok przed pojawiającymi się funkcjami zabezpieczeń.

Jednak usługa MFA nie jest rozwiązaniem uniwersalnym, jeżeli chodzi o bezpieczeństwo tożsamości. To zaledwie pierwsza przeszkoda, jaką zespoły ds. bezpieczeństwa muszą postawić pomiędzy atakującym a celem, jakim jest naruszenie środowiska. Im więcej przeszkód jest na miejscu, tym większe prawdopodobieństwo, iż atakujący podda się i przejdzie do łatwiejszego celu. MFA odstraszy większość atakujących, ale nie wszystkich.

Analityka behawioralna użytkowników i podmiotów (UEBA) to kolejna nowoczesna technika, która może zapewnić dodatkową warstwę bezpieczeństwa. Niezależnie od tego, czy atakującemu udało się ominąć napotkaną przeszkodę MFA, UEBA konsekwentnie monitoruje różne wskaźniki generowane podczas interakcji użytkownika z platformą chmurową. Każdemu odstępstwu od tego, co jest uważane za normalne dla tego użytkownika, przypisuje się ocenę ryzyka, a jeżeli wykryje się wystarczającą liczbę anomalii, może to zmusić użytkownika do zresetowania hasła, a choćby całkowicie zablokować konto do czasu, aż zespół ds. bezpieczeństwa upewni się, iż konto nie zostało nie został naruszony.

Techniki te pokazują niewielki wycinek tego, co można zrobić, aby wzmocnić platformę IAM, aby była bardziej odporna na ataki skoncentrowane na tożsamości. W przyszłości nieuchronnie nastąpi to w kierunku ochrony przed wykorzystaniem deepfakes generowanych przez sztuczną inteligencję.

Technologia sztucznej inteligencji staje się również coraz bardziej dostępna dla wszystkich – dotyczy to także złych aktorów! Korzystanie z funkcji Microsoft Entra takie jak weryfikacja tożsamości, obejmująca konieczność wykonywania skanów biomimetycznych w czasie rzeczywistym w celu potwierdzenia autentyczności, niedługo staną się powszechne, co sprawi, iż gdy ktoś pod koniec piątkowego popołudnia otrzyma telefon od dyrektora finansowego w celu zatwierdzenia do zapłaty ogromnych faktur, będzie mógł mieć pewność rozmawiają ze swoim dyrektorem finansowym i nie jest to połączenie wideo generowane przez sztuczną inteligencję.

Stosuj zasady dostępu o najniższych uprawnieniach

W miarę rozwoju i ewolucji organizacji rosną także uprawnienia i przywileje zapewniane w celu umożliwienia działania technologii. Z biegiem czasu tożsamości mogą gromadzić ogromne ilości różnych uprawnień all-la-carte w celu wykonywania bardzo określonych zadań. jeżeli te uprawnienia nie są regularnie dostosowywane do odpowiednich rozmiarów, może to oznaczać, iż niektóre tożsamości mogą mieć ogromną władzę nad środowiskiem IT. Omówmy kilka koncepcji, które pomagają ograniczyć to ryzyko.

Kontrola dostępu oparta na rolach (RBAC) to sposób na spójne zapewnianie wstępnie mapowanych uprawnień i przywilejów dostosowanych do określonej roli lub zadania. Te wstępnie zdefiniowane role ułatwiają przydzielenie odpowiedniej liczby uprawnień dla danego zadania. Platformy chmurowe, takie jak Microsoft 365 i Azure, oferują wiele gotowych ról, ale umożliwiają także tworzenie ról niestandardowych dostosowanych do potrzeb każdej organizacji. Zaleca się jak najczęstsze korzystanie z ról RBAC, co zwiększa się podwójnie w przypadku wdrażania kolejnej techniki.

Dostęp just-in-time (JIT) przenosi RBAC o krok dalej. Zamiast kumulowania tożsamości z podwyższonymi uprawnieniami i przywilejami przez 24 godziny na dobę, dostęp JIT tymczasowo przyznaje podwyższone uprawnienia. Zarządzanie tożsamością uprzywilejowaną firmy Microsoft to przykład narzędzia JIT, które umożliwia odpowiednim tożsamościom tymczasowe uaktualnienie ich uprawnień do wcześniej określonej roli RBAC i może obejmować dodatkowe kontrole i salda, takie jak zatwierdzenia, wymuszanie zatwierdzenia MFA, powiadomienia e-mail lub opcje dostosowywania czasu, przez jaki poszczególne osoby mogą uzyskać dostęp do określonych uprawnień. Ostatecznie oznacza to, iż jeżeli konta z dostępem do wyższych uprawnień zostaną naruszone, nie musi to koniecznie oznaczać, iż zły aktor będzie mógł wykorzystać te uprawnienia.

Oprócz stosowania nowoczesnych technik i technologii IAM w celu utrzymania odpowiednich rozmiarów praw i pozwoleń, ważne jest również zapewnienie wdrożenia procesów zapewniających dobre praktyki higieny tożsamości. Może to przybierać różne formy, ale skupiając się na rozwiązaniach Microsoft Entra, możemy wyróżnić dwa konkretne narzędzia, które mogą sprawić, iż te procesy będą działać płynniej niż wysiłek ręczny. Po pierwsze, przeglądy dostępu można wykorzystać do okresowego sprawdzania tożsamości w środowisku i wskazywania, kto korzystał ze swoich podwyższonych uprawnień, a kto nie. Dzięki temu właściciele usług mogą podejmować decyzje dotyczące tego, kto powinien pozostać w grupach uprawnień, czy nie. Jest to także fantastyczny sposób na audytowanie współpracowników zewnętrznych, którzy zostali zaproszeni do Twojego najemcy poprzez Entra B2B.

Pakiety dostępu to kolejny sposób na utrzymanie standaryzacji włączania uprawnień. Aplikacje, grupy, usługi w chmurze i inne można pogrupować w jeden pakiet, na przykład „Księgowość na poziomie podstawowym” może być utworzonym pakietem zapewniającym dostęp do systemu płacowego, dostęp przeglądającego do wielu witryn SharePoint i zespołu Microsoft. Po usunięciu tej osoby z pakietu dostępu, na przykład w przypadku przeniesienia działu lub awansu, usunięcie jej z pakietu pojedynczego dostępu spowoduje usunięcie całego powiązanego z nią dostępu do pakietu usług. Oznacza to, iż prawdopodobieństwo akumulacji uprawnień w przypadku stagnacji dla danej tożsamości jest mniejsze.

Załóżmy, iż doszło do naruszenia

Nawet przy użyciu najlepszych dostępnych narzędzi bezpieczeństwa organizacje nigdy nie są w 100% odporne na ataki. Stawienie czoła tej rzeczywistości jest kluczowym elementem skutecznej strategii bezpieczeństwa. Ważne jest, aby zawsze zakładać, iż naruszenie jest możliwe i zwiększać swoją odporność, aby reagowanie na ataki nie było zniechęcającym doświadczeniem. Można tu wprowadzić kilka koncepcji, które będą pomocne.

Po pierwsze pomysł ciągłe uwierzytelnianie ważne jest, aby się objąć. Zamiast przyjmować podejście „Użytkownik X pomyślnie wykonał żądanie MFA, dlatego przyznam cały dostęp, o który prosił”, wydaje się to uzupełniać niektóre koncepcje omówione już w tym artykule, ale jak podkreślono wcześniej, napastnicy zawsze będę starał się być o krok przed narzędziami bezpieczeństwa, dlatego ważne jest, aby nałożyć ograniczenia na dostęp, choćby jeżeli wydaje się, iż użytkownik robi wszystko poprawnie. Nic nie robi tego lepiej niż zmiana częstotliwości logowania, jakiej będą podlegać użytkownicy, zwłaszcza jeżeli uzyskują dostęp do treści spoza granic sieci organizacji. Należy jednak pamiętać, iż należy zachować równowagę między egzekwowaniem solidnych praktyk bezpieczeństwa a wpływaniem na wygodę użytkownika, co jest powodem frustracji.

Adaptacyjną kontrolę dostępu można również wykorzystać do przyspieszenia procesu decyzyjnego w sprawie wniosków o dostęp. Na przykład, jeżeli Użytkownik X loguje się ze swojego zarejestrowanego urządzenia, w granicach sieci organizacyjnej, do platformy SaaS, z której korzysta na co dzień – stwarza to minimalne ryzyko. W większości przypadków dostęp powinien być tutaj przyznany. Weźmy jednak użytkownika Y, który loguje się z zewnętrznego adresu IP będącego uznaną anonimową platformą VPN, na niezarejestrowanym urządzeniu i chce pobrać ogromne ilości informacji z SharePoint. Może to być uzasadnione żądanie, ale może również oznaczać naruszenie tożsamości, a adaptacyjne kontrole w czasie rzeczywistym, takie jak zasady logowania lub ryzyka w Entra ID Protection, mogą pomóc w lepszej ochronie zasobów w takich scenariuszach.

Podsumowując, wdrożenie modelu bezpieczeństwa o zerowym zaufaniu ze szczególnym uwzględnieniem IAM jest niezbędne do zwalczania cyberataków, phishingu i systemu ransomware. Przyjmując zasady takie jak weryfikacja jawna, najniższe uprawnienia i zakładanie naruszenia, organizacje mogą znacznie zmniejszyć ryzyko nieautoryzowanego dostępu i ruchu bocznego w swoich sieciach. Technologie takie jak MFA, JIT access i UEBA odgrywają kluczową rolę w egzekwowaniu tych zasad. Ponadto ciągłe monitorowanie, analiza tożsamości i technologie oszustw pomagają gwałtownie wykrywać potencjalne naruszenia i reagować na nie, zapewniając solidny i odporny stan bezpieczeństwa.

Ricky Simpson jest dyrektorem ds. rozwiązań w USA w firmie Kworum Cyberszkocki dostawca usług w zakresie bezpieczeństwa cybernetycznego. Na początku 2023 r. objął kierownictwo w Stanach Zjednoczonych, po kilku latach pracy na stanowiskach związanych z chmurą, bezpieczeństwem i zgodnością w siedzibie Microsoftu w Edynburgu. Uzyskał tytuł licencjata w dziedzinie informatyki na Uniwersytecie Roberta Gordona w Aberdeen.



Source link

Idź do oryginalnego materiału