W dzisiejszym cyfrowym krajobrazie tradycyjne granice bezpieczeństwa rozpłynęły się, czyniąc tożsamość nową linią frontu obrony. W miarę jak organizacje coraz częściej korzystają z usług w chmurze i modeli pracy zdalnej, zarządzanie tożsamościami i ich zabezpieczanie stało się sprawą najwyższej wagi. Skuteczny Zarządzanie tożsamością i dostępem Praktyki IAM są niezbędne dla działów IT, aby chronić się przed cyberatakami, próbami phishingu i zagrożeniami związanymi z oprogramowaniem ransomware. Wdrażając solidne strategie IAM, organizacje mogą zapewnić dostęp do krytycznych zasobów tylko upoważnionym osobom, ograniczając w ten sposób potencjalne zagrożenia bezpieczeństwa. Przyjrzyjmy się najważniejszym rzeczom, na których należy się skupić i do których wszystkie są dostosowane podstawowe zasady zerowego zaufania.
Sprawdź wyraźnie
Jednym z głównych czynników napędzających ciągłe wdrażanie technologii chmury jest niezrównana łatwość dostępu do zasobów z dowolnego miejsca, z dowolnego urządzenia i o każdej porze dnia. W praktyce jednak krótkowzrocznością byłoby zezwolenie na taki poziom niekwestionowanego dostępu bez sprawdzenia, czy wnioski o dostęp składa adekwatna osoba. W końcu wciąż żyjemy w czasach, w których nazwy użytkowników i hasła są często zapisywane w pobliżu urządzeń, na których są używane. Zespoły ds. bezpieczeństwa IT powinny dysponować solidnymi mechanizmami umożliwiającymi bezpośrednią weryfikację tych żądań dostępu, aby można było mieć pewność, iż umożliwią dostęp, zwłaszcza z nierozpoznanych lokalizacji sieciowych.
Przykładami tego, jak mogłoby to wyglądać w praktyce, byłoby użycie strong uwierzytelnianie wieloskładnikowe (MFA) metody zabezpieczania żądań. Skuteczne metody obejmują zatwierdzenie żądania dostępu za pośrednictwem powiadomienia w wybranej aplikacji uwierzytelniającej na urządzeniu inteligentnym (już korzystającej z danych biometrycznych do odblokowania) lub dzięki monitu o dopasowanie numeru, tak aby osoba żądająca musiała manualnie wprowadzić poprawną odpowiedź w swojej aplikacji przed uzyskaniem dostępu nadany. Metody te pomagają ominąć niektóre z coraz powszechniejszych technik używanych przez osoby atakujące w celu obejścia monitów usługi MFA: mianowicie: Wymiana karty SIM i zmęczenie MFA. Pojawienie się technik ataków skoncentrowanych na MFA pokazuje, iż osoby atakujące zawsze będą starały się być o krok przed pojawiającymi się funkcjami zabezpieczeń.
Jednak usługa MFA nie jest rozwiązaniem uniwersalnym, jeżeli chodzi o bezpieczeństwo tożsamości. To zaledwie pierwsza przeszkoda, jaką zespoły ds. bezpieczeństwa muszą postawić pomiędzy atakującym a celem, jakim jest naruszenie środowiska. Im więcej przeszkód jest na miejscu, tym większe prawdopodobieństwo, iż atakujący podda się i przejdzie do „łatwiejszego” celu. MFA odstraszy większość atakujących, ale nie wszystkich.
Analityka behawioralna użytkowników i podmiotów (UEBA) to kolejna nowoczesna technika, która może zapewnić dodatkową warstwę bezpieczeństwa. Niezależnie od tego, czy atakującemu udało się ominąć napotkaną przeszkodę MFA, UEBA konsekwentnie monitoruje różne wskaźniki generowane podczas interakcji użytkownika z platformą chmurową. Każdemu odstępstwu od tego, co jest uważane za normalne dla tego użytkownika, przypisuje się ocenę ryzyka, a jeżeli wykryje się wystarczającą liczbę anomalii, może to zmusić użytkownika do zresetowania hasła, a choćby całkowicie zablokować konto do czasu, aż zespół ds. bezpieczeństwa upewni się, iż konto nie zostało nie został naruszony.
Techniki te pokazują niewielki wycinek tego, co można zrobić, aby wzmocnić platformę IAM, aby była bardziej odporna na ataki skoncentrowane na tożsamości. Miejscem, w którym nieuchronnie to nastąpi w przyszłości, będzie ochrona przed użyciem Deepfakes generowane przez sztuczną inteligencję. Technologia sztucznej inteligencji staje się również coraz bardziej dostępna dla wszystkich – dotyczy to także złych aktorów! Korzystanie z funkcji w Microsoft Entra takie jak weryfikacja tożsamości, obejmująca konieczność wykonywania skanów biomimetycznych w czasie rzeczywistym w celu potwierdzenia autentyczności, niedługo staną się powszechne, co sprawi, iż gdy ktoś pod koniec piątkowego popołudnia otrzyma telefon od dyrektora finansowego w celu zatwierdzenia do zapłaty ogromnych faktur, będzie mógł mieć pewność rozmawiają ze swoim dyrektorem finansowym, a nie z rozmową wideo generowaną przez sztuczną inteligencję.
Użyj dostępu z najniższymi uprawnieniami
W miarę rozwoju i ewolucji organizacji rosną także uprawnienia i przywileje zapewniane w celu umożliwienia działania technologii. Z biegiem czasu tożsamości mogą gromadzić ogromne ilości różnych uprawnień all-la-carte w celu wykonywania bardzo określonych zadań. jeżeli te uprawnienia nie są regularnie dostosowywane do odpowiednich rozmiarów, może to oznaczać, iż niektóre tożsamości mogą mieć ogromną władzę nad środowiskiem IT. Omówmy kilka koncepcji, które pomagają ograniczyć to ryzyko.
Kontrola dostępu oparta na rolach (RBAC) to sposób na spójne zapewnianie wstępnie mapowanych uprawnień i przywilejów dostosowanych do określonej roli lub zadania. Te wstępnie zdefiniowane role ułatwiają przydzielenie odpowiedniej liczby uprawnień dla danego zadania. Platformy chmurowe, takie jak Microsoft 365 i Azure, oferują wiele gotowych ról, ale umożliwiają także tworzenie ról niestandardowych dostosowanych do potrzeb każdej organizacji. Zaleca się jak najczęstsze korzystanie z ról RBAC, co zwiększa się podwójnie w przypadku wdrażania kolejnej techniki.
Dostęp just-in-time (JIT) przenosi RBAC o krok dalej. Zamiast kumulowania tożsamości z podwyższonymi uprawnieniami i przywilejami przez 24 godziny na dobę, dostęp JIT tymczasowo przyznaje podwyższone uprawnienia. Rozwiązanie Microsoft Privileged Identity Management to przykład narzędzia JIT, które umożliwia odpowiednim tożsamościom tymczasowe uaktualnienie uprawnień do wcześniej określonej roli RBAC i może obejmować dodatkowe kontrole i salda, takie jak zatwierdzenia, wymuszanie zatwierdzenia MFA, powiadomienia e-mail lub opcje dostosowywania na czas poszczególne osoby mogą uzyskać dostęp do określonych uprawnień. Ostatecznie oznacza to, iż jeżeli konta z dostępem do wyższych uprawnień zostaną naruszone, nie musi to koniecznie oznaczać, iż zły aktor będzie mógł wykorzystać te uprawnienia.
Oprócz stosowania nowoczesnych technik i technologii IAM w celu utrzymania odpowiednich rozmiarów praw i pozwoleń, ważne jest również zapewnienie wdrożenia procesów zapewniających dobre praktyki higieny tożsamości. Może to przybierać różne formy, ale skupiając się na rozwiązaniach Microsoft Entra, możemy wyróżnić dwa konkretne narzędzia, które mogą sprawić, iż te procesy będą działać płynniej niż wysiłek ręczny. Po pierwsze, przeglądy dostępu można wykorzystać do okresowego sprawdzania tożsamości w środowisku i wskazywania, kto korzystał ze swoich podwyższonych uprawnień, a kto nie. Dzięki temu właściciele usług mogą podejmować decyzje dotyczące tego, kto powinien pozostać w grupach uprawnień, czy nie. Jest to także fantastyczny sposób na kontrolowanie współpracowników zewnętrznych, którzy zostali zaproszeni do Twojej dzierżawy poprzez Entra B2B.
Pakiety dostępu to kolejny sposób na utrzymanie standaryzacji włączania uprawnień. Aplikacje, grupy, usługi w chmurze i inne można pogrupować w jeden pakiet, na przykład Księgowość na poziomie podstawowym może być utworzonym pakietem zapewniającym dostęp do systemu płacowego, dostęp przeglądającego do wielu witryn SharePoint i określonego zespołu Microsoft. Gdy ta osoba zostanie usunięta z pakietu dostępu, na przykład w przypadku przeniesienia działu lub awansu, usunięcie jej z tego pojedynczego pakietu dostępu spowoduje usunięcie całego powiązanego z nią dostępu do pakietu usług. Oznacza to, iż prawdopodobieństwo akumulacji uprawnień w stanie stagnacji dla danej tożsamości jest mniejsze.
Załóżmy, iż doszło do naruszenia
Nawet przy użyciu najlepszych dostępnych narzędzi bezpieczeństwa organizacje nigdy nie są w 100% odporne na ataki. Stawienie czoła tej rzeczywistości jest kluczowym elementem skutecznej strategii bezpieczeństwa. Ważne jest, aby zawsze zakładać, iż naruszenie jest możliwe i zwiększać swoją odporność, aby reagowanie na ataki nie było zniechęcającym doświadczeniem. Aby pomóc w tym miejscu, można wprowadzić kilka koncepcji.
Po pierwsze, należy przyjąć koncepcję ciągłego uwierzytelniania. Zamiast przyjmować podejście „użytkownik X pomyślnie wykonał żądanie MFA, dlatego przyznam cały dostęp, o który prosił”, wydaje się to uzupełniać niektóre koncepcje omówione już w tym artykule, ale jak podkreślono wcześniej, napastnicy zawsze będę starał się być o krok przed narzędziami bezpieczeństwa, dlatego ważne jest, aby nałożyć ograniczenia na dostęp, choćby jeżeli wydaje się, iż użytkownik robi wszystko poprawnie. Nic nie robi tego lepiej niż zmiana częstotliwości logowania, jakiej będą podlegać użytkownicy, zwłaszcza jeżeli uzyskują dostęp do treści spoza granic sieci organizacji. Należy jednak pamiętać, iż należy zachować równowagę między egzekwowaniem solidnych praktyk bezpieczeństwa a wpływaniem na wygodę użytkownika, co jest powodem frustracji.
Adaptacyjną kontrolę dostępu można również wykorzystać do przyspieszenia procesu decyzyjnego w sprawie żądań dostępu. Na przykład, jeżeli Użytkownik X loguje się ze swojego zarejestrowanego urządzenia, w granicach sieci organizacyjnej, do platformy SaaS, z której korzysta na co dzień – stwarza to minimalne ryzyko. W większości przypadków dostęp powinien być tutaj przyznany. Weźmy jednak użytkownika B, który loguje się z zewnętrznego adresu IP będącego uznaną anonimową platformą VPN, na niezarejestrowanym urządzeniu i chcącego pobrać ogromną ilość informacji z SharePoint. Może to być uzasadnione żądanie, ale może również oznaczać naruszenie tożsamości, a adaptacyjne kontrole w czasie rzeczywistym, takie jak zasady logowania lub ryzyka w Entra ID Protection, mogą pomóc w lepszej ochronie zasobów w takich scenariuszach.
Podsumowując, wdrożenie modelu bezpieczeństwa o zerowym zaufaniu ze szczególnym uwzględnieniem IAM jest niezbędne do zwalczania cyberataków, phishingu i systemu ransomware. Przyjmując zasady takie jak weryfikacja jawna, najniższe uprawnienia i zakładanie naruszenia, organizacje mogą znacznie zmniejszyć ryzyko nieautoryzowanego dostępu i ruchu bocznego w swoich sieciach. Technologie takie jak MFA, JIT access i UEBA odgrywają kluczową rolę w egzekwowaniu tych zasad. Ponadto ciągłe monitorowanie, analiza tożsamości i technologie oszustw pomagają gwałtownie wykrywać potencjalne naruszenia i reagować na nie, zapewniając solidny i odporny stan bezpieczeństwa.