Централизация риска, основанного на идентичности

По мере того, как традиционные границы сетей размываются, а удалённая работа становится стандартной практикой, идентификационные данные становятся важнейшим критерием безопасности. Будь то пользователи-люди, учётные записи служб или идентификационные данные машин, они стали одновременно и основным механизмом доступа, и наиболее целевым вектором атак. 

Для поставщиков услуг стало крайне важно централизовать управление идентификацией и безопасностью для повышения уровня своей безопасности. Здесь мы обсуждаем, что это означает для такой организации, как ваша. 

Эволюция идентичности как нового периметра

Безопасность, ориентированная на идентификацию фундаментально изменил наш подход к кибербезопасности. Теперь сотрудники получают доступ к приложениям с бесчисленного множества устройств, из разных мест и сетей. Традиционная система периметральной безопасности не справляется с этой задачей.

Этот сдвиг вызвал «взрыв идентичности». Предприятия управляют:

• Тысячи человеческих идентичностей
• Десятки тысяч учетных записей служб
• Миллионы идентификаторов машин на облачных платформах, SaaS-приложениях и локальных системах

Скомпрометированные учётные данные сейчас являются причиной большинства утечек данных. Атаки, связанные с идентификацией, доминируют в успешных кибервторжениях. Без централизованного контроля организации не замечают аномальное поведение, чрезмерные привилегии и неактивные учётные записи. Злоумышленники используют эти слепые зоны в своих целях.

Понимание риска, связанного с идентичностью, в современных условиях

Риск, связанный с идентификацией, охватывает не только слабые пароли и фишинговые атаки. Уязвимости возникают на протяжении всего жизненного цикла идентификационной информации, создавая сложную сеть угроз, которая может превратить обычную учётную запись пользователя в бомбу замедленного действия, как только хакер получит к ней доступ. 

Во-первых, главный виновник: чрезмерные привилегии создают всеобъемлющий риск. Большинство учётных записей пользователей имеют доступ, значительно превышающий их должностные обязанности. Расширение привилегий расширяет поверхность атаки, и всего одна скомпрометированная учётная запись может разблокировать конфиденциальные системы и данные, к которым должен быть доступ. 

Неактивные и неиспользуемые аккаунты также становятся излюбленными целями для атак, которые могут стать серьёзными проблемами даже при малейшем предупреждении. Обратите внимание:

• Бывшие сотрудники с активным доступом
• Временные подрядчики, чьи счета сохраняются после окончания проектов
• Учетные записи служб создаются один раз, но никогда не удаляются.

Злоумышленники знают, что эти забытые личности редко подвергаются мониторингу. Тем не менее, они часто сохраняют значительные права доступа.

Уязвимости, связанные с горизонтальным перемещением, умножаются, когда идентификационные данные получают доступ к нескольким системам без адекватной сегментации, что является основной причиной, по которой они становятся ключевой целью для APT-атак. Злоумышленник компрометирует один идентификационный номер, а затем перемещается по среде. Он повышает привилегии и продвигается к высокоприоритетным целям. Централизованное управление рисками, связанными с идентификацией, позволяет выявлять эти закономерности. Без него организации обнаруживают перемещение только после нанесения значительного ущерба.

Гибридные и многооблачные среды усугубляют эти проблемы. Каждая облачная платформа использует собственную систему управления идентификацией с уникальной моделью разрешений. Многие организации используют локальную службу Active Directory наряду с облачными поставщиками идентификационных данных. Такая фрагментация приводит к увеличению числа идентификационных данных. Один пользователь может иметь несколько учётных записей в разных системах, каждая из которых имеет свой уровень привилегий и средства управления безопасностью.

Аргументы в пользу централизации

Централизация управления рисками на основе идентификационных данных устраняет фундаментальные пробелы в безопасности, которые не могут решить разрозненные подходы.

Централизация обеспечивает единую систему управления всеми учетными записями, их правами доступа и поведением во всей ИТ-экосистеме. Специалисты по безопасности наконец могут ответить на важные вопросы:

• У кого и к чему есть доступ?
• Какие учетные записи имеют избыточные привилегии?
• Имеются ли аномальные закономерности доступа, указывающие на компрометацию?

Без такого целостного подхода организации рассматривают отдельные системы изолированно. Они упускают из виду более общие закономерности, выявляющие истинный риск.

Операционная эффективность в масштабе

Обеспечение безопасности — сложная задача, и ее централизация в рамках всей организации делает ее гораздо более эффективной и экономичной. 

Вы можете унифицировать их подход к:

• Доступ к обзорам и сертификационным кампаниям
• Оптимизация привилегий и обеспечение минимальных привилегий
• Управление жизненным циклом идентификации от приема на работу до увольнения
• Рабочие процессы реагирования на инциденты и устранения последствий

Стандартизация снижает нагрузку на службы безопасности и ИТ-отделы. Она обеспечивает единообразное применение мер безопасности во всех системах.

Оптимизированное соответствие и управление

Большинство фреймворков предъявляют строгие требования к управлению идентификацией, и централизованное управление обеспечивает универсальный способ управления всеми вашими обязательствами. Централизованное управление рисками, связанными с идентификацией, обеспечивает контрольные журналы, возможности отчетности и фреймворки контроля, необходимые для эффективного выполнения этих требований. Подробные отчеты о соответствии формируются по запросу. 

Проактивное обнаружение угроз

Централизация способствует проактивному управлению рисками, а не просто реактивному обеспечению безопасности. Аналитика, машинное обучение и искусственный интеллект позволяют сопоставлять идентификационные данные между системами и использовать поведенческие модели в качестве метрик для потенциальных угроз. 

Ключевые компоненты централизованной стратегии управления рисками, связанными с идентификацией

Создание эффективной централизованной программы управления рисками, связанными с идентификацией, требует взаимодействия нескольких основополагающих компонентов. Речь идёт не об одном-единственном внедрении технологии, а о комплексной стратегии, сочетающей технологии, процессы и управление.

• Управление и администрирование идентичности (ИГА) Платформы служат основой. Эти решения обеспечивают рабочие процессы и автоматизацию, необходимые для согласованного управления жизненным циклом удостоверений во всех системах. Они автоматизируют предоставление и отзыв прав доступа, гарантируя предоставление доступа на основе заданных политик и его быстрое удаление, когда он больше не нужен. Современные решения IGA также облегчают регулярные проверки доступа, в ходе которых владельцы бизнеса подтверждают, нужны ли пользователям по-прежнему их текущие разрешения. 
• Управление привилегированным доступом (PAM) Решения фокусируются на ваших самых конфиденциальных данных. Повышенные привилегии могут нанести значительный ущерб в случае компрометации. Системы PAM используют дополнительные средства контроля безопасности: запись сеансов, своевременное повышение прав доступа и хранилище учётных данных. При интеграции PAM с централизованным управлением рисками, связанными с идентификацией, привилегированные учётные записи получают необходимый им повышенный контроль и защиту. 
• Обнаружение и реагирование на угрозы конфиденциальности (ITDR) Непрерывный мониторинг поведения идентификационных данных с применением аналитики и данных об угрозах для выявления скомпрометированных учётных данных и потенциальных внутренних угроз. Централизация такого мониторинга во всех системах идентификации позволяет выявлять шаблоны атак, охватывающие несколько сред. Это невозможно, если контролировать каждую систему по отдельности.

Уровень интеграции, соединяющий эти компоненты, не менее важен. Успешное управление идентификацией будет опираться на «фабрики идентификации» или платформы оркестровки, которые связывают данные и согласованные политики в гибридных и многооблачных средах. 

Вопросы внедрения и передовой опыт

Успешная централизация управления рисками, связанными с идентификацией, требует тщательного планирования и поэтапного подхода. Организации, пытающиеся одновременно трансформировать всю систему управления идентификацией, часто сталкиваются со сложностью и сопротивлением. Стратегический, поэтапный подход более эффективен.

Начните с открытия и оценки

Найдите все источники идентификационных данных в вашей среде, включая часто игнорируемые учетные записи служб и машин. Каталогизируйте все идентификационные данные и сопоставьте их текущие права доступа в разных системах. Выявите существующие риски, связанные с идентификационными данными: избыточные привилегии, потерянные учетные записи и нарушения политик. Эта базовая оценка даст вам основу для расстановки приоритетов и разработки дорожной карты.

Расставьте приоритеты на основе риска

Начните с привилегированных учётных записей. Они представляют наибольшую потенциальную угрозу в случае компрометации. Затем займитесь учётными записями, имеющими доступ к конфиденциальным данным или критически важным системам. Сосредоточьтесь на системах и данных, которые могут нанести наибольший ущерб в случае взлома. Этот подход, основанный на оценке рисков, гарантирует максимальную безопасность на ранних этапах внедрения.

Привлекайте заинтересованные стороны как можно раньше и чаще

Управление рисками, связанными с идентификацией, затрагивает каждый отдел. Заручитесь поддержкой руководителей компаний, владельцев приложений и конечных пользователей. Чётко информируйте о преимуществах для бизнеса: повышенная безопасность, оптимизированное предоставление доступа, снижение нагрузки на соблюдение нормативных требований и улучшение пользовательского опыта. Заблаговременно устраняйте проблемы, особенно связанные с потенциальными сбоями в работе. Создайте Совет по управлению идентификацией с представителями ИТ-отдела, отдела безопасности, отдела кадров и ключевых бизнес-подразделений.

Выбирайте технологии обдуманно

Отдайте приоритет возможностям интеграции, которые подключаются к вашим источникам идентификационных данных и целевым системам. Облачные решения часто обеспечивают гибкость и масштабируемость, необходимые современным гибридным средам. Проверьте совместимость с локальными системами для поддержки стратегий постепенной миграции.

Создание прочных структур управления

Определите четкие политики предоставления доступа, проверки доступа и управления привилегиями. Документируйте процессы управления жизненным циклом удостоверений от найма до увольнения. Разработайте процедуры обработки исключений с четкими рабочими процессами утверждения и контролем доступа с ограничением по времени. 

Измерение успеха и непрерывное совершенствование

Централизация управления рисками на основе идентификации — это не разовый проект. Это непрерывная программа, требующая постоянного измерения и совершенствования. Установите ключевые показатели эффективности и метрики безопасности для отслеживания прогресса и демонстрации ценности.

Некоторые ключевые показатели включают в себя:

Усильте защиту и управление своими личными данными с помощью Lazarus Alliance

Централизация управления рисками на основе идентификационных данных представляет собой важнейший этап эволюции стратегии кибербезопасности, и организации больше не могут позволить себе управлять рисками, связанными с идентификационными данными, разрозненно. 

Чтобы узнать больше о том, как Lazarus Alliance может помочь, напишите нам. 

• FedRAMP
• StateRAMP
• НИСТ 800-53
• ФАРС НИСТ 800-171
• КММК
• СОЦ 1 и СОЦ 2
• HIPAA, HITECH и осмысленное использование
• PCI DSS RoC и SAQ
• Налоговое управление США 1075 и 4812
• ISO 27001, ISO 27002, ISO 27005, ISO 27017, ISO 27018, ISO 27701, ISO 22301, ISO 17020, ISO 17021, ISO 17025, ISO 17065, ISO 9001 и ISO 90003.
• Общие критерии NIAP – Лаборатории Lazarus Alliance
• И еще десятки!