В сегодняшнем цифровом мире традиционный периметр безопасности растворился, и личность стала новой линией защиты. Поскольку организации все чаще внедряют облачные сервисы и модели удаленной работы, управление идентификацией и ее защита становятся первостепенными. Эффективные методы управления идентификацией и доступом (IAM) необходимы ИТ-отделам для защиты от кибератак, попыток фишинга и угроз программ-вымогателей. Внедряя надежные стратегии IAM, организации могут гарантировать, что только авторизованные лица будут иметь доступ к критически важным ресурсам, тем самым снижая потенциальные риски безопасности. Давайте углубимся в самые важные вещи, на которых стоит сосредоточиться, и все они соответствуют основным принципам нулевого доверия.
Подтвердить явно
Одним из основных факторов, способствующих постоянному внедрению облачных технологий, является беспрецедентная простота доступа к ресурсам из любого места, с любого устройства и в любое время суток. Однако с практической точки зрения было бы недальновидно разрешать такой уровень беспрепятственного доступа без проверки того, что запросы на доступ сделаны правильным человеком. В конце концов, мы все еще живем в эпоху, когда имена пользователей и пароли часто записываются рядом с устройствами, на которых они используются. Команды ИТ-безопасности должны иметь надежные механизмы для явной проверки этих запросов на доступ, чтобы можно было с уверенностью разрешить доступ, особенно из нераспознанных сетевых расположений.
Некоторыми примерами того, как это может выглядеть на практике, может служить использование методов строгой многофакторной аутентификации (MFA) для защиты запросов. Сильные методы включают в себя одобрение запроса на доступ с помощью уведомления в выбранном вами приложении для аутентификации на смарт-устройстве (уже использующем биометрические данные для разблокировки) или с помощью запроса на сопоставление номеров, чтобы запрашивающая сторона должна была вручную ввести правильный «ответ» в своем приложении, прежде чем доступ предоставлен. Эти методы помогают обойти некоторые из растущих методов, которые злоумышленники используют, чтобы попытаться обойти подсказки MFA, а именно, замену SIM-карты и усталость MFA. Появление этих методов атак, ориентированных на MFA, демонстрирует, что злоумышленники всегда будут стараться быть на шаг впереди новых функций безопасности.
Однако MFA не является универсальным решением, когда дело касается безопасности личных данных. Это всего лишь первое препятствие, которое службы безопасности должны поставить между злоумышленником и целью поставить под угрозу среду. Чем больше препятствий имеется, тем больше вероятность, что злоумышленник сдастся и перейдет к более легкой цели. MFA сдержит большинство злоумышленников, но не всех.
Поведенческий анализ пользователей и объектов (UEBA) — еще один современный метод, который может обеспечить дополнительный уровень безопасности. Независимо от того, удалось ли злоумышленнику преодолеть препятствие MFA, с которым он столкнулся, UEBA последовательно отслеживает различные показатели, генерируемые при взаимодействии пользователя с облачной платформой. Любым отклонениям от того, что считается нормальным для этого пользователя, присваивается оценка риска, и если обнаружено достаточное количество аномалий, это может заставить пользователя сбросить пароль или даже полностью заблокировать учетную запись до тех пор, пока команда безопасности не убедится, что учетная запись не была Он был скомпрометирован.
Эти методы демонстрируют небольшую часть того, что можно сделать, чтобы повысить устойчивость платформы IAM к атакам, ориентированным на идентификацию. В будущем это неизбежно приведет к защите от использования дипфейков, созданных искусственным интеллектом.
Технология искусственного интеллекта также становится более доступной для всех, в том числе и для злоумышленников! Использование таких функций Microsoft Entra, как Verified ID, включая необходимость выполнения биомиметического сканирования в реальном времени для подтверждения подлинности, скоро станет обычным явлением, гарантируя, что когда кто-то получит звонок от финансового директора в конце пятничного дня, чтобы утвердить огромные счета к оплате. , они могут быть уверены, что разговаривают со своим финансовым директором, а не с помощью видеозвонка, созданного искусственным интеллектом.
Используйте принципы доступа с наименьшими привилегиями
По мере роста и развития организаций растут и разрешения и привилегии, которые предоставляются для работы технологии. Со временем личности могут накопить огромное количество различных разрешений по выбору для выполнения очень конкретных задач. Если эти разрешения не всегда имеют правильный размер, это может означать, что некоторые удостоверения могут иметь огромную власть над ИТ-средой. Давайте рассмотрим некоторые концепции, которые помогают снизить этот риск.
Управление доступом на основе ролей (RBAC) — это способ последовательного предоставления предварительно сопоставленных разрешений и привилегий в соответствии с конкретной ролью или задачей. Эти предопределенные роли позволяют легко предоставить необходимое количество прав для поставленной задачи. Облачные платформы, такие как Microsoft 365 и Azure, поставляются со множеством готовых ролей, но также позволяют создавать настраиваемые роли в соответствии с потребностями любой организации. Рекомендуется максимально использовать роли RBAC, и это особенно важно при реализации следующего метода.
Доступ «точно в срок» (JIT) выводит RBAC на новый уровень. Вместо того, чтобы 24 часа в сутки совмещать удостоверения с повышенными разрешениями и привилегиями, JIT-доступ предоставляет повышенные права на временной основе. Microsoft Privileged Identity Management является примером инструмента JIT, который позволяет соответствующим удостоверениям временно обновлять свои разрешения до заранее определенной роли RBAC и может включать дополнительные проверки и противовесы, такие как утверждения, принудительное утверждение MFA, уведомления по электронной почте или параметры настройки срока действия. отдельные лица могут получить доступ к определенным разрешениям. В конечном счете, это означает, что если учетные записи с доступом к более высоким привилегиям будут скомпрометированы, это не обязательно означает, что злоумышленник сможет использовать эти разрешения.
Помимо использования современных методов и технологий IAM для обеспечения правильного размера прав и разрешений, также важно обеспечить наличие процессов, обеспечивающих надлежащую гигиену идентификационных данных. Это может происходить по-разному, но если сосредоточиться на решениях Microsoft Entra, мы можем выделить два конкретных инструмента, которые помогут сделать эти процессы более плавными, чем ручные усилия. Во-первых, проверки доступа могут использоваться для периодической проверки личности в среде и определения того, кто использовал свои повышенные права или нет. Это дает владельцам сервисов право принимать решения о том, кого следует оставить в группах разрешений, а кого нет. Это также отличный способ аудита внешних сотрудников, приглашенных в ваш клиент через Entra B2B.
Пакеты доступа — это еще один способ стандартизации разрешений. Приложения, группы, облачные службы и многое другое можно сгруппировать в один пакет, например, «Учет начального уровня» может быть созданным пакетом, который предоставляет доступ к программному обеспечению для расчета заработной платы, доступ для просмотра к нескольким сайтам SharePoint и команде Microsoft. Как только этот человек будет исключен из пакета доступа, например, если он переведет отдел или получит повышение, удаление его из этого единого пакета доступа приведет к удалению всего связанного с ним доступа к пакету услуг. Это означает, что застойные разрешения с меньшей вероятностью будут накапливаться для данного удостоверения.
Предположим, нарушение
Даже при наличии всех лучших инструментов безопасности организации никогда не будут на 100% застрахованы от атак. Столкновение с этой реальностью является ключевой частью успешной стратегии безопасности. Важно всегда предполагать, что взлом возможен, и повышать свою устойчивость, чтобы реагирование на атаки не было сложной задачей. Здесь можно представить несколько концепций.
Во-первых, важно принять идею непрерывной аутентификации. Вместо того, чтобы принять образ мышления «Пользователь X успешно выполнил запрос MFA, поэтому я предоставляю весь доступ, который он запросил», кажется, дополняет некоторые концепции, уже рассмотренные в этой статье, но, как подчеркивалось ранее, злоумышленники всегда буду стараться быть на шаг впереди инструментов безопасности, поэтому очень важно устанавливать ограничения на доступ, даже если кажется, что пользователь все делает правильно. Ничто не делает это лучше, чем изменение частоты входа в систему, которой будут подвергаться пользователи, особенно если они получают доступ к контенту за пределами сети организации. Однако обратите внимание: необходимо найти важный баланс между соблюдением надежных методов обеспечения безопасности и влиянием на взаимодействие с пользователем, поэтому это вызывает разочарование.
Адаптивное управление доступом также может использоваться для ускорения принятия решений по запросам на доступ. Например, если пользователь X входит в систему со своего зарегистрированного устройства, находящегося в границах сети организации, на платформе SaaS, которую он использует каждый день, — это представляет минимальный риск. Доступ должен быть предоставлен в большинстве случаев здесь. Однако возьмем пользователя Y, который входит в систему с внешнего IP-адреса, который является признанной анонимной платформой VPN, на незарегистрированном устройстве и хочет загрузить огромные объемы информации из SharePoint. Это может быть законный запрос, но это также может быть признаком компрометации личных данных, а адаптивные элементы управления в реальном времени, такие как политики входа или риска в Entra ID Protection, могут помочь обеспечить лучшую защиту ресурсов в этих сценариях.
Таким образом, внедрение модели безопасности с нулевым доверием с упором на IAM имеет важное значение для борьбы с кибератаками, фишингом и программами-вымогателями. Приняв такие принципы, как явная проверка, минимальные привилегии и предположение о нарушении, организации могут значительно снизить риск несанкционированного доступа и горизонтального перемещения внутри своих сетей. Такие технологии, как MFA, JIT-доступ и UEBA, играют решающую роль в обеспечении соблюдения этих принципов. Кроме того, непрерывный мониторинг, анализ идентификационных данных и технологии обмана помогают быстро обнаруживать потенциальные нарушения и реагировать на них, обеспечивая надежную и устойчивую систему безопасности.
Рикки Симпсон — директор по решениям в США в Quorum Cyber, шотландском поставщике услуг кибербезопасности. Он возглавил компанию в США в начале 2023 года, проработав несколько лет в сфере облачных технологий, безопасности и обеспечения соответствия требованиям в офисе Microsoft в Эдинбурге. Он получил степень бакалавра компьютерных наук в Университете Роберта Гордона в Абердине.