Zarządzanie tożsamością i dostępem (IAM) jest trudnym i trwałym wyzwaniem dla przedsiębiorstw. Organizacje muszą zrównoważyć skuteczne zabezpieczanie tożsamości i zarządzanie nimi z łatwością obsługi dla pracowników, klientów i dostawców. Jeśli zastosujesz zbyt wiele warstw kontroli tożsamości i dostępu, efektem będą „tarcia”: procesy, które utrudniają pracownikom wykonywanie pracy.
„Wiele organizacji rozpoczyna swoją podróż w kierunku tożsamości od połączenia jedynie krótkoterminowych celów, słabych danych dotyczących tożsamości, niedojrzałej architektury tożsamości i słabej weryfikacji użytkowników” – ostrzega Scott Swalling, ekspert ds. chmury i bezpieczeństwa danych w PA Consulting.
„Złe podejście do uprawnień IAM może w najlepszym razie sprawić, że będzie to kłopotliwe i frustrujące dla użytkowników i personelu administracyjnego. Uciążliwe procesy, które nie wykorzystują w pełni możliwości IAM, spowodują, że użytkownicy będą szukać sposobów na ich obejście – jak zawsze – co doprowadzi do problemów z bezpieczeństwem i potencjalnych naruszeń”.
Nawet wraz z rozwojem takich środków, jak uwierzytelnianie wieloczynnikowe (MFA) i biometria, dostęp pozostaje słabym punktem bezpieczeństwa przedsiębiorstwa, a także zgodności danych i prywatności. IAM stał się jeszcze bardziej krytyczny, gdy przedsiębiorstwa odchodzą od stałego obszaru działania na rzecz elastycznego czasu pracy, chmury i aplikacji internetowych.
Skala problemu jest bardzo realna. Według Verizon 2024 Raport z dochodzeń w sprawie naruszeń danychskradzione dane uwierzytelniające wykorzystano w 77% ataków na podstawowe aplikacje internetowe. Google’a 2023 Raport o horyzontach zagrożeń wykazało, że 86% naruszeń dotyczy kradzieży danych uwierzytelniających.
„Musimy przejść do kultury bezpieczeństwa stawiającej na pierwszym miejscu tożsamość” – ostrzega Akif Khan, wiceprezes analityk w firmie Gartner, który koncentruje się na IAM. „Jeśli nie zidentyfikujesz swoich użytkowników, trudno będzie zapewnić jakikolwiek rodzaj zabezpieczeń. Jeśli nie wiesz, kto uzyskuje dostęp do Twoich systemów, skąd wiesz, czy powinna ona mieć do nich dostęp, czy nie?”
IAM, sugeruje Khan, zastępuje starą koncepcję organizacji posiadających bezpieczny obwód. Ryzyko polegające na poleganiu wyłącznie na bezpieczeństwie obwodowym jest oczywiste. W czerwcu tego roku udało się ustalić źródła naruszeń danych w Ticketmaster i Santander niezabezpieczone konta w chmurze Snowflake.
Zabezpieczanie kont uprzywilejowanych idzie w parze z silnym zarządzaniem tożsamością i inicjatywami takimi jak zero zaufania. Ponieważ jednak zaufanie zerowe wymaga znacznych, długoterminowych inwestycji, dyrektorzy ds. IT i CISO powinni również dążyć do poprawy istniejących zabezpieczeń danych uwierzytelniających i przejść do podejścia do tożsamości opartego na ryzyku.
Skłania to organizacje do przechodzenia w kierunku kontroli dostępu opartej na zasadach i kontroli dostępu dostosowanej do ryzyka. Systemy te pozwalają firmom egzekwować uwierzytelnianie wieloskładnikowe, jeśli działanie wydaje się ryzykowne, lub całkowicie je blokować. Zależy to jednak od jasnej strategii IAM w całej organizacji.
„Zdobądź podstawy, aby mieć pewność, że będziesz mieć jasny obraz i kontrolę nad tym, kto ma dostęp do Twoich zasobów” – zaleca Swalling z PA. „Upewnij się, że dane identyfikacyjne są prawidłowe. Połączenie tego z solidnym zarządzaniem dostępem do uprawnień, wykorzystując w miarę możliwości automatyzację i uczenie maszynowe, usprawni i usprawni zadania administracyjne oraz zmniejszy frustrację użytkowników.
Sfrustrowani użytkownicy stają się gotowymi ofiarami, zgadza się Mustafa Mustafa, menedżer ds. rozwiązań tożsamości w regionie EMEA w Cisco, w przypadku którego ryzyko ataków powodziowych MFA jest bardzo realne.
Zerowe zaufanie
Cisco jest zwolennikiem model bezpieczeństwa zerowego zaufaniaale Mustafa przyznaje, że niewielu organizacjom udało się to w pełni osiągnąć.
W rzeczywistości badania Cisco wykazały, że 86% przedsiębiorstw zaczynało od zerowego zaufania, ale zaledwie 2% twierdzi, że osiągnęło dojrzałość. Bariery obejmują złożoność i niespójne doświadczenia użytkownika.
„Zasadą jest to, że nie ufaj nikomu, sprawdzaj wszystkich” – mówi Mustafa. „Jedynym sposobem na wdrożenie polityki zerowego zaufania jest ciągła weryfikacja wszystkich użytkowników, urządzeń i aplikacji w dowolnym czasie i lokalizacji w obrębie danej sieci lub poza nią.” Obejmuje to wdrożenie uwierzytelniania wielopoziomowego, dostępu z najniższymi uprawnieniami i mikrosegmentacji.
Zerowe zaufanie warto podjąć wysiłek – przekonuje. Poprawia bezpieczeństwo, zgodność i zarządzanie ryzykiem, ale także upraszcza operacje – po prawidłowym wdrożeniu – i potencjalnie umożliwia organizacjom zmniejszenie ogólnych kosztów administracyjnych, kosztów oraz opóźnień i frustracji użytkowników. Ułatwia także zarządzanie pracą hybrydową i zdalną.
Tymczasem przedsiębiorstwa muszą w dalszym ciągu inwestować w usługę MFA, zarządzanie i administrację tożsamością, zarządzanie dostępem uprzywilejowanym i jednokrotne logowanie, żeby wymienić tylko kilka. Może to zmusić CIO do działania na dwóch „torach” – jednym mającym na celu poprawę bezpieczeństwa tożsamości i dostępu już teraz, a drugim, długoterminowym celem, jakim jest przejście do zerowego zaufania.
Z czasem będzie to obejmować szersze wykorzystanie sztucznej inteligencji (AI) do wykrywania nietypowych zachowań lub działań użytkowników, które mogą świadczyć o naruszeniu, a także przejście na uprawnienia oparte na ryzyku, a nie tylko na tożsamości. Nazywa się to czasem uwierzytelnianiem adaptacyjnym.
„Dzięki integracji ocen ryzyka w czasie rzeczywistym organizacje mogą przyznawać dostęp na podstawie kontekstu, a nie samej tożsamości” – mówi John Paul Cunningham, CISO w Silverfort, dostawcy usług ochrony tożsamości. „Ta zmiana zmniejszyłaby obciążenie operacyjne i obciążenie danymi związane z zarządzaniem uwierzytelnianiem i autoryzacją. Ostatecznie przyjęcie tego modelu umożliwiłoby firmom wzmocnienie bezpieczeństwa, poprawę doświadczeń użytkowników i obniżenie kosztów utrzymania bezpieczeństwa tożsamości” – mówi.
W praktyce organizacje będą prawdopodobnie polegać na warstwach zabezpieczeń w przypadku warstw dostępu, przynajmniej na razie.
Portfele cyfrowe
„Bardziej przyszłościowo myślące organizacje traktują tożsamość jako priorytet. Jednak nadal istnieje wyzwanie polegające na połączeniu różnych systemów” – mówi Cunningham. „Patrząc w przyszłość, można budować nowe platformy, ale ludzie nadal mają wiele przestarzałej architektury”.
Jednak przedsiębiorstwa nadal muszą przede wszystkim weryfikować tożsamość użytkownika – niezależnie od tego, czy jest to pracownik, dostawca czy klient. Tutaj ruch w kierunku globalne portfele tożsamości (GIW)zwykle stanowiące część programu wspieranego przez rząd, mogą pomóc.
GIW, najczęściej kojarzone z inicjatywami administracji cyfrowej, mogą nie być najodpowiedniejszym narzędziem do codziennego zarządzania dostępem, ale mogą odegrać rolę we wdrażaniu pracowników lub klientów i potencjalnie ograniczyć oszustwa i kradzież danych uwierzytelniających. Już teraz istnieje pewna zbieżność między GIW a IAM, na przykład dzięki zintegrowanemu identyfikatorowi Entra Verified ID firmy Microsoft z firmową aplikacją Authenticator.
Według Gartnera do 2026 r. ponad 500 milionów ludzi na całym świecie będzie korzystać z telefonicznych portfeli tożsamości cyfrowej. Oznacza to znaczny wzrost i powinno rozwiązać szereg problemów związanych z weryfikacją tożsamości, zwłaszcza w przypadku usług rządowych.
„Zasadniczo możesz mieć portfel tożsamości na swoim telefonie i nie różni się on zbytnio od aplikacji uwierzytelniającej. Można to wykorzystać” – mówi Khan. „To nie jest identyfikator Microsoft, ale identyfikator w aplikacji Microsoft”.
Otwarte standardy dotyczące identyfikacji cyfrowej i interoperacyjności między platformami prawdopodobnie doprowadzą do przyjęcia rozwiązań przez agencje rządowe, a co za tym idzie – do wykorzystania ich przez obywateli. Technologia globalnego portfela tożsamości, pomimo wszystkich swoich zalet, będzie prawdopodobnie zbyt kosztowna, aby przedsiębiorstwa mogły ją samodzielnie wdrożyć. Część ich przewagi leży w skali i zaufaniu, jakie daje dowód tożsamości wydany przez rząd.
„Rynek zmierza w kierunku przenośnej tożsamości cyfrowej, więc użytkownicy nie będą musieli wielokrotnie weryfikować swojej tożsamości, zamiast tego będą mieli portfel identyfikacyjny na urządzeniu mobilnym, który będzie ją weryfikował” – mówi Khan.
Firmy, które obecnie płacą za usługi weryfikacji tożsamości prowadzone przez strony trzecie, mogą nawet zaoszczędzić pieniądze dzięki GIW. „Kluczem do tego będzie wpływ reklam” – mówi. Organizacje muszą także zaakceptować tożsamość w portfelu i dlatego też tak ważne jest wsparcie rządowe oraz otwarte standardy i interoperacyjność. A korzystanie z GIW mogłoby dać korzyści w tak różnorodnych obszarach, jak rekrutacja czy świadczenie usług nowym klientom.
„Z technicznego punktu widzenia ma to sens, jeśli istnieje sposób na szybsze wdrożenie kogoś na pokład” – mówi Khan. „Na konkurencyjnym rynku organizacje będą chciały to zbadać”.
Mimo to wygląda na to, że GIW staną się częścią krajobrazu IAM, a nie zastąpią wewnętrzne systemy tożsamości i uwierzytelniania. „Masz identyfikator, a ten identyfikator ma takie atrybuty, jak „Jestem pracownikiem firmy Gartner”. Następnie masz atrybuty praw dostępu, czyli warstwy informacji” – mówi Khan. „To może nie wszystko mieścić się w portfelu”. Firmy nadal będą musiały sprawdzać szczegóły w swojej własnej infrastrukturze tożsamości.
Perspektywy wykorzystania portfeli tożsamości w przedsiębiorstwach oraz duża część przyszłego rozwoju IAM będą zależeć od rodzaju informacji i poziomów dostępu, jakie organizacje muszą zabezpieczyć.
„Portfele cyfrowe mogą odgrywać znaczącą rolę w codziennym uwierzytelnianiu, wykraczającym poza jednorazowe zdarzenia, takie jak wdrożenie czy weryfikacja tożsamości” – mówi Cunningham z Silverfort. „Wykorzystując portfele cyfrowe jako narzędzie codziennego uwierzytelniania, organizacje mogą wzmocnić swój poziom bezpieczeństwa, jednocześnie zwiększając wygodę i produktywność użytkowników”.
Oczekuje, że przynajmniej początkowo nastąpi wzrost zainteresowania opieką zdrowotną, rządem, dostępem do świadczeń i kontrolą granic.
Jednak portfele cyfrowe mogą również wzmocnić usługę MFA i dać znajdującym się pod presją zespołom ds. bezpieczeństwa danych chwilę wytchnienia przy rozważaniu opcji długoterminowych, w tym zerowego zaufania.
„Portfele cyfrowe służą jako dodatkowy czynnik w usłudze MFA, unikalny identyfikator podobny do tokenów opartych na certyfikatach oraz bezpieczne rozwiązanie do przechowywania wrażliwych danych, takich jak hasła i klucze kryptograficzne” – mówi Cunningham.
Dobrze wykorzystane mogą poprawić bezpieczeństwo i łatwość obsługi, jednocześnie zmniejszając koszty wsparcia dla przedsiębiorstw.