Liderzy IT powinni zająć się swoimi wewnętrznymi procesami, aby zminimalizować narażenie na ryzyko bezpieczeństwa IT swojej organizacji i powierzchnię ataku. Staje się to coraz bardziej złożone w miarę ewolucji biznesowych środowisk IT.
Liderzy muszą nie tylko rozważyć, którzy pracownicy i jakie stanowiska wymagają dostępu do jakich systemów IT, ale także kontrolę dostępu niebędącą udziałem człowieka, w przypadku gdy system wewnętrzny lub zewnętrzny uzyskuje dostęp do danego zasobu IT.
Jednak jako Varun Prasad, wiceprezes ISACA Jak wskazuje oddział w San Francisco i członek grupy roboczej ISACA ds. nowych trendów, firmy mają tendencję do przeoczania lub pośpiechu w wykonywaniu niektórych tradycyjnych procesów zarządzania dostępem ze względu na stale rosnący rozmiar i złożoność ich środowiska IT.
„Ważne jest okresowe przeglądanie autoryzacji dostępu do wszystkich zasobów w środowisku przez odpowiedni personel kierowniczy” – mówi Prasad, dodając, że nie powinno to być działanie typu „pole wyboru”, ale powinno obejmować dokładną ocenę uprawnień dostępu w celu wykrycia pełzanie uprawnień dostępu.
Prasad uważa, że rachunki i uprawnienia uwzględnione w przeglądzie powinny wykraczać poza te, które zapewniają dostęp do systemów produkcyjnych. Powinno również obejmować wszystkie tożsamości inne niż ludzkie oraz tam, gdzie potrzebny jest dostęp do repozytoriów kodu źródłowego, magazynów kluczy, tajnych skarbców i magazynów danych.
Biorąc pod uwagę, że błąd ludzki jest często główną przyczyną incydentów związanych z bezpieczeństwem cybernetycznym, Prasad zaleca automatyzację kluczowych procesów, takich jak udostępnianie kont, wyrejestrowywanie i kontrola dostępu. Kolejną dobrą praktyką, którą zaleca, jest współdziałanie z organizacją scentralizowana platforma zarządzania dostępem do tożsamości (IAM). z korporacyjnym systemem zarządzania zasobami ludzkimi, który pozwala zautomatyzować odejście pracowników.
Varun Prasad, ISACA
„Proces przeglądu dostępu powinien być również okresowo automatyzowany, aby zapewnić, że wszystkie prawa dostępu są współmierne do obowiązków służbowych” – dodaje.
Chociaż socjotechnika jest dobrze rozumianym wektorem ataku polegającym na kradzieży czyjegoś hasła, Prasad zauważa, że analiza najnowszych wzorców cyberataków pokazuje, że stosując phishing i inżynierię społeczną, cyberprzestępcy są również w stanie ukraść unikalne kody wygenerowane w celu uzyskania dostępu do systemów korzystających z wieloczynnikowego uwierzytelnianie (MFA).
Nalega, aby organizacje wdrażały techniki MFA odporne na phishing zamiast tradycyjnych metod MFA opartych na kodzie, ponieważ eliminuje to element ludzki z procesu. Do popularnych technik MFA odpornych na phishing zalicza się uwierzytelnianie internetowe (WebAuthn) i uwierzytelnianie oparte na infrastrukturze klucza publicznego (PKI).
Według Forrestera generatywna sztuczna inteligencja (GenAI), która opiera się na sprawdzonym uczeniu maszynowym i dziedzictwie modeli sztucznej inteligencji, może pomóc organizacjom identyfikować nowe zagrożenia dla tożsamości w aplikacjach lokalnych, aplikacjach typu oprogramowanie jako usługa (SaaS) i platformach infrastruktury chmurowej.
Jeden z trendów IAM zidentyfikowany przez firmę Forrester polega na tym, że niektóre narzędzia automatycznie generują zasady tożsamości i dostępu, aby udaremnić te zagrożenia. Niektóre systemy IAM korzystają również z GenAI, aby umożliwić osobom nietechnicznym łatwiejsze uruchamianie zapytań i raportowanie.
„Administratorzy-obywatele i użytkownicy biznesowi mogą zadawać pytania takie jak: «Które pięć aplikacji jest najbardziej ryzykownych z punktu widzenia uprawnień do tożsamości?». i otrzymuj odpowiedzi z systemów IAM w języku naturalnym” – zauważają analitycy Forrester w Najważniejsze trendy kształtujące zarządzanie tożsamością i dostępem w 2024 roku raport.
Pomimo znacznych postępów w platformach, narzędziach i narzędziach – z których niektóre oferują zintegrowaną sztuczną inteligencję i analitykę, o której wspomina Forrester – używanych do zarządzania uprawnieniami, Prasad twierdzi, że zarządzanie dostępem jest nadal najwyższym priorytetem dla specjalistów ds. bezpieczeństwa, ponieważ jest mnóstwo miejsca na poprawa.
Na przykład według danych Cloud Security Alliance ryzyko związane z uprawnieniami jest jednym z dwóch największych zagrożeń dla przetwarzania w chmurze. Prasad wskazuje również na ankietę przeprowadzoną przez Identity Defined Security Alliance, w której wzięło udział 500 dużych organizacji, która wykazała, że w zeszłym roku 84% z nich doświadczyło naruszenia bezpieczeństwa związanego z tożsamością.
Dobra wiadomość, przynajmniej z perspektywy IAM, jest taka, że dostawcy usług chmury publicznej, tacy jak Amazon Web Services i Microsoft Azure, zapewniają możliwości wdrożenia MFA odpornego na phishing w celu uzyskania dostępu do swoich środowisk chmurowych. Prasad twierdzi, że amerykańska Agencja ds. Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) postrzega te techniki jako złoty standard ochrony przed phishingiem i zaleca ich stosowanie w ramach strategia zerowego zaufania.
Bezpieczna kultura
Oprócz technologii IAM Prasad zaleca firmom ustanowienie silnej kultury świadomej bezpieczeństwa i przestrzeganie podstawowej higieny IAM – przestrzegaj zasady najmniejszych uprawnień, śledź wszystkie tożsamości, monitoruj użycie i okresowo przeglądaj uprawnienia.
Biorąc pod uwagę dużą liczbę pierwotnych przyczyn naruszeń danych i incydentów cybernetycznych związanych z uprawnieniami, dodaje, że zapewnienie sprawnej i skutecznej operacjonalizacji procesów zarządzania uprawnieniami w środowisku IT ma kluczowe znaczenie, ponieważ dobrze zarządzany krajobraz uprawnień jest podstawą silna postawa w zakresie bezpieczeństwa cybernetycznego.
Tak więc, chociaż IAM zasadniczo zapewnia statyczny obwód obronny i powinien znajdować się w centrum obrony przed atakami cyberphishingu i oprogramowania ransomware, Andrew Peel, ekspert ds. bezpieczeństwa cybernetycznego, i Scott Swalling, ekspert ds. bezpieczeństwa danych i chmur w PA Consulting, wzywają organizacje, aby przyjąć do wiadomości, że zostanie ono naruszone. Sugerują, aby liderzy bezpieczeństwa IT wykorzystali swoje szersze możliwości w zakresie operacji związanych z bezpieczeństwem, aby proaktywnie wykrywać zagrożenia i reagować na nie, włączając podejścia takie jak zero zaufania.
Peel i Swalling zalecają, aby organizacje rozwinęły możliwości wykrywania i analizowania sygnałów, które mogą wskazywać na próbę lub już istniejący kompromis. Na przykład analiza trendów dotyczących użytkowania i naruszeń może zostać wykorzystana do zidentyfikowania i naprawienia luk w zabezpieczeniach.
Mike Gillespie, Adwentowy komunikator IM/CSCSS
„Narzędzia do wykrywania zagrożeń – takie jak informacje o bezpieczeństwie i zarządzanie zdarzeniami, w tym przechwytywanie uprawnień i dzienników zarządzania dostępem uprzywilejowanym – w połączeniu ze sprawdzonymi podręcznikami mogą zmniejszyć wpływ udanej kampanii phishingowej poprzez wykrywanie i reagowanie na nietypowe działania, takie jak dążenie do eskalacji praw” – twierdzą. .
Według Peela i Swallinga spójne podejście do bezpieczeństwa, skoncentrowane na tożsamości, musi stanowić kluczowy element zabezpieczeń organizacji, jeśli ma ona skutecznie zwalczać ataki cybernetyczne, phishing i oprogramowanie ransomware. Wskazują, że korzystanie z wysokiej jakości danych dotyczących tożsamości i usług technologicznych w celu kontrolowania dostępu do zasobów, w połączeniu z możliwościami proaktywnego wykrywania zagrożeń i reagowania, a także edukacją użytkowników, ma kluczowe znaczenie dla poziomu bezpieczeństwa zaprojektowanego z myślą o stawianiu czoła szybko rozwijającym się cyberatakom.
„Nie możemy rozwiązać problemu ludzkiego za pomocą samej technologii” – mówi Mike Gillespie, dyrektor zarządzający i współzałożyciel niezależnej firmy konsultingowej Advent IM zajmującej się bezpieczeństwem oraz wiceprezes C3i Center for Strategic Cyberspace and Security Science (CSCSS).
Gillespie uważa, że bezpieczeństwo musi przyjąć podejście bardziej skoncentrowane na ludziach, ponieważ ostatecznie to osoby potrzebują dostępu, których tożsamości muszą być zarządzane i które wymagają uwierzytelnienia – i to one obecnie powodują awarie, nawet jeśli jest to niezamierzone .
„Musimy przyznać, że jest to wyzwanie przede wszystkim dla ludzi, a nie tylko technologiczne. Stawiając na pierwszym miejscu czynniki ludzkie w naszej strategii bezpieczeństwa, możemy zbudować skuteczniejszą i odporniejszą postawę wobec cyberataków, phishingu i oprogramowania ransomware” – mówi Gillespie.
Pojawiające się zagrożenia
W ubiegłym roku celem cyberataków stało się kilku dostawców technologii IAM. Ma to konsekwencje dla sposobu, w jaki decydenci IT wybierają dostawców produktów i usług IAM.
Analityk Forester informuje, że organizacje oczekują od dostawców IAM zapewnień dotyczących ich wewnętrznych procesów operacyjnych i praktyk w zakresie bezpieczeństwa, a także zabezpieczeń leżących u podstaw opartych na chmurze ofert SaaS IAM.
W Najważniejsze trendy kształtujące zarządzanie tożsamością i dostępem w 2024 roku W raporcie Forrester donosi, że klienci wymagają obecnie, aby ich dostawcy IAM przestrzegali przepisów i ram, takich jak SOC 2, FedRAMP, ISO 27002 i PCI.
Ponadto klienci oczekują gwarancji, że pracownicy dostawcy IAM zostali sprawdzeni. W raporcie zaleca się, aby szefowie bezpieczeństwa IT wymagali uwierzytelniania wielopoziomowego od wszystkich bez wyjątku użytkowników biznesowych i administracyjnych oraz traktowali priorytetowo dostawców IAM, którzy stosują zasady bezpiecznego już na etapie projektowania i bezpiecznego domyślnego.
Ogólnie rzecz biorąc, choć technologie takie jak IAM odgrywają rolę wspierającą w zwalczaniu cyberataków, ich właściwe wybory zależą od indywidualnych osób. Gillespie twierdzi, że aby zbudować skuteczną ochronę, organizacje muszą wspierać dobrze wyszkolony, dbający o bezpieczeństwo personel, wspierany odpowiednią technologią.
„Zamiast arbitralnego narzucania przez dział IT ograniczeń dostępu, zaangażujmy nasze zespoły w identyfikowanie ich potrzeb w zakresie dostępu” – dodaje.
Gillespie twierdzi, że traktując priorytetowo współpracę i zrozumienie, możliwe jest stworzenie ram bezpieczeństwa, które naprawdę chronią zarówno ludzi, jak i organizacje, dla których pracują.