Securitatea identității începe cu autentificarea: demonstrarea faptului că ești cine pretinzi a fi este primul pas în impunerea securității organizaționale, dar este departe de a fi ultimul. Pentru prea multe organizații, ceea ce se întâmplă după autentificare este un punct mort major. Accesul este furnizat. Conturile acumulează permisiuni. Oamenii își schimbă rolurile sau pleacă. Și fără o înțelegere clară și aplicată continuu a cine ar trebui să aibă acces la ce, când și de ce, lacunele se agravează în liniște.
Pandemia din 2022 aproape a triplat munca la distanță, ducând la o creștere semnificativă a cererilor de acces. Această amploare a făcut ca lacunele să fie mai greu de ignorat. Hackerii au spart rețelele Colonial Pipeline folosind un cont VPN care nu mai era utilizat activ. Nu a fost o exploatare sofisticată. A fost o eroare de guvernanță a accesului și exact genul pe care guvernanța și administrarea identității (IGA) este special concepută pentru a o preveni. Pe măsură ce munca hibridă devine implicită, obținerea unui drept de securitate post-autentificare nu mai este opțională.
Provocările securizării unui loc de muncă hibrid
Munca hibridă nu a schimbat doar locul în care lucrează oamenii. A schimbat ceea ce trebuie să apere organizațiile. Când angajații accesează resursele corporative din rețelele de acasă, cafenele și spațiile de lucru partajate, perimetrul de securitate tradițional își pierde importanța. Întrebarea nu mai este „este această persoană în interiorul rețelei?”, ci „ar trebui această persoană să aibă acces la această resursă, chiar acum, din acest context?”. Această schimbare introduce o serie de provocări pe care securitatea bazată pe perimetru nu a fost niciodată concepută să le gestioneze.
Extinderea accesului
Munca la distanță a crescut aproape peste noapte în timpul pandemiei, iar odată cu ea a venit un flux de noi cereri de acces. Angajații aveau nevoie de VPN-uri, aplicații SaaS, resurse cloud și instrumente de colaborare, adesea toate simultan. Echipele de securitate au furnizat rapid accesul pentru a menține afacerea în mișcare. Dar accesul care este furnizat rapid este rareori revizuit cu atenție. Rezultatul este o deviație a drepturilor. Utilizatorii acumulează permisiuni de care nu mai au nevoie, pe sisteme pe care echipele de securitate nu le mai pot vedea pe deplin.
Conturi orfane și inactive
Atacatorii nu trebuie să intre prin efracție atunci când o ușă a fost lăsată deschisă. Conturile inactive, acreditări care există încă mult timp după ce un angajat a plecat sau și-a schimbat rolul, sunt exact acest tip de ușă deschisă. Încălcarea de la Colonial Pipeline este un exemplu bine documentat: atacatorii au obținut acces printr-un cont VPN care nu mai era utilizat activ. Nu a fost o exploatare sofisticată. A fost o eroare de guvernanță a accesului. Și este departe de a fi unică.
Accesul terților și al contractorilor
Forțele de muncă hibride rareori operează izolat. Furnizorii, contractorii și partenerii au nevoie în mod regulat de acces la sistemele interne pentru a-și desfășura activitatea. Acest acces este de obicei acordat după cum este necesar și rareori revizuit. Organizațiile ajung să aibă o coadă lungă de acreditări terțe care se află în afara ciclurilor normale de furnizare și revizuire, creând exact genul de încredere implicită pe care zero trust este conceput să o elimine.
Riscul de mișcare laterală
Odată ce un atacator are un set de acreditări valide, adevărata întrebare este cât de departe poate merge. În mediile cu limite de acces slabe, răspunsul este adesea: foarte departe. Mișcarea laterală, folosind accesul legitim pentru a naviga mai adânc într-o rețea, este unul dintre cele mai frecvente tipare în breșele de securitate ale întreprinderilor. Cea mai bună apărare nu este o detectare mai bună după fapt. Este asigurarea că nici măcar un cont compromis nu poate ajunge la sisteme pe care nu ar fi trebuit să le atingă niciodată.
Lacune în vizibilitate
Nu poți guverna ceea ce nu poți vedea. În mediile hibride, datele de identitate se află rareori într-un singur loc. Angajații se autentifică în sisteme locale, aplicații cloud, instrumente SaaS și platforme de infrastructură, adesea prin directoare și controale de acces diferite. Fără o imagine unificată a cine are acces la ce, echipele de securitate rămân să ia decizii de acces cu informații incomplete, iar revizuirile accesului devin o estimare optimă, mai degrabă decât un control fiabil.
Echilibrarea securității și a confidențialității
Securitatea corectă într-un mediu hibrid înseamnă permiterea accesului, nu doar restricționarea acestuia. Scopul guvernanței identității nu este de a bloca totul, ci de a asigura că persoanele potrivite au accesul corect, fără a crea fricțiuni pentru cei care fac exact ceea ce ar trebui. Acest echilibru necesită ca politicile, automatizarea și guvernanța să funcționeze împreună, nu doar restricții mai stricte.
Componente cheie ale securizării unui loc de muncă hibrid
Un program matur de guvernanță a identității abordează aceste provocări prin integrarea securității direct în modul în care accesul este acordat, monitorizat și revocat. Componentele principale includ:
• Guvernanța și administrarea identității (IGA). Stratul fundamental. IGA definește cine ar trebui să aibă acces la ce, automatizează furnizarea și de-furnizarea și creează o înregistrare auditabilă a fiecărei decizii de acces.
• Controlul accesului bazat pe roluri (RBAC). Atribuirea permisiunilor se bazează pe funcția postului, mai degrabă decât pe negocierea individuală. RBAC limitează raza de acțiune a oricărui cont compromis și face accesul… Revizuiri semnificativ mai rapide.
• Revizuiri continue ale accesului. Certificări periodice care verifică dacă drepturile actuale corespund în continuare responsabilităților actuale ale postului, detectând abaterea de privilegii înainte ca aceasta să devină o problemă.
• De-provisioning automat. Revocarea instantanee a accesului atunci când angajații pleacă, își schimbă rolurile sau se deconectează elimină riscul contului inactiv care a permis încălcarea Colonial Pipeline.
• Detectarea anomaliilor și analiza comportamentală. Identificarea modelelor de acces neobișnuite care pot indica o acreditare compromisă sau o amenințare din interior, chiar și atunci când autentificarea în sine părea legitimă.
• Acces la rețea zero trust (ZTNA). Înlocuirea încrederii implicite bazate pe locația rețelei cu verificarea continuă a identității, a stării dispozitivului și a contextului înainte de a acorda acces la orice resursă.
Asigurați-vă că persoanele potrivite au accesul corect
Construirea unui program matur de guvernanță și administrare a identității (IGA) începe cu înțelegerea decalajului post-autentificare și închiderea acestuia. IGA oferă securitatea post-autentificare de care au nevoie companiile de astăzi pentru a menține productivitatea, asigurând în același timp securitatea.
Asta înseamnă să oferim echipelor de securitate instrumentele necesare pentru a automatiza deciziile de acces, a dezvălui anomalii și a controla planul de identitate la scara necesară pentru munca hibridă.
În practică, acest lucru se manifestă astfel:
• Înțelegerea a ceea ce se întâmplă atunci când un tester de penetrare poate obține acces și se poate deplasa lateral în cadrul unei rețele corporative și cum poate limita IGA acest tip de mișcare.
• Evaluarea dacă identitatea centrată pe utilizator este încă o posibilitate și cum se aliniază cu IGA.
• Utilizarea controlului accesului bazat pe roluri pentru a autentifica utilizatorii, sistemele, aplicațiile și datele într-un mod suficient de precis pentru a proteja afacerea fără a o încetini.
RSA ID Plus poate oferi asistență utilizatorilor în diverse medii, inclusiv în configurații cloud, hibride și locale.
Soluțiile de securitate IT, risc si conformitate RSA sunt distribuite în România de compania SolvIT Networks, ajutând la reușita celor mai importante organizații din lume prin rezolvarea celor mai complexe și mai sensibile provocări privind securitatea.
