Raport Cyberbezpieczeństwo | CyberArk – Ochrona Tożsamości | Wyzwania dla tradycyjnego myślenia o ochronie przed cyberatakami
Czasy się zmieniły. Atakowanie tożsamości przez napastników nie jest nowością. To, co się zmieniło, to dramatyczny wzrost ilości i rodzajów tożsamości, ataków i środowisk. Deweloperzy, maszyny, zespoły wewnętrzne i kontrahenci żądają różnych rodzajów dostępu do wrażliwych danych w środowiskach hybrydowych i chmurowych. Cyberprzestępcy korzystają z AI, aby wykorzystać złożoność i eksploatować najmniejsze uchybienia w systemach na dużą skalę. Zagrożenia mogą pojawić się zewsząd, zarówno wewnątrz, jak i na zewnątrz organizacji. Tradycyjne narzędzia już nie wystarczają.
Przy tak szybkim tempie 93% organizacji w ub.r. doświadczyło dwóch lub więcej naruszeń związanych z tożsamością i dlatego znakomita większość specjalistów od cyberbezpieczeństwa nie potrzebuje kolejnego sygnału ostrzegawczego.
Przedsiębiorstwa nie są bezpieczne, dopóki WSZYSTKIE tożsamości nie są zabezpieczone
Kompleksowy system PAM powinien stanowić kręgosłup nowoczesnego systemu bezpieczeństwa. Jest fundamentem, dzięki któremu organizacje kontrolują, monitorują, zabezpieczają i audytują dostęp o najwyższym ryzyku w całym środowisku IT przedsiębiorstwa. Ale PAM nie jest podejściem uniwersalnym.
Dziś każdy użytkownik może być uprzywilejowanym użytkownikiem, ale nie każdy uprzywilejowany użytkownik jest człowiekiem. Uprzywilejowane konta często polegają na domyślnych, współdzielonych lub słabych hasłach, a uprawnienia użytkowników często przekraczają to, co było konieczne do wykonywania ich funkcji. Biorąc pod uwagę dynamiczną zmianę architektury IT oraz nowe wektory ataków, przedsiębiorstwa muszą przedefiniować swoje podejście do budowy systemu cyberbezpieczeństwa.
Bezpieczeństwo tożsamości: zmiana paradygmatu
Kompleksowy program ochrony tożsamości pozwala proaktywnie weryfikować, monitorować i zabezpieczać wszystkie tożsamości używane przez organizację, w tym aplikacje, stacje robocze, infrastrukturę i dane, do których mają dostęp. Eliminuje przestarzałe pojęcie zaufania do urządzeń lub użytkowników na podstawie lokalizacji i zakłada (słusznie), że zagrożenia istnieją zarówno na zewnątrz, jak i wewnątrz sieci. To dostosowanie do zasad Zero Trust widzi każdy punkt dostępu jako potencjalny punkt kompromitacji. Przyznaje każdemu użytkownikowi i każdemu urządzeniu minimalny niezbędny dostęp do wykonywania ich funkcji, znacznie ograniczając potencjalny wpływ naruszenia.
Inteligentna kontrola uprawnień
Ta zmiana paradygmatu w kierunku bezpieczeństwa tożsamości wymaga również przyjęcia nowej koncepcji: inteligentnej kontroli uprawnień.
Inteligenta kontrola uprawnień dynamicznie chroni dostęp każdej tożsamości do każdego zasobu przedsiębiorstwa, niezależnie od tego, czy jest to dostęp operacyjny (osobisty), systemowy (wbudowani lokalni administratorzy i konta techniczne) czy maszynowy (wszelkie automaty, skrypty czy komunikacja między aplikacjami i API).
Egzekwowanie tych mechanizmów kontrolnych może opierać się na kilku czynnikach kontekstowych, w tym poziomie autoryzacji użytkownika czy poziomie ryzyka związanego z zadaniem do wykonania. Tzw. user experience jest kluczowe; podczas gdy każdy użytkownik musi być bezpieczny, nie każdy pracownik potrzebuje lub oczekuje przechodzenia przez wiele przeszkód, aby wykonywać swoją pracę. Ograniczenia mogą nawet utrudniać pomyślne wdrożenie krytycznych projektów, zwłaszcza dla zespołów operacji chmurowych i deweloperów odpowiedzialnych za innowacje w modelach biznesowych organizacji.
Przykładowe mechanizmy inteligentnej kontroli uprawnień to:
- Dostęp bez stałych uprawnień (ZSP – Zero Standing Privileges) w środowiskach chmurowych i lokalnych zapewnia, że dostęp jest bezpieczny, dynamiczny i zgodny z zasadą najmniejszych przywilejów (PoLP) i Zero Trust. ZSP różni się od dostępu just-in-time (JIT) z uprawnieniami czasowymi, które wygasają po użyciu, znacznie zmniejszając ryzyko. Całkowicie usuwa uprawnienia i role, dopóki użytkownik ich nie zażąda, a następnie, po zakończeniu sesji, przywileje są ponownie usuwane.
- Bezpieczny skarbiec (vault) pozwala bezpiecznie przechowywać poświadczenia uwierzytelniające w zaszyfrowanym repozytorium, co jest niezbędne do wdrożenia dalszych środków bezpieczeństwa, takich jak kontrola dostępu, rotacja i izolacja sesji, zmniejszając ryzyko kompromitacji tożsamości. Może również automatycznie aktualizować hasła zgodnie z polityką bezpieczeństwa, usuwać poświadczenia zaszyte w kodzie czy skryptach i umożliwiać bezpieczne pobieranie sekretów w czasie rzeczywistym, bez konieczności ich ujawniania administratorom czy użytkownikom biznesowym.
- Ochrona sesji, izolacja i monitorowanie zabezpieczają sesje uprzywilejowane i wysokiego ryzyka we wszystkich zasobach przedsiębiorstwa, w tym usługach chmurowych, elastycznej i statycznej infrastrukturze oraz aplikacjach SaaS dla pracowników. Te kontrole automatycznie analizują dzienniki audytów i aktywności sesji, aby wykryć nieautoryzowane lub złośliwe działania. Chronią również sesje przeglądarkowe, blokując ryzykowne działania, takie jak pobieranie plików, dostęp do schowka i kliknięcia prawym przyciskiem myszy – oraz zabezpieczając proces Chrome przed przejęciem. Izoluje to połączenie użytkownika z docelowym zasobem, zapobiegając zewnętrznym i wewnętrznym zagrożeniom przed kompromitacją tożsamości i ich sesji.
- Zabezpieczenie stacji roboczych na bieżąco weryfikuje użytkowników podczas ich sesji (podstawowa zasada Zero Trust). Zapewnia to, że tożsamość użytkownika pozostaje niezmieniona od momentu logowania do systemu, zapobiegając nadużywaniu przywilejów i przejęciu sesji przez nieaktywne lub skompromitowane konta. Inteligentnie dostosowuje środki bezpieczeństwa na podstawie danych kontekstowych, takich jak lokalizacja lub integralność urządzenia, upraszczając proces uwierzytelniania w sytuacjach niskiego ryzyka i zwiększając kontrolę, gdy pojawiają się anomalie. Pozwala to na szerokie i nieinwazyjne stosowanie uwierzytelniania wieloskładnikowego (MFA), optymalizując bezpieczeństwo bez utrudniania pracy użytkownika.
- Ochrona dostępu do chmury pozwala na zarządzanie dostępem do konsol chmurowych, a następnie do zasobów wykorzystywanych w takim środowisku. Kluczowe jest ciągłe monitorowanie kont dostępnych dla przedsiębiorstw w chmurze, aby upewnić się, że nie zostaną wykorzystane do nieuprawnionego zakupu kosztowych usług, w szczególności mogących służyć do przeprowadzania ataków DDoS czy kopania kryptowalut.
Program ochrony tożsamości
Taki program to coś więcej niż tylko wdrożenie narzędzi cyberbezpieczeństwa. Wymaga on określenia, jakie ryzyko jesteśmy w stanie tolerować dla każdego typu tożsamości, rodzaju zasobu, do którego mają dostęp – i jak duże utrudnienie może to stanowić dla użytkowników.
Statyczne modele dostępu z przeszłości nie są w stanie sprostać nowoczesnym zagrożeniom dla tożsamości, środowisk i danych. Dzięki AI napastnicy wykorzystują automatyzację i zaawansowane ataki socjotechniczne, nowe schematy phishingowe, naśladowanie głosu, a nawet wygenerowany obraz wideo. Atakują firmy każdej wielkości i rodzaju, a dopóki organizacje nie podejmą działań w celu kompleksowej ochrony tożsamości, ryzyko takiego ataku dramatycznie wzrasta.
Dlaczego nie warto czekać z przygotowaniem i wdrożeniem programu ochrony tożsamości?
Oczywistym jest, że polski sektor finansowy, w obliczu rosnącej cyfryzacji procesów bankowych oraz otwarcia na nowe architektury i środowiska przetwarzania, stanowi atrakcyjny cel dla cyberprzestępców. Ponadto, w kontekście implementacji regulacji DORA, spełnienie wymogów wydaje się trudne, a nawet niemożliwe, bez przemyślanej strategii ochrony wszystkich tożsamości cyfrowych wykorzystywanych przez te instytucje. Nie warto zwlekać z wdrożeniem takiego programu, ponieważ wymaga on starannego przygotowania i współpracy wielu zespołów w organizacji, w tym zespołów ds. cyberbezpieczeństwa, IT, compliance oraz HR. Im wcześniej rozpoczniemy, tym mniejsze ryzyko, że skompromitowana tożsamość cyfrowa zostanie wykorzystana do skutecznego ataku.