Minden információbiztonsági szakember tudja, hogy a kiemelt, különleges jogosultsággal bíró felhasználókra különös gondossággal kell figyelni. De mi történik, ha bizonyos körülmények között bármelyik és mindegyik felhasználó kiemelt szerepkörbe juthat?
A támadók leginkább a kiemelt felhasználóinkra céloznak. De tudjuk-e, valójában kik is a kiemelt felhasználóink? Gyorsan válaszolnék is: majdnem mindenki, aki hozzáfér olyan vállalati rendszerekhez, amelyekben a cég számára fontos adatokat kezelünk.
A koronavírus-járvány évei földindulásszerű változásokat hoztak a vállalati IT-rendszerekkel kapcsolatos biztonsági kihívásokban. Minden felelős információbiztonsági szakember évtizedekig próbálta betartani és betartatni, hogy a felhasználó csak kontrollált eszközről, kontrollált hálózaton keresztül férhessen hozzá a kontrollált vállalati informatikai erőforrásokhoz. Ez a COVID miatt másodpercek alatt köddé vált annak a kockázatnak az árnyékában, hogy a szervezet működésképtelenné válik, ha nem engedélyezzük a saját eszköz használatát és csatlakozását bárhonnan és bármely olyan rendszerhez, amely elősegíti a vállalat – akár erőltetett – digitalizációs erőfeszítéseit, és ezeken keresztül a versenyképesség, de minimum a működésképesség megtartását.
Egy felhasználó, több identitás
A kifinomult, magas szintű tudás, a fejlett kollaborációs készségek, a dolgozók általános digitális felkészültsége semmit nem ér, ha az nem párosul kiváló informatikai kiszolgáló – és az azokat védő rendszerekkel. Azonnali kultúraváltásra volt (van) szükség nemcsak az IT „fogyasztásában”, de a védelmi szempontok és módszerek helyes megválasztásában is. Szinte közhely már, de mégis megéri újra és újra leírni: a hirtelen kialakult helyzetben a felhasználó a digitális harcmező közepén találta magát. Ő lett az a gócpont, ahol a legnagyobbat tud szólni egy „csattanás”, egy incidens, egy betörés, egy támadás. Sokféle eszköz és módszer van az ennyire kitett eszközök védelmére, de most sokkal inkább a felhasználóra magára, azaz a digitális identitására szeretnénk fókuszálni.
A távoli munkavégzés miatt a felhasználók digitális identitásainak a száma megnőtt. Egyre több nem „földi” (vagyis nem a vállalat saját környezetében üzemeltetett, on-premise) rendszert kezdtek el használni, amelyekben az identitás csak kicsit, vagy egyáltalán nem kapcsolódik a gondosan felépített vállalati címtárhoz. Egyes részlegek esetleg még olyanra is vetemedtek, hogy saját hatáskörben kezdtek el különböző felhős szolgáltatásokat használni, betévedve ezzel az „árnyékinformatika”, a shadow IT szürke zónájába, tovább növelve az identitások számát.
Általános bizalmatlanság
Ezzel párhuzamosan a felelős informatikai menedzserek és vállalatvezetők egyébként sem acélos bizalma csökkenni kezdett (49 százalékról 32 százalékra esett vissza) a digitális identitásokban – valljuk be, nem minden ok nélkül. Az információbiztonsági vezetők (CISO-k) erősebb kontrollokért kezdtek lobbizni, miközben a vállalat a digitális transzformáció kihívásaival küszködik.
A szituációban kódolva van a feszültség, amit sajnos a rosszindulatú szereplők is felismertek, és elkezdték kihasználni. Nem véletlen, hogy az elmúlt másfél-két év olyan incidensektől hangos, amelyekben nagyon hangsúlyosan megmutatkozik a beszállítói lánc általános digitális megbízhatatlansága. Így az sem véletlen, hogy az IDS Alliance által megrendelt, 2022-es felmérés („Trends in Securing Digital Identities”) szerint az elmúlt időszakban 71 százalékkal emelkedett az identitás- és hozzáférés-kezelő rendszerek bevezetése, és a megkérdezett IT-biztonsági szakemberek 98 százaléka (!) nyilatkozta, hogy hamarosan belevág egy identitásbiztonsággal kapcsolatos projektbe.
Minden aspektust körbejárva
Hasonló megérzések miatt vágtunk bele az immáron második magyarországi „Identity Day” konferencia szervezésébe, amit 2022. szeptemberében. Itt felvonult/bemutatkozott az identitáskezelési megoldások krémje, és a megjelenteknek remek lehetősége volt tapasztalat és eszmecserére.
Kiváló előadást tartott a Scirge, ami különösen szívet melengető, hiszen egy magyar startupról beszélünk. Az ő specialitásuk a shadow IT és a jelszó-higiénia, a már harmadik verziónál járó megoldásuk egyszerű és elegáns, nem terheli feleslegesen az üzemeltető csapatot, mégis ugrásszerű emelkedést tud hozni a biztonsági szinten.
Kifejezetten üdítő színfolt volt a Forcepoint témája: a felhasználói viselkedéselemzés pár fontos és jellemző területét mutatták be, az adatszivárgás megelőzésre fókuszálva, ahol a viselkedés változásait figyeljük gépi tanulással és intelligenciával, közel valós idejű beavatkozást lehetővé téve. Így gyorsan felderíthető, ha egy identitás kompromittálódik, és csepegtetni kezdi féltett adatainkat vállalaton kívülre.
A Thales egy hozzáférés menedzsmenttel kapcsolatos megoldást hozott, amellyel a sok különböző típusú autentikációs megoldást lehet egy platformra hozni, akár hibrid környezetekben is. A Thales megközelítésével kezelhető lesz az egyéb SSO-rendszerek Achilles-sarka, miszerint egy hagyományos SSO-megoldásnál a támadónak elég egy hozzáférést megszereznie, hiszen a többi is ugyanaz.
A kiemelt felhasználókkal kapcsolatos biztonsági kihívások szakértője, a CyberArk arra gondolatmenetre fűzte fel az előadását, amit főleg hálózatos környezetekben emlegetünk mostanában: a zero trust szemlélet megvalósítására. Talán itt hangzott el először, hogy minden felhasználó kiemelt felhasználó bizonyos körülmények között. Megoldásaik az rendszeradminisztrátorok munkájának biztosítása kapcsán felgyülemlett tudást már a nem rendszergazdai jogosultságú felhasználókra is ki tudják terjeszteni, sőt, a beszállítói lánc vállalati hozzáféréseit is egy ötletes megoldással kezelni tudják.
A Sailpoint gyakorlatilag minden független elemzőcég szerint az identitás irányítási (IGA – identity governance-administration, az IAM – identity/access management új megközelítése) piac vezetője. Az ő előadásuk az identitáskezeléssel kapcsolatos legtöbb kérésre választ tudott adni, a teljes életciklus-menedzsmenttől kezdve akár egy audit kihívásoknak is megfelelő komplex felülvizsgálati eljárásokig. A segítségükkel rugalmasan kezelhetőek a vállalati szerepkörök, és ezek dinamikus változásai is, nincs bebetonozott szervezeti-hozzáférési struktúra. Hazai sikereiket erős lokális, sőt már itthonról vezetett, egész Európára kiterjedő projektreferenciák is alátámasztják.
Beágyazott identitáskezelés
A fentieken kívül még sok más security cég is felismerte az identitáskezeléssel kapcsolatos problémákra adandó válaszok hiányát. A modern, felhős SASE (secure access service edge) rendszerek fejlesztői is sietve jelentik be a különböző identity megoldásaikat, amelyek beágyazott funkcióként kínálnak identitással kapcsolatos lehetőségeket. Mind a Palo Alto Networks, mind a Forcepoint SASE rendszerei idén egészültek ki ezekkel a funkciókkal, még jobban támogatva a szervezeten belüli feszültségek kezelését a magasabb biztonsági szintek felé törekvésben. Az idei, már harmadik „Identity Day”-en valószínűleg külön szekciót kell majd biztosítani a beágyazott rendszerek identitáskezelésének is.
A blogposzt az IT Business cikkének szerkesztett változata