01
Защита айдентити
Айдентити (Identity, идентичность) — представление (образ, отражение) пользователя или автоматизированного процесса в виде одного или нескольких атрибутов, которые позволяют сущностям или процессам быть различимыми в рамках автоматизированной (информационной) системы.
Защита айдентити (Identity Security) – это деятельность (комплекс мер) с целью предотвратить несанкционированный доступ к идентификационным данным (айдентити), а также их ненадлежащее использование или манипулирование ими, нарушение целостности. Эти задачи решаются с помощью обширной совокупности инструментов, процессов и принципов, предназначенных для обеспечения безопасности всех существующих в организации типов айдентити, включая айдентити сотрудников, подрядчиков, сторонних поставщиков и даже неодушевленных субъектов (машин), таких как устройства и приложения.
Защита айдентити стала одной из основ современных стратегий в области кибербезопасности. Рост количества и масштабов атак, все более широкое применение облачных технологий и переход на удаленный формат работы — все эти обстоятельства существенно повышают потребность в действенных мерах по защите айдентити. Под влиянием указанных факторов увеличилась поверхность атаки, из-за чего участились попытки взлома ИТ-систем при помощи скомпрометированных учетных данных. Причем потенциальный ущерб от подобных атак серьезно возрос.
Главная цель защиты айдентити — предотвращать несанкционированный доступ к критичным системам и данным: доступ к конкретным информационным ресурсам должен быть лишь у тех пользователей, которые прошли процедуры аутентификации и авторизации. Это крайне важно, чтобы защищать конфиденциальную информацию и поддерживать непрерывную работу организаций. Злоумышленники применяют все более изощренные методы: чтобы воспользоваться ценными активами, они пытаются проникнуть в сети и скомпрометировать айдентити, которые дают привилегии, необходимые для доступа к чувствительным данным.
Защита айдентити стала одной из основ современных стратегий в области кибербезопасности. Рост количества и масштабов атак, все более широкое применение облачных технологий и переход на удаленный формат работы — все эти обстоятельства существенно повышают потребность в действенных мерах по защите айдентити. Под влиянием указанных факторов увеличилась поверхность атаки, из-за чего участились попытки взлома ИТ-систем при помощи скомпрометированных учетных данных. Причем потенциальный ущерб от подобных атак серьезно возрос.
Главная цель защиты айдентити — предотвращать несанкционированный доступ к критичным системам и данным: доступ к конкретным информационным ресурсам должен быть лишь у тех пользователей, которые прошли процедуры аутентификации и авторизации. Это крайне важно, чтобы защищать конфиденциальную информацию и поддерживать непрерывную работу организаций. Злоумышленники применяют все более изощренные методы: чтобы воспользоваться ценными активами, они пытаются проникнуть в сети и скомпрометировать айдентити, которые дают привилегии, необходимые для доступа к чувствительным данным.
01
Основные элементы защиты айдентити
Защита айдентити состоит из нескольких ключевых элементов, каждый из которых абсолютно необходим для того, чтобы обеспечивать сохранность айдентити и безопасный доступ к информационным ресурсам. К числу этих элементов относятся аутентификация, авторизация, управление привилегиями, а также аудит, логирование и мониторинг.
Аутентификация
Действия по проверке подлинности субъекта доступа и/или объекта доступа, а также по проверке принадлежности субъекту доступа и/или объекту доступа предъявленного идентификатора доступа и аутентификационной информации. На текущий момент широко применяется многофакторная аутентификация (Multi-FactorAuthentication, MFA): чтобы получить доступ к ресурсу, пользователь должен предоставить как минимум два фактора аутентификации. В частности, это может быть информация, известная пользователю (пароль), или нечто находящееся в его распоряжении (средство аутентификации), или его уникальные характеристики (биометрические персональные данные).
Аутентификация
Действия по проверке подлинности субъекта доступа и/или объекта доступа, а также по проверке принадлежности субъекту доступа и/или объекту доступа предъявленного идентификатора доступа и аутентификационной информации. На текущий момент широко применяется многофакторная аутентификация (Multi-FactorAuthentication, MFA): чтобы получить доступ к ресурсу, пользователь должен предоставить как минимум два фактора аутентификации. В частности, это может быть информация, известная пользователю (пароль), или нечто находящееся в его распоряжении (средство аутентификации), или его уникальные характеристики (биометрические персональные данные).
Авторизация
Предоставление субъекту прав доступа, а также предоставление доступа в соответствии с установленными правилами управления доступом. В ходе авторизации определяется, что разрешается делать пользователю, прошедшему аутентификацию. На этом этапе устанавливаются и применяются разрешения и механизмы контроля доступа, которые зависят от роли пользователя в организации.
В настоящее время широко распространено управление доступом на основе ролей (Role-Based Access Control, RBAC): разрешения выдаются с учетом ролей, чтобы у пользователей были те минимальные возможности доступа, которые нужны им для выполнения служебных обязанностей.
Управление привилегиями
Это процесс контроля и мониторинга расширенных прав доступа, призванный максимально снизить риски, связанные с привилегированными учетными записями. Для этого, в частности, реализуется принцип минимальных привилегий: пользователям предоставляются только те уровни доступа (разрешения), которые необходимы им для выполнения должностных функций.
Решения для управления привилегированным доступом (Privileged Access Management, PAM) помогают управлять привилегированными учетными записями и проводить аудит практики их применения, снижая риск ненадлежащего использования или компрометации таких учетных данных.
Аудит, логирование и мониторинг
Чтобы обеспечивать безопасность и соблюдение нормативных требований, необходимо постоянно вести аудит, логирование и мониторинг. В рамках этой работы в различных системах отслеживаются действия, касающиеся доступа и айдентити, с целью выявлять подозрительное поведение, обеспечивать выполнение политик безопасности и предоставлять объективные данные в случае инцидента, связанного с безопасностью. Используя эффективные методы мониторинга, организации могут в режиме реального времени выявлять потенциальные угрозы и реагировать на них, что позволяет им уменьшить ущерб от взлома.
Предоставление субъекту прав доступа, а также предоставление доступа в соответствии с установленными правилами управления доступом. В ходе авторизации определяется, что разрешается делать пользователю, прошедшему аутентификацию. На этом этапе устанавливаются и применяются разрешения и механизмы контроля доступа, которые зависят от роли пользователя в организации.
В настоящее время широко распространено управление доступом на основе ролей (Role-Based Access Control, RBAC): разрешения выдаются с учетом ролей, чтобы у пользователей были те минимальные возможности доступа, которые нужны им для выполнения служебных обязанностей.
Управление привилегиями
Это процесс контроля и мониторинга расширенных прав доступа, призванный максимально снизить риски, связанные с привилегированными учетными записями. Для этого, в частности, реализуется принцип минимальных привилегий: пользователям предоставляются только те уровни доступа (разрешения), которые необходимы им для выполнения должностных функций.
Решения для управления привилегированным доступом (Privileged Access Management, PAM) помогают управлять привилегированными учетными записями и проводить аудит практики их применения, снижая риск ненадлежащего использования или компрометации таких учетных данных.
Аудит, логирование и мониторинг
Чтобы обеспечивать безопасность и соблюдение нормативных требований, необходимо постоянно вести аудит, логирование и мониторинг. В рамках этой работы в различных системах отслеживаются действия, касающиеся доступа и айдентити, с целью выявлять подозрительное поведение, обеспечивать выполнение политик безопасности и предоставлять объективные данные в случае инцидента, связанного с безопасностью. Используя эффективные методы мониторинга, организации могут в режиме реального времени выявлять потенциальные угрозы и реагировать на них, что позволяет им уменьшить ущерб от взлома.
Вышеуказанные элементы работают вместе, образуя комплексную систему защиты айдентити, которая предотвращает несанкционированный доступ, ненадлежащее использование привилегий и атаки, осуществляемые c помощью скомпрометированных айдентити (identity-based attacks). Применяя методы многофакторной аутентификации и эффективные механизмы авторизации, тщательно управляя привилегиями и осуществляя постоянный мониторинг, организации могут значительно уменьшить поверхность атаки и повысить общий уровень информационной безопасности.
02
Управление айдентити и доступом (IAM) в сравнении с защитой айдентити (Identity Security)
Понятия «управление айдентити и доступом» (Identity and Access Management, IAM) и «защита айдентити» (Identity Security) часто используют как синонимы, но в системе кибербезопасности организации они играют свои собственные, хотя и взаимодополняющие роли. Чтобы разработать действенную стратегию обеспечения безопасности, необходимо понять, чем эти понятия различаются и как они соотносятся друг с другом.
03
Управление айдентити и доступом (IAM)
Под IAM понимают совокупность политик, процессов и технологий, которые используются в организации для управления айдентити и контроля доступа к ресурсам. Эта система позволяет предоставлять соответствующим лицам в нужное время обоснованный и надлежащий доступ к ИТ-ресурсам.
IAM — это предоставление пользователям айдентити разрешений на доступ, отзыв таких айдентити и разрешений, а также управление ими. Управлять айдентити и доступом необходимо, чтобы обеспечивать высокую операционную эффективность, соблюдать нормативные требования и снижать административные накладные расходы.
IAM — это предоставление пользователям айдентити разрешений на доступ, отзыв таких айдентити и разрешений, а также управление ими. Управлять айдентити и доступом необходимо, чтобы обеспечивать высокую операционную эффективность, соблюдать нормативные требования и снижать административные накладные расходы.
Ключевые функции IAM-системы
- Управление айдентити пользователей — создание и удаление учетных записей пользователей в различных системах и управление ими.
- Контроль доступа — определение политик, разграничивающих права доступа к ресурсам, и обеспечение их выполнения.
- Технология единого входа (SSO) — возможность получать доступ к нескольким приложениям с помощью одних и тех же учетных данных для входа.
- Многофакторная аутентификация (MFA) — аутентификация, при выполнении которой используется не менее двух различных факторов аутентификации с целью усилить защиту ИТ-систем.
- Аудит и выполнение требований — принятие мер для того, чтобы политики доступа отвечали нормативным требованиям и могли быть проверены путем аудита.
Составляющие защиты айдентити
- Identity Threat Detection and Response (ITDR) — выявление угроз, связанных с айдентити, и реагирование на них в режиме реального времени.
- Управление привилегиями — непрерывный мониторинг расширенных прав доступа и управление ими для минимизации рисков несанкционированного доступа.
- Поведенческая аналитика — анализ поведения пользователей с целью выявлять аномалии и потенциальные угрозы безопасности.
- Принцип нулевого доверия (Zero Trust) — постоянная проверка запросов на доступ исходя из принципа «Никогда не доверяй, всегда проверяй».
Защита айдентити дополняет IAM: она закрывает те лазейки в контуре безопасности, которые решения класса IAM нередко оставляют открытыми. Если IAM — это фундамент для управления айдентити и доступом, то защита айдентити — это борьба со сложными киберугрозами, такими как кража учетных данных, эскалация привилегий и атаки путем латерального перемещения.
04
Интеграция IAM и защиты айдентити
Чтобы всесторонне обезопасить себя от кибератак, организациям следует интегрировать работу в сфере IAM с мерами по защите айдентити. Это позволит применять комплексный подход к обеспечению безопасности идентификационных данных и управлению ими, сочетая преимущества управления доступом при помощи инструментов IAM и возможности защиты айдентити, связанные с упреждающим выявлением угроз и реагированием на них. Подобный интегрированный подход помогает организациям надежно защищать себя от атак c использованием скомпрометированных айдентити (identity-based attacks) и в то же время поддерживать высокую операционную эффективность и соблюдать нормативные требования.
05
Проблемы и решения в области защиты айдентити
Чтобы организовывать и последовательно проводить эффективные мероприятия по защите айдентити, нужно решать целый ряд специфических задач. В частности, необходимо снижать степень сложности таких мероприятий, обеспечивать их всеобъемлющую прозрачность и адаптироваться к меняющимся угрозам. Однако организации вполне могут преодолеть эти проблемы и повысить информационную безопасность, если станут реализовывать подходящие решения.
Сложность
Одна из самых больших проблем в области защиты айдентити связана с тем, что управлять ими в масштабе различных систем и приложений крайне сложно. Как следствие, ИТ-системы могут оказаться неверно настроенными или содержать уязвимости, что открывает потенциальные возможности для злоумышленников. Например, они могут воспользоваться ошибкой в конфигурации системы работы с айдентити, чтобы получить доступ к особо чувствительным данным, приложениям или системам.
Снизить подобные риски можно с помощью автоматизации процессов управления айдентити. Они позволяют упрощать процесс создания учетных записей пользователей в ИТ-системах, управлять правами доступа и обеспечивать последовательную реализацию политик безопасности во всех системах. Кроме того, чтобы эффективнее отслеживать айдентити и связанные с ними разрешения (и тем самым снизить риск неверной настройки систем), организации могут внедрить решения класса IGA (Identity Governance and Administration), служащие для администрирования айдентити и надзора за ними.
Одна из самых больших проблем в области защиты айдентити связана с тем, что управлять ими в масштабе различных систем и приложений крайне сложно. Как следствие, ИТ-системы могут оказаться неверно настроенными или содержать уязвимости, что открывает потенциальные возможности для злоумышленников. Например, они могут воспользоваться ошибкой в конфигурации системы работы с айдентити, чтобы получить доступ к особо чувствительным данным, приложениям или системам.
Снизить подобные риски можно с помощью автоматизации процессов управления айдентити. Они позволяют упрощать процесс создания учетных записей пользователей в ИТ-системах, управлять правами доступа и обеспечивать последовательную реализацию политик безопасности во всех системах. Кроме того, чтобы эффективнее отслеживать айдентити и связанные с ними разрешения (и тем самым снизить риск неверной настройки систем), организации могут внедрить решения класса IGA (Identity Governance and Administration), служащие для администрирования айдентити и надзора за ними.
Прозрачность
Чтобы выявлять угрозы в области безопасности идентификационных данных и реагировать на них, необходимо обеспечить полную прозрачность действий, связанных с айдентити. Однако многим организациям решить эту задачу непросто, поскольку их системы управления различными типами айдентити разрозненны и охватывают как локальные, так и облачные среды. Недостаточная прозрачность влечет появление «слепых пятен», в которых действия злоумышленников могут остаться незамеченными.
Для того чтобы обеспечить полную прозрачность всех действий в отношении айдентити во всей организации, нужно использовать комплекс решений для защиты айдентити. Они интегрируются с существующими системами управления айдентити и доступом (IAM), а также с решениями класса SIEM (Security Information and Event Management), которые применяются для управления событиями безопасности. Это позволяет отслеживать и анализировать события, связанные с айдентити, в режиме реального времени. Благодаря повышенной прозрачности у подразделений безопасности появляется возможность эффективнее выявлять аномалии и реагировать на угрозы.
Адаптация
Ландшафт угроз постоянно меняется: злоумышленники разрабатывают все новые методы, чтобы использовать айдентити для извлечения выгоды. Организациям нужно гибко адаптировать стратегию в области безопасности к быстро изменяющейся обстановке. Для противодействия таким продвинутым способам атак, как фишинг, подстановка учетных данных и латеральное перемещение, традиционных мер защиты может быть недостаточно.
Чтобы предупреждать потенциальные угрозы, организациям целесообразно внедрять инструменты адаптивной аутентификации и поведенческой аналитики. Первые позволяют корректировать требования в области безопасности с учетом контекста запроса на доступ, чтобы атакующим было труднее обходить меры защиты. Вторые, опираясь на машинное обучение, определяют исходный характер нормального поведения пользователя и выявляют отклонения, которые могут указывать на угрозу безопасности.
Кроме того, необходимо регулярно обновлять и тестировать политики и протоколы защиты, чтобы и продолжать эффективно обеспечивать безопасность при появлении новых векторов атак.
Масштабируемость
По мере того как организации укрупняются, экспоненциально растут и количество айдентити, и сложность управления ими. Обеспечить масштабируемость на этом фоне непросто, и традиционные системы управления айдентити могут уже не справляться. В результате возникают пробелы в контуре безопасности и повышаются административные и накладные расходы.
Чтобы выявлять угрозы в области безопасности идентификационных данных и реагировать на них, необходимо обеспечить полную прозрачность действий, связанных с айдентити. Однако многим организациям решить эту задачу непросто, поскольку их системы управления различными типами айдентити разрозненны и охватывают как локальные, так и облачные среды. Недостаточная прозрачность влечет появление «слепых пятен», в которых действия злоумышленников могут остаться незамеченными.
Для того чтобы обеспечить полную прозрачность всех действий в отношении айдентити во всей организации, нужно использовать комплекс решений для защиты айдентити. Они интегрируются с существующими системами управления айдентити и доступом (IAM), а также с решениями класса SIEM (Security Information and Event Management), которые применяются для управления событиями безопасности. Это позволяет отслеживать и анализировать события, связанные с айдентити, в режиме реального времени. Благодаря повышенной прозрачности у подразделений безопасности появляется возможность эффективнее выявлять аномалии и реагировать на угрозы.
Адаптация
Ландшафт угроз постоянно меняется: злоумышленники разрабатывают все новые методы, чтобы использовать айдентити для извлечения выгоды. Организациям нужно гибко адаптировать стратегию в области безопасности к быстро изменяющейся обстановке. Для противодействия таким продвинутым способам атак, как фишинг, подстановка учетных данных и латеральное перемещение, традиционных мер защиты может быть недостаточно.
Чтобы предупреждать потенциальные угрозы, организациям целесообразно внедрять инструменты адаптивной аутентификации и поведенческой аналитики. Первые позволяют корректировать требования в области безопасности с учетом контекста запроса на доступ, чтобы атакующим было труднее обходить меры защиты. Вторые, опираясь на машинное обучение, определяют исходный характер нормального поведения пользователя и выявляют отклонения, которые могут указывать на угрозу безопасности.
Кроме того, необходимо регулярно обновлять и тестировать политики и протоколы защиты, чтобы и продолжать эффективно обеспечивать безопасность при появлении новых векторов атак.
Масштабируемость
По мере того как организации укрупняются, экспоненциально растут и количество айдентити, и сложность управления ими. Обеспечить масштабируемость на этом фоне непросто, и традиционные системы управления айдентити могут уже не справляться. В результате возникают пробелы в контуре безопасности и повышаются административные и накладные расходы.