リモート作業の増加に伴い、IT 管理者、セキュリティ チーム、正規従業員は、エンタープライズ システム、DevOps 環境、およびアプリケーションへのリモート アクセスに大きく依存するようになりました。 これにより、脅威アクターはなりすましというより大きな攻撃対象領域を得ることができます。
デジタル ID は、サイバー犯罪者が選択する武器として浮上しています。 組織の特権ユーザーが、特に VPN を介してリモートでアクセスするために共有特権アカウントを日常的に使用している場合、これらの資格情報を侵害する攻撃者は、最悪の場合、ミッション クリティカルなデータやリソースに広範囲にアクセスできます。 さらに、特権ユーザーだけがリスクにさらされるわけではありません。 多くのサイバー攻撃は、一般従業員のアカウントを標的とし、ネットワークを偵察するための出発点として使用します。
これを念頭に置いて、組織は、分散した労働力、外部請負業者、および高度に分散された IT インフラストラクチャの増大する攻撃面の影響を確認し、これらの新しいダイナミクスにより適切に対応するための新しいゼロ トラスト戦略の実装を検討する必要があります。
人間と機械の ID に対するゼロトラスト戦略
ゼロ トラスト モデルでは、企業の機密データ、アプリケーション、またはインフラストラクチャへのアクセスを要求するアクターは、事前に信頼されません。 ただし、セキュリティ対策は、人間のユーザー ID にとどまるべきではありません。 多くの組織では、マシン、アプリケーション、およびその他のワークロード用の人間以外の ID とサービス アカウントが、「ユーザー」の大部分を占めるようになっています. これは、開発者ツール、コンテナー化されたアプリケーション、マイクロサービス、およびエラスティック ワークロードが存在するクラウドおよび DevOps 環境で特に当てはまります。 - そのすべてが相互に通信するために ID を必要とします - 支配的な役割を果たします。 したがって、ID ベースのセキュリティ体制を改善するには、組織はゼロトラスト アプローチに基づく特権アクセス許可の管理に重点を置く必要があります。
特権アクセス管理 (PAM) によるゼロ トラスト セキュリティ
ユーザーと IT リソースの地理的分散が進むにつれて、従来のネットワーク境界は解消されつつあります。 その結果、「信頼できるユーザーは境界内にあり、信頼できないユーザーは外部にいる」などの単純な概念に基づいてアクセスを決定し、この区別に IP アドレスを使用することは、もはや現実的ではありません。 企業は、攻撃者がすでにシステム内にいると想定する必要があります。 時代遅れの「信頼するが検証する」アプローチは、「決して信頼せず、常に検証する」に置き換える必要があります。
「決して信頼しない」とは、正当な管理者が特権アカウントにアクセスするための白紙の権限を持たなくなったことを意味します。 つまり、root やローカル管理者などの共有の特権アカウントが好きなように実行できるようにする代わりに、管理者は、基本的な特権を持つ、HR によって精査された企業アカウントを使用します。 これにより、致命的なエラーが防止され、攻撃者がそのアカウントを侵害した場合の影響が軽減されます。 PAM セキュリティ制御は、状況に応じて、集中化された役割とポリシーに基づいて、昇格された特権を選択的に付与できます。 ID が常に幅広い特権を持つのではなく、この最小限の特権のアプローチにより、セキュリティ リスクが軽減されますが、正当な管理者は、ジャストインタイムで限られた時間だけ、十分な特権を要求することで仕事を行うことができます。 効果的な保護を確保するために、企業は、データセンター、非武装地帯 (DMZ)、仮想プライベート クラウド、またはマルチクラウド環境のいずれであっても、すべての IT リソースにこのアプローチを一貫して適用する必要があります。
最小特権アクセス制御を使用して PAM にこのゼロトラスト アプローチを実装することにより、組織は攻撃面を最小限に抑え、監査とコンプライアンスの可視性を向上させ、リスク、複雑さ、およびコストを削減します。
良好なゼロ トラストへの道のりにおける重要なステップ
PAM は複雑なテクノロジですが、組織は、いくつかの基本的な操作を行うだけでセキュリティを大幅に向上させることができ、より高度な機能を次々と実装することで、ゼロ トラストの成熟度を向上させ続けることができます。 最初の重要なステップは、パスワードの衛生状態を改善し、共有特権アカウントを保護し、管理者に多要素認証 (MFA) を適用することです。
1. 人間と機械の識別のための優れたパスワード衛生
侵害された XNUMX つのパスワードが、組織全体に損害を与える可能性があります。 そのため、解読が困難な高エントロピーのパスワードが不可欠です。 また、頻繁にパスワードをローテーションすると、潜在的な攻撃者の機会が減ります。 これは、人間以外のアカウントにとっても重要です。 アプリケーションやサービスを破壊する恐れがあるため、ほとんど変更されません。 PAM を使用すると、これらのアカウントを集中管理し、頻繁なローテーション ポリシーを適用できます。 そうすることで、これらのソリューションは多重化されたアカウント機能を利用して、ローテーションの前に依存するすべてのコンピューターでパスワードが同期され、アプリケーションの障害のリスクを軽減できます。
人間は依然としてセキュリティ チェーンの最も弱いリンクであり、攻撃者にとって主要なターゲットの XNUMX つであるため、継続的なセキュリティ トレーニングは、管理者だけでなくすべてのユーザーに必須である必要があります。
2. 管理者向けの多要素認証
ID セキュリティを強化するためのもう XNUMX つの具体的な手順は、すべての管理者に対する多要素認証の実装です。 攻撃者にとっても、時は金なりです。 したがって、MFA のような追加のセキュリティ ハードルにより、攻撃者は次の潜在的な被害者に単純に移動するように促される可能性があります。
XNUMX 番目の要素として物理認証 (例: YubiKey、プッシュ通知、または Apple Touch ID のような組み込み生体認証) を使用することは、攻撃者にとって非常に高いハードルを提示します. この手段は、ボットやマルウェアも阻止します. 複数のアクセス ポイント間で MFA を一貫して適用することが不可欠です。
3. パスワード保管
永続的なアクセス許可を持つ ID は、重大なセキュリティ リスクをもたらします。 特に Linux システムは、ローカル特権アカウントの優れたソースです。 最善の方法は、これらのアカウントをできるだけ多く削除することです。 企業が排除できないアカウントは、パスワード保管庫に保管し、アクセスを緊急時のみに制限する必要があります。 これらの XNUMX つの対策により、すでに攻撃対象領域が大幅に削減されています。 次のステップとして、管理者には、必要なときに必要なアクセス許可のみを付与する必要があります。
成功するサイバー攻撃の数の増加は、従来の境界ベースのセキュリティの概念がもはや十分ではないことを示しています。 この防御壁が克服されると、通常、犯罪者は簡単に攻撃を仕掛けることができます。 企業は、攻撃者がすでに自社のネットワークにいると想定し、この想定に基づいてセキュリティ対策を講じる必要があります。 これは、企業のすべての資産と機密データを保護し、外部からの攻撃や内部関係者の脅威による被害を最小限に抑える唯一の方法です。
詳細は Sophos.com をご覧ください
Thycotic Centrify について ThycoticCentrify は、大規模なデジタル変革を可能にするクラウド ID セキュリティ ソリューションの大手プロバイダーです。 ThycoticCentrify の業界をリードする Privileged Access Management (PAM) ソリューションは、クラウド、オンプレミス、およびハイブリッド環境全体で企業のデータ、デバイス、およびコードを保護しながら、リスク、複雑さ、およびコストを削減します。 ThycoticCentrify は、Fortune 14.000 の半分以上を含む、世界中の 100 以上の大手企業から信頼されています。 顧客には、世界最大の金融機関、諜報機関、重要インフラ企業が含まれます。 人間でも機械でも、クラウドでもオンプレミスでも - ThycoticCentrify を使用すると、特権アクセスが安全になります。