Атаки на основі ідентифікації є однією з найбільших загроз ІТ-безпеці сьогодні, оскільки сучасні гібридні корпоративні мережі пропонують кіберзлочинцям численні точки входу. Коментар Мартіна Кулендіка, регіонального директора з продажу DACH у Silverfort.
Наприклад, хакери використовують зламані облікові записи, щоб отримати початковий доступ через програми SaaS і IaaS у загальнодоступній хмарі або проникнути в корпоративний периметр через скомпрометовані з’єднання VPN або протоколу віддаленого робочого столу (RDP). Потім хакери можуть продовжувати свої атаки з однієї машини на іншу, використовуючи скомпрометовані облікові дані. Латеральне переміщення цього типу відбувається як у Advanced Persistent Threats (APT), так і в автоматизованому розповсюдженні зловмисного програмного забезпечення чи програм-вимагачів.
Слабкі сторони рішень безпеки ідентифікації
Високі показники успішності цих атак у формі захоплення облікового запису, зловмисного віддаленого доступу чи бокового переміщення виявляють властиві слабкості сучасних рішень і методів захисту ідентифікаційної інформації. Ця стаття пояснює причини цього та представляє нову концепцію безпеки для цілісного захисту ідентифікаційних даних, за допомогою якої компанії можуть усунути існуючі прогалини в безпеці своїх ідентифікаційних даних і відновити перевагу проти атак на основі ідентифікаційних даних.
Критичні прогалини в традиційній безпеці ідентифікації
Сучасна безпека ідентифікаційної інформації підприємства має недоліки як у виявленні того, чи створює автентифікація користувача ризик, так і в запобіганні зловмисним спробам автентифікації. Прогалина у виявленні пов’язана з тим, що зараз організації використовують багаторазові рішення для управління ідентифікацією та доступом (IAM) у гібридній мережі. Типове підприємство реалізує принаймні один локальний каталог, наприклад Active Directory, Cloud Identity Provider (IdP) для сучасних веб-додатків, VPN для віддаленого доступу до мережі та рішення Privileged Access Management (PAM) для керування привілейованим доступом.
Однак часто не вистачає єдиного уніфікованого рішення, яке відстежує та аналізує всі дії автентифікації користувачів у всіх ресурсах і середовищах. Це значно обмежує можливість зрозуміти повний контекст кожної спроби доступу та виявити аномалії, які вказують на ризиковану поведінку або зловмисне використання скомпрометованих облікових даних.
Засобів безпеки IAM, таких як MFA, недостатньо
Пробіль у запобіганні є результатом того факту, що основні засоби контролю безпеки IAM, такі як багатофакторна автентифікація (MFA), автентифікація на основі ризиків (RBA) і умовний доступ, не охоплюють усі ресурси компанії, залишаючи критичні прогалини в безпеці. Як наслідок, багато активів і ресурсів залишаються незахищеними: включаючи власні та власні програми, ІТ-інфраструктуру, бази даних, спільні файли, інструменти командного рядка, промислові системи та багато інших конфіденційних активів, які можуть стати головною мішенню для зловмисників. Ці активи все ще покладаються на механізми на основі паролів і застарілі протоколи, які неможливо захистити сьогоднішніми рішеннями на основі агентів або проксі. Це тому, що більшість рішень безпеки IAM не можуть інтегруватися з ними або не підтримують їхні протоколи.
Коли ви розглядаєте всі різні активи в гібридній корпоративній мережі та всі можливі маршрути доступу до кожного з них, стає зрозуміло, що захисту лише кількох із цих активів недостатньо. Оскільки кожна незахищена система залишає можливий шлюз для зловмисників. Однак захистити всі корпоративні системи окремо шляхом впровадження програмних агентів, проксі та наборів розробників програмного забезпечення (SDK) більше нереально. У результаті поточні рішення безпеки IAM не забезпечують ефективного способу ефективного запобігання використанню скомпрометованих облікових даних для зловмисного доступу та бокового переміщення.
Уніфікований захист особи
Уніфікований захист ідентичності для усунення прогалин у безпеці
Щоб усунути вектори загроз на основі ідентифікаційної інформації та усунути прогалини у виявленні та запобіганні, згадані вище, підхід до безпеки для цілісного захисту ідентифікаційних даних (Уніфікований захист ідентифікаційних даних) має базуватися на таких трьох основних стовпах:
1. Постійний уніфікований моніторинг усіх запитів на доступ
Для повної видимості та точного аналізу ризиків необхідний безперервний цілісний моніторинг усіх запитів на доступ за всіма протоколами автентифікації (як для доступу «користувач-машина», так і для доступу «машина-машина»), а також для всіх ресурсів і середовищ. Це включає будь-які спроби доступу до кінцевих точок, хмарних робочих навантажень, додатків SaaS, локальних файлових серверів, застарілих бізнес-додатків або будь-якого іншого ресурсу.
Усі дані моніторингу мають бути зведені в єдине сховище для подальшого аналізу. Таке сховище може допомогти організаціям подолати притаманну проблему розмежування IAM і забезпечити виявлення та аналіз загроз.
2. Аналіз ризиків у реальному часі для кожної окремої спроби доступу
Мартін Кулендік, регіональний директор з продажу DACH у Сільверфорті (Фото: Сільверфорт).
Щоб ефективно виявляти загрози та реагувати на них, кожен запит на доступ потрібно аналізувати, щоб зрозуміти його контекст — у режимі реального часу. Для цього потрібна здатність аналізувати всю поведінку користувача: тобто всі автентифікації, які користувач виконує в мережі, хмарі або на локальному ресурсі — не лише перший вхід у мережу, але й усі подальші реєстрації в цих середовищах. Це забезпечує дуже точний аналіз ризиків у режимі реального часу, який забезпечує контекст, необхідний для визначення того, чи надані облікові дані можуть бути скомпрометовані.
3. Застосовуйте адаптивну автентифікацію та політики доступу під час усіх спроб доступу
Щоб забезпечити захист у режимі реального часу, засоби керування безпекою, такі як MFA, автентифікація на основі ризиків і умовний доступ, мають бути поширені на всі корпоративні активи в усіх середовищах. Як уже пояснювалося, недоцільно впроваджувати захисні заходи система за системою. З одного боку, це пов’язано з динамічним характером сучасного середовища, що робить це нескінченним завданням; по-друге, той факт, що багато активів просто не охоплені існуючими рішеннями безпеки IAM.
Таким чином, щоб досягти справді комплексного та уніфікованого захисту, потрібна технологія, яка забезпечує ці засоби керування без необхідності прямої інтеграції з кожним із різних пристроїв, серверів і програм, а також без масштабних змін архітектури.
Інтеграція Unified Identity Protection в існуючі рішення IAM
Уніфіковане рішення для захисту ідентифікаційної інформації консолідує елементи керування безпекою IAM і поширює їх на всіх користувачів, активи та середовища організації. За допомогою нової архітектури без агентів і проксі ця технологія може відстежувати всі запити доступу до облікових записів користувачів і сервісів у всіх активах і середовищах, а також розширювати високоточну аналітику на основі ризиків, умовний доступ і політику багатофакторної автентифікації на всі ресурси в гібриді. охоплюють корпоративне середовище. Захисні заходи також можуть бути поширені на активи, які раніше не могли бути захищені. До них належать, наприклад, домашні та застарілі програми, критична інфраструктура, файлові системи, бази даних і інструменти доступу адміністратора, такі як PsExec, які наразі дозволяють зловмисникам обходити MFA на основі агентів.
Важливо чітко розуміти, що Unified Identity Protection не замінює існуючі рішення IAM. Натомість ця технологія консолідує їхні можливості безпеки та розширює охоплення всіх активів, у тому числі тих, які не підтримуються рішеннями IAM. Це гарантує, що організації можуть керувати та захищати всі свої активи в усіх середовищах за допомогою узгоджених політик і видимості для ефективної протидії численним векторам атак на основі ідентифікаційної інформації.
Більше на Silverfort.com
Про Сільверфорт
Silverfort надає першу уніфіковану платформу захисту ідентифікаційної інформації, яка консолідує елементи керування безпекою IAM у корпоративних мережах і хмарних середовищах для пом’якшення атак на основі ідентифікаційної інформації. Використовуючи інноваційну технологію без агентів і проксі, Silverfort легко інтегрується з усіма рішеннями IAM, уніфікуючи їх аналіз ризиків і засоби контролю безпеки та розширюючи їх охоплення на активи, які раніше не могли бути захищені, такі як власні та застарілі програми, ІТ-інфраструктура, файлові системи, командний рядок інструменти, міжмашинний доступ тощо. Gartner визнала компанію "Класним постачальником", 451 Research - "FireStarter", а CNBC - "Upstart 100".