Три тези для майбутнього управління ідентифікацією та доступом. Нульова довіра робить брандмауери та паролі неактуальними. Для доступу також необхідна багатофакторна автентифікація.
Зважаючи на напружену ситуацію з безпекою, захист чутливих корпоративних мереж і критичної інфраструктури стає все більш у центрі уваги. Концепції кібербезпеки, які зараз використовуються, часто піддаються перевірці. Стає все більш очевидним, що самі по собі класичні концепції брандмауера більше не можуть забезпечити достатній опір гібридним моделям атак. Сучасне та централізовано організоване керування ідентифікацією та доступом має особливе значення. У цьому контексті Беком згадує три істотні тези:
Теза 1: багатофакторна аутентифікація
Багато компаній і державних установ відчувають помилкове відчуття безпеки, оскільки вони запровадили методи багатофакторної автентифікації (MFA). Однак не всі ці технології пропонують достатній захист від онлайн-атак. Наприклад, одноразові паролі (OTP) через додаток для смартфона або реєстрація через SMS або голосовий дзвінок більше не захищені від фішингу за сучасними стандартами. З іншого боку, рекомендовано використовувати процедури MFA на основі таких стандартів, як WebAuthn або Fido2, у зв’язку з апаратними маркерами безпеки або смарт-картками.
Теза 2: Епоха паролів добігає кінця
У контексті сучасного керування ідентифікацією та доступом паролі втратили свою попередню роль і, як правило, не пропонують жодної додаткової цінності, що виходить за межі сприйнятого підвищення безпеки. В ідеалі можна повністю відмовитися від паролів. Якщо це неможливо чи бажано, тоді – всупереч інтуїції – слід уникати складних правил пароля або обов’язку регулярно змінювати пароль. Причина: тепер було показано, що нормативні акти такого типу на практиці часто мають протилежний ефект і, як правило, призводять до менш безпечних паролів і процесів.
Теза 3: Надавайте лише стільки доступу, скільки це абсолютно необхідно
Контроль доступу на основі ролей зазвичай базується на відносно статичних і попередньо визначених ролях. Це майже неминуче означає, що співробітники також мають необмежений доступ до ресурсів, якими вони користуються знову і знову, але відносно рідко. Тому доцільно використовувати значно більш динамічні та детальні авторизації доступу, де це можливо. В ідеалі користувачі мають доступ до певного ресурсу лише протягом періоду, коли цей доступ дійсно потрібен.
«Зрештою, нульова довіра означає чітку зміну парадигми. Раніше використовувана концепція нібито безпечної внутрішньої мережі, яка захищена від загроз з Інтернету брандмауером, більше не забезпечує достатнього захисту від сучасних методів атак. Основою для концепції нульової довіри, з іншого боку, є розгляд внутрішньої мережі як принципово незахищеної та скомпрометованої. Логічним і зрозумілим наслідком цього є перехід від входу користувача на рівні мережі до входу або автентифікації на рівні програми. Зростаюча кількість повідомлень про те, що кібератаки здійснюються все більш і більш професійно широким колом учасників, показує, наскільки важливим і критичним за часом є впровадження такої архітектури мережевої безпеки», — говорить Ральф Беккер, керуючий директор becom Systemhaus GmbH. & Co. KG.
Більше на becom.net
Про будинок системи becom
becom є одним із провідних будинків ІТ-систем у Центральному Гессені, а також є одним із найбільших Інтернет-провайдерів у регіоні в бізнес-сегменті. Заснована в 1988 році, компанія, як мережевий фахівець, пропонує рішення для всього, що пов’язано з підключенням до Інтернету, мережею сайтів, ІТ-безпекою, VPN і хмарними обчисленнями. Починаючи з 2017 року, becom в першу чергу займається плануванням і впровадженням інфраструктур SD-WAN (програмно визначена WAN). Системний будинок розташований у Вецларі та підтримує компанії, органи влади та організації в усьому німецькомовному регіоні.