Problemy z zarządzaniem tożsamością i dostępem są stawiane przez administratorów w czołówce interesujących ich obecnie zagadnień.

Wiarygodność ważna jak nigdy wcześniej

Pandemia była trudnym okresem dla firm, ale wiele z nich przeszło przy tej okazji przez szereg (często bolesnych) lekcji o bezpieczeństwie zdalnego dostępu. Tak wynika z niedawnego badania Trends in Securing Digital Identities przeprowadzonego wśród 500 amerykańskich specjalistów ds. bezpieczeństwa w imieniu Identity Defined Security Alliance (IDSA), a które ujawniło wzrost zainteresowania administratorami trudnym tematem zarządzania tożsamością i dostępem (IAM).

Trudno wyobrazić sobie coś, co mogłoby bardziej przytłoczyć systemy zdalnego dostępu organizacji niż pandemia, zaczynająca się od dużej liczby pracowników zamkniętych w domu, braku odpowiednio zabezpieczonych laptopów i problemu niewystarczającej przepustowości VPN. Wszystko to zostało już dobrze omówione. Jak jednak wykryto w analizowanym badaniu, największym z problemów była kwestia tożsamości cyfrowej, czyli rozumując w kategoriach laika: w jaki sposób organizacje wiedzą, że konto łączące się z siecią lub usługą jest kontrolowane przez jego prawowitego właściciela. Od lat jest to coraz większym problemem, ponieważ ataki phishingowe i kradzież poświadczeń podważają tradycyjne założenia dotyczące bezpieczeństwa tożsamości, ale pilne „pandemiczne” potrzeby nadały temu problemowi niespotykany wcześniej priorytet.

Częste naruszenia tożsamości

Ponad ośmiu na dziesięciu respondentów stwierdziło, że liczba tożsamości cyfrowych, którymi zarządzają, wzrosła z powodu pandemii. Jedna piąta z nich zgłosiła wzrost między 25% a 100%. Tymczasem ogólne zaufanie do zabezpieczania tożsamości cyfrowych powiązanych z pracownikami spadło z 49% w badaniu z 2020 roku do zaledwie 32% rok później.

Aż 79% respondentów przyznało, że w ciągu ostatnich dwóch lat doświadczyło naruszenia tożsamości, w tym z powodu: phishingu (68%), źle zarządzanych uprawnień (28%), skradzionych danych uwierzytelniających (27%), ataków typu brute force (24%), socjotechnicznych metod naruszenia haseł takich jak fałszywe resetowanie haseł do kont (21%), zhakowania kont uprzywilejowanych (20%) czy wreszcie ataków typu man in the middle (9%).

Zarządzenie uwierzytelnianiem a zarządzanie dostępem

Danna Bethlehem, dyrektor ds. marketingu produktów w firmie Thales, zauważa:

Przed pandemią tylko niewielka część ludzi pracowała w domu w pełnym wymiarze godzin. Zarządzanie uwierzytelnianiem polega na opiece nad cyklem życia tożsamości cyfrowych w organizacji, na przykład zapewnianiu nowym użytkownikom dostępu do aplikacji, takich jak poczta e-mail, za pomocą hasła. Zarządzanie dostępem polega z kolei na upewnieniu się, że ta tożsamość jest weryfikowana przy każdym logowaniu.

Odrębnym zadaniem zarządzania dostępem jest decydowanie, czy użytkownik jest weryfikowany przy użyciu danego formatu uwierzytelniania. Ankietowanych poproszono m.in. o ocenę, jakie środki mogły zapobiec naruszeniom i 44% respondentów IDSA zgodziło się, że dodanie uwierzytelniania wieloskładnikowego (MFA) pomogłoby, przy czym 45% stwierdziło, że powinno to być stosowane w stosunku do uprzywilejowanych użytkowników jako najwyższy priorytet bezpieczeństwa.

Ryzyka dostępu uprzywilejowanego

Wszystkie prawa użytkownika są potencjalnie ryzykowne, ale niektóre są bardziej ryzykowne niż inne. Na szczycie listy znajdują się tzw. uprzywilejowani użytkownicy, czyli ogólnie rzecz biorąc każdy z uprawnieniami administratora co w pracy w IT jest nader częste – ale nie tylko tam. Często zakłada się, że ci ludzie to pracownicy IT, którzy powinni wiedzieć, co robią i rozumieją znaczenie bezpieczeństwa. Jednak w świecie nowoczesnych aplikacji administratorami może być każdy, kto potrafi zarządzać jakąś grupą, często szefowie działów bez przygotowania technicznego. Według Bethlehem:

Musisz zidentyfikować uprzywilejowanych użytkowników i upewnić się, że wymuszany jest odpowiedni poziom uwierzytelniania. W tym momencie do walki wkracza zarządzanie tożsamością. Jeśli użytkownik opuści organizację, powinien istnieć taki automatyczny workflow, który powiadamia system uwierzytelniania, aby uwierzytelnienie użytkownika, zwłaszcza uprzywilejowane, zostało odwołane.