Плохое управление идентификацией и доступом подвергает риску корпоративные данные, но путь к укреплению IAM остается сложным, сообщает портал ComputerWeekly.
Управление идентификацией и доступом (IAM) — сложная и непреходящая задача для предприятий. Организациям необходимо найти баланс между эффективным обеспечением безопасности и управлением идентификационными данными и удобством использования для сотрудников, клиентов и поставщиков. Слишком много уровней управления идентификацией и доступом — и в результате возникает «трение»: процессы, которые затрудняют выполнение сотрудниками своей работы.
«Многие организации начинают свой путь к IAM с сочетания лишь краткосрочных целей, некачественных идентификационных данных, незрелой архитектуры идентификации и слабой проверки пользователей, — предупреждает Скотт Сваллинг, эксперт по облачным технологиям и безопасности данных PA Consulting. — Плохой подход к IAM в лучшем случае может сделать его громоздким и разочаровывающим для ваших пользователей и административного персонала. Обременительные процессы, не использующие все возможности IAM, приведут к тому, что пользователи, как и раньше, будут находить способы их обойти, что приведет к проблемам с безопасностью и потенциальным нарушениям».
Даже с расширением таких мер, как многофакторная аутентификация (MFA) и биометрия, доступ остается слабым местом в корпоративной безопасности, а также в обеспечении соответствия нормативным требованиям и конфиденциальности данных. IAM становится еще более важным, поскольку предприятия переходят от фиксированного периметра к гибким моделям работы, облаку и веб-приложениям.
Масштабы проблемы вполне реальны. Согласно отчету Verizon «2024 Data Breach Investigations» о расследовании утечек данных, украденные учетные данные использовались в 77% атак на базовые веб-приложения. В отчете Google Cloud «2023 Threat Horizons Report» говорится, что в 86% случаев взломов использовались украденные учетные данные.
«Нам необходимо перейти к культуре безопасности, ориентированной на идентификацию, — отмечает Акиф Хан, вице-президент-аналитик Gartner, специализирующийся на IAM. — Если вы не идентифицируете своих пользователей, трудно обеспечить какую-либо безопасность. Если вы не знаете, кто получает доступ к вашим системам, как вы узнаете, должны ли они получать доступ к ним или нет?»
По его мнению, IAM приходит на смену старой идее о том, что организации должны иметь безопасный периметр. Риски, связанные с опорой только на защиту периметра, очевидны. В июне этого года утечка данных в Ticketmaster и Santander была связана с незащищенными облачными учетными записями Snowflake.
Защита привилегированных учетных записей идет рука об руку с эффективным управлением идентификацией и такими инициативами, как «нулевое доверие» (zero trust). Но поскольку нулевое доверие требует значительных и долгосрочных инвестиций, CIO и CISO также следует усовершенствовать существующую защиту учетных данных и перейти к использованию подходов, основанных на оценке рисков при идентификации.
Это побуждает организации переходить на системы управления доступом на основе политик и адаптивные к риску. Эти системы позволяют компаниям применять MFA, если действие кажется высокорискованным, или вовсе блокировать его. Но это зависит от наличия в организации четкой стратегии IAM.
«Заложите основы, чтобы обеспечить четкую видимость и контроль над тем, кто имеет доступ к вашим ресурсам, — рекомендует Сваллинг. — Убедитесь, что идентификационные данные в порядке. Сочетание этого с надежным управлением привилегированным доступом, по возможности с использованием автоматизации и машинного обучения, позволит упростить и улучшить выполнение административных задач и уменьшить разочарование пользователей».
Разочарованные пользователи — почти готовые жертвы, соглашается Мустафа Мустафа, менеджер по решениям в области идентификации компании Cisco в регионе EMEA, — и вполне реальные объекты атак против MFA.
Нулевое доверие
Cisco является сторонником модели безопасности с нулевым доверием, но Мустафа признает, что лишь немногие организации развернули ее в полной мере.
Исследование Cisco показало, что 86% предприятий начали использовать модель нулевого доверия, но только 2% утверждают, что достигли зрелости. Среди препятствий — сложность и несогласованный пользовательский опыт.
Здесь работает «принцип: „Не доверяй никому, проверяй всех“, — говорит Мустафа. — Единственный способ реализовать политику нулевого доверия — это постоянная проверка всех пользователей, устройств и приложений в любое время и в любом месте внутри или вне данной сети». Это включает в себя развертывание MFA, доступ с наименьшими привилегиями и микросегментацию.
Нулевое доверие стоит усилий, утверждает он. Оно улучшает безопасность, соответствие нормативным требованиям и управление рисками, а также упрощает операции — при правильном внедрении — и потенциально позволяет организациям уменьшить накладные расходы на администрирование, затраты, а также задержки и разочарования пользователей. Кроме того, оно упрощает управление гибридной и удаленной работой.
Тем временем предприятиям необходимо продолжать инвестировать в MFA, управление и администрирование идентификационных данных, управление привилегированным доступом и единую регистрацию, и это лишь некоторые из направлений. Это может заставить CIO действовать в двух «измерениях» — одно касается повышения безопасности идентификации и доступа сейчас, а другая, более долгосрочная цель — переход к нулевому доверию.
Со временем это будет включать в себя более широкое использование искусственного интеллекта для выявления необычного поведения пользователей или действий, которые могут свидетельствовать о нарушении, а также переход к IAM на основе рисков, а не только идентификации. Иногда это также называют адаптивной аутентификацией.
«Интегрируя оценку рисков в режиме реального времени, организации смогут предоставлять доступ, основываясь на контексте, а не только на личности, — говорит Джон Пол Каннингем, CISO компании Silverfort. — Такой переход позволит снизить операционные издержки и нагрузку на данные, связанные с управлением аутентификацией и авторизацией. В конечном итоге переход на эту модель позволит компаниям укрепить безопасность, улучшить пользовательский опыт и снизить затраты на поддержание безопасности идентификации».
На практике организации, скорее всего, будут полагаться на уровни безопасности для уровней доступа, по крайней мере пока.
Цифровые бумажники
«Более дальновидные организации ставят идентификацию на первое место. Но все еще существует проблема объединения разрозненных систем, — говорит Каннингем. — В будущем вы сможете опираться на новые платформы, но у людей все еще много унаследованной архитектуры».
Однако предприятиям по-прежнему необходимо в первую очередь подтверждать личность пользователя — будь то сотрудник, поставщик или клиент. Здесь может помочь переход на глобальные идентификационные бумажники (global identity wallets, GIW), обычно являющиеся частью поддерживаемой государством системы хранения и использования цифровых документов для идентификации личности.
Чаще всего GIW ассоциируются с инициативами цифрового правительства и, возможно, не являются наиболее подходящим инструментом для повседневного управления доступом, но они могут сыграть свою роль при регистрации сотрудников или клиентов, а также потенциально снизить уровень мошенничества и кражи учетных данных. Уже сейчас наблюдается определенная конвергенция между GIW и IAM, например, Entra Verified ID от Microsoft интегрировано в приложение Authenticator компании.
По данным Gartner, к 2026 г. более 500 млн. человек во всем мире будут использовать цифровые идентификационные бумажники (DIW) на базе телефонов. Это будет значительный рост применения технологии, которая должна облегчить ряд проблем, связанных с проверкой личности, особенно для государственных служб.
«В принципе, вы сможете иметь DIW в своем телефоне, и это не сильно отличается от приложения для аутентификации, — говорит Хан. — Это не Microsoft ID, а ID в приложении Microsoft».
Открытые стандарты цифровых идентификаторов и совместимость платформ, скорее всего, будут способствовать их внедрению государственными учреждениями и, в свою очередь, гражданами. Технология GIW, при всех ее преимуществах, скорее всего, будет слишком дорогой для предприятий, чтобы создавать ее самостоятельно. Ее преимущество заключается в масштабе и в доверии, которое возникает при использовании удостоверения личности, выданного правительством.
«Рынок движется в сторону переносимой цифровой идентификации, поэтому пользователям не придется снова и снова подтверждать свою личность, а вместо этого у них будет
Предприятия, которые в настоящее время оплачивают услуги сторонних компаний по проверке личности, cмогут даже сэкономить деньги благодаря GIW. «Ключевым моментом в этом вопросе будет то, как будут выглядеть коммерческие предложения», — говорит Хан. Организациям также необходимо принять технологию идентификационного актива в бумажнике, поэтому так важна господдержка, а также открытые стандарты и совместимость. А использование GIW может дать преимущества в таких разных областях, как найм персонала или предоставление услуг новым клиентам.
«С технической точки зрения, если есть возможность быстрее принять человека на работу, эта технология имеет смысл, — говорит Хан. — В условиях конкурентного рынка организации будут стремиться к этому».
Тем не менее, GIW, похоже, станут частью ландшафта IAM, а не заменой внутренних систем идентификации и аутентификации. «У вас есть идентификатор, и этот идентификатор имеет такие атрибуты, как „я сотрудник Gartner“. Далее идут атрибуты для прав доступа, то есть здесь множество слоев информации, — говорит Хан. — Не все это может быть в бумажнике. Фирмам все равно придется сверять данные с собственной инфраструктурой идентификации».
Перспективы корпоративного использования DIW, как и будущее развитие IAM, будут зависеть от типа информации и уровней доступа, которые необходимо обеспечить организациям.
«DIW смогут играть важную роль в повседневной аутентификации, выходя за рамки разовых мероприятий, таких как регистрация или проверка личности, — говорит Каннингем из Silverfort. — Используя их в качестве ежедневного инструмента аутентификации, организации смогут укрепить свою безопасность, одновременно повысив удобство и продуктивность работы пользователей».
Он ожидает, что по крайней мере на начальном этапе DIW будут использоваться в здравоохранении, госсекторе, для получения льгот и пограничного контроля.
Но DIW также могут укрепить MFA и дать командам, занимающимся безопасностью данных, некоторую передышку, пока они рассматривают более долгосрочные варианты, включая нулевое доверие.
«DIW служат дополнительным фактором MFA, уникальным идентификатором, подобным токенам на основе сертификатов, и безопасным решением для хранения конфиденциальных данных, таких как пароли и криптографические ключи, — говорит Каннингем. — При правильном использовании они могут повысить безопасность и простоту использования, а также сократить расходы предприятий на поддержку идентификации».
