Учетные данные становятся основным средством проникновения злоумышленников в ИТ-инфраструктуру компании, что подтверждается исследованиями как зарубежных, так и российских аналитиков. Этому явлению есть две причины. Во-первых, выросло качество разработки. Стандарты безопасной разработки, анализаторы кода, более зрелые процессы создания ПО ведут к снижению количества критических уязвимостей. Во-вторых, компании используют разнообразные инструменты и технологии ИБ. Это значит, что злоумышленникам проще использовать скомпрометированные учетные данные, полученные с помощью социальной инженерии или в результате утечки, чем выискивать и эксплуатировать уязвимости. В результате риски, связанные с идентификацией, растут в геометрической прогрессии, и компании сталкиваются с необходимостью менять стратегию защиты, ставя во главу угла защиту идентификационных данных — Identity Security.
Под Identity Security понимаются системы и технологии, которые используются для обеспечения безопасности и управления цифровыми идентификационными данными в бизнесе. Такие системы защищают от несанкционированного доступа, утечки данных и кражи цифровых идентификаторов.
Цифровой идентификатор — это персона или набор атрибутов, которые однозначно идентифицируют человека или машину (приложение, устройство). Одна персона может иметь несколько учетных записей, учетных данных и привилегий. Машинные идентификаторы должны иметь владельца-человека. Цифровой идентификатор включает в себя логины, пароли, биометрию, цифровые сертификаты. И все это требует управления.
Управление идентификационными данными
Управление идентификацией базируется на 5 принципах: аутентификация, авторизация, администрирование, аудит и анализ.
Аутентификация
Аутентификация — это процедура проверки подлинности личности, системы или устройства. Для аутентификации используются учетные данные, биометрия, цифровые сертификаты, многофакторную аутентификацию (MFA). С точки зрения пользователя, аутентификация — это ввод логина, пароля и MFA. Она не предоставляет каких-либо прав или привилегий, а только подтверждает, что это именно та личность или устройство, за которое она/оно себя выдает. Чем больше атрибутов используется для подтверждения личности, тем надежнее аутентификация.
Авторизация
Авторизация — это предоставление прав на выполнение действий, основанное на аутентификации. Даже в случае гостевого входа в систему, без ввода учетных данных, аутентификация считается гостевой, и пользователю предоставляются права и разрешения гостя. Привилегии могут назначаться при помощи LDAP, IdM-или IGA-решения или непосредственно в самом приложении.
С точки зрения ИБ для аутентификации и авторизации целесообразно использовать разные технологии, чтобы уязвимость в одном решении не приводило к уязвимости в другом. Пройденная аутентификация не должна автоматически приводить к получению прав. Разрешения и права доступа должны определяться при помощи других средств. В случае использования SSO, для выполнения привилегированных действий рекомендуется использовать MFA.
Администрирование
Администрирование идентификационных данных — это управление конфигурацией и контроль над любыми изменениями в аутентификации, авторизации и аудите. Сюда входит управление всем жизненным циклом цифровых идентификационных данных в компании, включая предоставление и отзыв разрешений. Для автоматизации процессов администрирования используются PAM- и IGA-решения. PAM отвечает за безопасность, управление и контроль привилегированных данных, учетных записей и сеансов на уровне всей компании. IGA отвечает за предоставление и отзыв непривилегированных идентификационных данных, а также автоматизирует процессы предоставления и отзыва доступа к активам и ресурсам на основе политик.
Аудит
Аудит — это регистрация и анализ журналов и операций, связанных с доступом и аутентификацией. Задача аудита заключается в выполнении нормативных стандартов и внутренних политик. Он играет важную роль в формировании моделей аутентификации и помогает отследить недостатки безопасности в доступе, настройках, использовании, формируя основу для безопасности идентификации через обнаружение и оценку риска идентификационных данных на основе их статической конфигурации в сочетании с текущими и историческими моделями использования.
Аналитика
Аналитика — процесс получения оперативных сведений о безопасности благодаря постоянному сбору и обработке данных о конфигурации идентификационных данных, разрешениях, доступа. Аналитика может предоставлять автоматически генерируемые выводы и рекомендации, которые позволяют подразделениям принимать более обоснованные решения о доступе, повышающие операционную безопасность и соответствие нормативным требованиям. Например, если аналитический алгоритм обнаруживает подозрительный доступ или сработал индикатор компрометации, он может направить уведомление ИБ-сотруднику или выполнить настроенные действия. PAM-системы, например, позволяют «заморозить» сеанс доступа при возникновении нестандартной ситуации и даже прервать его. Методы машинного обучения могут расширить функции аудита и аналитики и сделать их более оперативными и динамическими.
Какие решения нужны для защиты идентификационных данных на уровне компании
Для реализации принципа Identity Security используются различные решения широкого класса IAM: MFA, SSO, IGA, IdM, PAM.
Надежность аутентификации обеспечивают решения MFA и SSO. Для авторизации используются IdM, IGA и PAM. Решения IDM авторизуют пользователя на основании его должностных инструкций.Этот принцип реализуется обычно посредством общей ролевой модели контроля доступа. IGA позволяют соблюдать принцип разделения обязанностей (Segregation of Duties), т.е. ограничивать накопление больших полномочий у одного пользователя, например, запрос доступа и его согласование, на основании политик доступа. Задачей PAM является дополнительная защита расширенных прав (привилегий) с реализацией принципа наименьших привилегий, когда доступ к конкретному ресурсу предоставляется с помощью конкретного инструмента с использованием специально настроенной учетной записи. В идеале привилегии должны предоставляться на ограниченный интервал времени, необходимый для выполнения конкретных действий, или «just in time».
Для администрирования привилегированных идентификационных данных используют PAM и IGA, которые управляют жизненным циклом учетных записей. При этом в IGA-системах под управлением жизненным циклов имеется в виду отслеживание источников данных о персонах и автоматическое создание, выдача или удаление учетной записи пользователя, назначение или отзыв разрешений в соответствии с ролями. PAM-система под управлением жизненным циклом понимает управление уже существующими учетными записями «суперадминистратора» (root, admin и т.д.): хранение учетных данных в зашифрованном виде в отдельном хранилище, регулярная ротация секретов в соответствии с политиками и их применение при инициализации сеансов доступа без раскрытия их пользователю системы.
Аудит обычно реализован и в PAM, и в IGA, но есть отличия. IGA фиксирует изменения с идентификационной информацией: какая учетная запись была создана или изменена, кому принадлежит, кто инициировал создание, какие у нее разрешения. PAM фиксирует действия пользователя во время сеанса: какие команды вводились, где был курсор мыши, ведет запись сеанса.
Для аналитики используются IGA и PAM. IGA позволяет оценивать идентификационные данные на уровне всей компании, включая учетные записи, права и разрешения и их взаимосвязи. PAM позволяют анализировать действия пользователей во время сеансов и предпринимать меры по митигации угроз при возникновении подозрений на несанкционированный доступ.
Таким образом, для реализации в компании принципа Identity Security необходимо использовать MFA, IGA/IdM и PAM.