- label Novinky z IT a kyberbezpečnosti
- remove_red_eye 166 zobrazení
Když se svět loni na jaře připravoval na vzdálenou práci v dohledné budoucnosti, došlo ke dvěma velmi odlišným reakcím. Někteří přátelé a rodina sdíleli vize blažených rán, kdy budou moci pracovat z pohodlí postele stále v pyžamu. Na druhou stranu moje síť IT známých a kolegů, kteří byli zodpovědní za kontinuitu podnikání, byli vystresováni ze zajišťování nového pracovního modelu a udržení produktivity zaměstnanců.
Realita situace se rychle ujala. Sny o blažených ranních hodinách práce z domova se změnily v frustrující bitvu bezpočtu přihlášení, zapomenutých hesel a zdlouhavých telefonátů na help desk. Pro lidi v IT výzvy narůstaly každou hodinu.
Systémy, které se spoléhaly na podněty a technologie ověřování místní sítě, již nebyly užitečné. Společnosti místo toho potřebovaly řešení s dynamickými cestami uživatelů, které by dokázaly upravit toky na základě kontextů, jako je poloha nebo zařízení. Také potřebovali postup resetování hesla, který by fungoval na jakémkoli zařízení z jakékoli sítě.
Pandemie nenabízela luxus času, takže firmy musely reagovat, aby udržely zaměstnance produktivní a podniky v chodu. Výsledkem byla rychlá rekonfigurace svých systémů na podporu vzdálených pracovníků, což byly v mnoha případech dočasná opatření plná mezer, která byla pevně zakódována pouze pro práci na dálku. Koneckonců, tahle směna bude chvíli trvat.
Jak se ukázalo, že vzdálená práce je novou normou, rychle se objevil další soubor problémů. Nové cloudové aplikace na podporu spolupráce byly do podniku bezstarostně zavedeny, zatímco podvodníci útočili na nově vzdálenou pracovní sílu. Tyto aplikace byly nasazovány rychleji, než by mohly být integrovány do systému Single Sign On (SSO), což způsobilo identifikační sila, která zase poskytovala více útočných ploch pro podvodníky, nemluvě o více heslech, která si zaměstnanci pamatují a spravují.
Více než rok později se kanceláře začínají znovu otevírat, bezpečnostní týmy se obávají, že opravy zavedené před 12 měsíci nebudou řešit novou hybridní pracovní realitu. Přidáním pandemické kocoviny je nezamýšlený spád způsobený náhlým nárůstem nezávislých pracovníků a „tygřích týmů“, kteří byli rychle rozjeti a zrušeni, aby rychle splnili konkrétní úkoly.
Vzhledem ke všem způsobům, kterými jsme se v uplynulém roce digitálně transformovali, je nezbytné mít k dispozici správný systém správy identit a přístupu, který podpoří agilitu podnikání a zároveň zajistí aktiva vaší společnosti. Společnosti doporučuji hledat v systému IAM následující:
- Flexibilita a kontextově orientované uživatelské zkušenosti, které mohou během cesty vnést silnou vícefaktorovou autentizaci
- Integrovaná platforma, která zahrnuje všechny aspekty Identity Fabric - to znamená vše od Complete Single Sign On, User Self Service, Strong Authentication and Authorizations po Identity Lifecycle Management, Provisioning, and Identity Governance.
- Umělá inteligence (AI) ve svém jádru, která dokáže samostatně analyzovat a reagovat na změny v chování.
Proč záleží na uživatelské zkušenosti?
Dříve odborníci na podnikovou bezpečnost upřednostňovali uživatelskou zkušenost pouze pro spotřebitele - zaměstnanci museli být ochotni „snášet“ další bezpečnostní výzvy. Během pandemie se však tato praxe stala blokátorem produktivity a explozí nákladných a časově náročných telefonátů na helpdesk. Jak se svět více digitalizoval, lidé si zvykli na jednodušší zážitky - začali je očekávat i od zaměstnavatelů.
Aby společnost umožnila dobrou uživatelskou zkušenost a standardy vysokého zabezpečení, potřebují platformu pro kontrolování, která se může dynamicky přizpůsobovat na základě kontextových vstupů, jako je poloha, typ zařízení nebo denní doba. Úpravou na kontextové narážky se toky autentizace uživatelů mohou rozvětvit a používat různé metody autentizace na základě úrovně rizika. Tato flexibilita však nemůže být na úkor expozice dat.
Protože většina porušení bezpečnosti je důsledkem slabých nebo odcizených uživatelských pověření, musí uživatelé přijmout silné ověřovací procesy a uživatelé chtějí volbu. Systém přihlašování, který nabízí uživatelům možnost volby, zvýší přijetí silné autentizace. Systémy, které poskytují širokou škálu silných možností autentizace od nejnovějších metod FIDO 2 bez hesla a bez loginů, přes zasílání oznámení, jednorázových hesel nebo biometrie na zařízení, zvyšují schopnost implementovat silnou autentizaci. Silná autentizace v kombinaci s kontextovými narážkami specifickými pro zařízení poskytuje nejbezpečnější a nejjednodušší použití autentizace.
Cesty uživatelů se však po počátečním ověření nezastaví, ale pokračují po celou dobu relace při přístupu k aplikacím. K efektivní implementaci modelu nulové důvěry potřebují společnosti systém IDM k nepřetržitému sledování kontextových a telemetrických signálů. Tyto dodatečné informace umožňují systému provést příslušnou akci při každé přístupové události, včetně: udělení nebo zamítnutí přístupu, žádosti o zvýšení autentizace nebo omezení přístupu prostřednictvím redakce dat nebo omezování dat. Společnosti by také měly hledat řešení s některými možnostmi offline a používat také caveated tokeny nebo macaroons.
A konečně, cesta resetování hesla uživatele, která je ze své podstaty často komplikovaná, protože zahrnuje dva samostatné systémy. Kontext a výběr jsou i nadále kritické: Prostřednictvím kontextu mohou společnosti sledovat rizikové signály, jako je například zařízení ve vlastnictví společnosti nebo ve veřejné kavárně, což může změnit úroveň ověření identity potřebné k resetování hesla a podobně nabízí možnosti jak prokázat identitu vytváří větší příležitost pro úspěch uživatele bez helpdesku. Dobře integrované řešení také odstraní všemi nenáviděnou nutnost znovu zadávat vaše nové heslo k opětovné autentizaci v systému.
Síla integrované platformy
Rychlá expanze identit a aplikací dnes nutně vyžaduje mít jednu plně integrovanou platformu identit. Společnosti potřebují řešení, které zvládne vše ohledně identity, od Single Sign On (Přihlašování do více služeb pomocí jedné sady přihlašovacích údajů), User Self Service (Uživatelé si mohou většinu svých problémů vyřešit sami, bez pomoci helpdesku), Strong Authentication and Authorizations (Sliné přihlašovací metody) až po Identity Lifecycle Management (Správa životního cyklu identity), Provisioning (Poskytování služeb zákazníkům) a Identity Governance (Správa identit).
Vytvoření přístupového modelu, který uživatelé chtějí
Nejviditelnějšími aspekty jakékoli platformy IAM jsou možnosti správy přístupu. Klíčová je schopnost poskytovat skvělé uživatelské prostředí při poskytování jednotného přihlášení v celé řadě obchodních aplikací. Každé heslo, které pro své uživatele odstraníte, je o jedno méně spravované silo identity a o jeden menší vektor útoku pro podvodníky. Nejnovější standardy autentizace a autorizace zajišťují, že společnosti mohou rychle zabezpečit jakoukoli novou cloudovou aplikaci bez vytváření nového sila identit. Bezproblémová integrace se staršími systémy navíc podporuje moderní bezpečnostní model bez překódování aplikace. Sjednocená bezpečnostní politika napříč hybridní IT infrastrukturou výrazně sníží riziko a současně zvýší agilitu podnikání a zajistí spokojenost uživatelů.
Budování systému správy, kterou budou správci používat
Možnosti správy, zajišťování a správy identit poskytují administrativním týmům a auditorům nástroje pro správu a řízení celého životního cyklu identity. Tyto nástroje například rychle zajišťují přístup k rodným právům novým zaměstnancům, včetně nezávislých pracovníků, u kterých čas jsou peníze. Rovněž bezpečně podporují rychlé přidávání nových práv členům "tygřích týmů" za účelem podpory a růstu agility podnikání. Ale to je jen polovina bitvy. Aby byla zachována vaše shoda s ochranou osobních údajů a sníženo riziko interních podvodů, musí organizace také odebrat tento přístup, když se "tygří tým" rozpustí, zaměstnanec změní role nebo opustí organizaci, efektivně a bezpečně.
Manuální přístupy založené na tabulkách byly již těžkopádné - s rychlým přijetím cloudových služeb byly posunuty na hranici svých možností. Zřízení nového uživatele může trvat několik dní a sladění přístupu uživatelů v rámci organizace může trvat měsíce. Integrovaná platforma umožňuje organizacím kontrolovat, auditovat a sladit přístupová práva uživatelů a programově je vynucovat, aniž by se museli spoléhat na ticketovací systém, který by ručně odstraňoval všechny mezery. To zajistí, že osiřelé účty budou rychle odstraněny, čímž se hackerům uzavřou další vektory útoku.
Využití umělé inteligence
AI se stala kritickým aspektem výběrových kritérií pro platformu pro správu identit. Jediný způsob, jak může IT držet krok s rychle se měnící identitou - od podvodníků využívajících každou změnu v chování uživatelů nebo vytvořených silech identit až po řízení rychlého výbuchu identit sestávajících z lidí, strojů a věcí - je mít umělou inteligenci, která dokáže jednat autonomně na základě údajů v reálném čase.
Pomocí umělé inteligence lze rychle odhalit podezřelé chování během pokusu o přihlášení, což výrazně snižuje příležitost hackera zneužít zranitelnost. Může také monitorovat relace uživatelů a budovat vyšší důvěru ve skutečnou identitu uživatele sledováním jejich přístupových vzorů. Pokud se uživatel dramaticky neliší od svého běžného způsobu používání, AI bude mít větší jistotu, že je to uživatel, který se původně autentizoval a lze tak odstranit zvýšené požadavky na autentizaci citlivých aktiv. Očekávám, že tím bude zahájena éra „Zero Trust 2.0“, kde můžeme časem více důvěřovat identitě uživatele a ne méně.
Na straně správy je AI nezbytná pro řízení exploze rolí, dynamických rolí, aplikací a identity lidí, strojů a dokonce i věcí, jako jsou kontejnery. Organizace potřebují systém, který může zpracovávat nejen data ze systémů správy identit, ale také externí data, jako jsou protokoly aplikací nebo úložiště LDAP. Díky neustálému sledování skutečného využívání přístupových práv a přizpůsobování rolí a práv na základě tohoto využití si mohou společnosti být jisty, že uživatelé mají přístup pouze k aktivům, která potřebují. Další využití AI k automatizaci schvalování přístupu, odvolání a usmíření odlehčí vašim zaměstnancům spoustu práce a odstraní „gumové razítko“ žádostí o přístup, což výrazně zvýší bezpečnost a dodržování předpisů.
AI také nabízí možnost sdílet signály napříč možnostmi správy a přístupu. V případě nekalé činnosti tedy přístupová AI může komunikovat s AI pro správu a zrušit účet. Naopak, když se uživatel pokusí získat přístup k oprávnění, které systém správy a řízení klasifikoval jako rizikové, může mít posílené ověřovací sekvence, aby bylo toto rizikové oprávnění chráněno, nebo by bylo možné provádět externí volání za účelem zvýšení auditování této relace.
Za poslední rok prošel způsob naší práce masivní digitální transformací. Práce na dálku umožňovala společnostem zůstat na hladině a v některých případech vzkvétat; odhalila však také zranitelnosti kolem správy identit a přístupu, které se budou šířit jen krkolomným tempem s pokračujícím nárůstem IoT. Tím, že pomáhám svým kolegům a organizacím zvládat tyto obrovské změny, se to všechno scvrklo na jednu věc: Organizace musí najít kompletní platformu pro správu identit, která poskytuje silné uživatelské zkušenosti, přičemž má AI v jádru, kterou lze používat samořízeně, jako službu a nebo hybridní formou. Díky tomu se stanou úspěšnými, protože jejich IT infrastruktura se bude vyvíjet po mnoho dalších let.
Autor původního článku: Matt Berzinski
Překlad: Ondřej Strachota
