Характер корпоративных сред означает, что риски, связанные с идентификацией, постоянно меняются.
Невероятно сложно управлять доступом к единой идентификационной информации в современных гибридных, мультиоблачных предприятиях, используя статические политики авторизации и устаревшие подходы, такие как контроль доступа на основе ролей. В результате слишком многие личности обладают чрезмерными привилегиями, которые им не нужны для выполнения работы. Кроме того, дрейф политик и неправильная конфигурация со временем неизбежно увеличивают площадь атаки.
В этой статье вы узнаете, почему динамическая авторизация необходима для повышения безопасности идентификационных данных и эффективности организации. Вы также узнаете, как можно начать переход к динамической авторизации в своей организации.
Авторизация личности в сравнении с аутентификацией личности
Прежде чем перейти к рассмотрению динамической авторизации, давайте сначала объясним разницу между аутентификацией и авторизацией. Эти ключевые понятия кибербезопасности часто используются вместе, но служат разным целям.
Чтобы лучше понять их, давайте воспользуемся примером гостиничного ключа.
Аутентификация
Аутентификация – это процесс проверки личности человека или организации. В контексте отеля аутентификация сродни проверке того, действительно ли человек является зарегистрированным гостем отеля.
Когда вы регистрируетесь в отеле, вы предоставляете удостоверение личности (например, удостоверение с фотографией) и подтверждение бронирования. Сотрудники отеля проверяют эту информацию, чтобы подтвердить вашу личность. После проверки вам выдается ключ-карта от номера. Этот процесс является аутентификацией: отель подтверждает, что вы тот, за кого себя выдаете.
Авторизация
Авторизация определяет, к каким ресурсам или услугам может получить доступ аутентифицированный человек. В примере с отелем это означает, к каким частям отеля вы можете получить доступ с помощью своей карточки-ключа.
Получив ключ-карту, вы можете использовать ее для доступа в назначенный вам номер. При наличии соответствующих привилегий карта-ключ может также предоставить вам доступ в другие зоны, такие как тренажерный зал, бассейн или представительский лаундж. Система, управляющая карточкой-ключом в отеле, гарантирует, что вы сможете получить доступ только к тем зонам, которые вам разрешено посещать. Этот процесс и есть авторизация: решение о том, что вы можете делать после того, как ваша личность подтверждена.
Управление играет важнейшую роль в аутентификации и авторизации, обеспечивая последовательность, безопасность и соответствие политикам и нормам процессов проверки личности и предоставления доступа.
Управление авторизацией осуществляется с помощью элементов управления доступом
Контроль доступа – это система кибербезопасности, определяющая, кто может получить доступ к тем или иным ресурсам. Организации могут применять один или несколько из широкого спектра средств контроля доступа, включая следующие типы контроля:
Контроль доступа на основе ролей (RBAC): Большинство организаций используют контроль доступа на основе ролей для определения прав доступа к идентификатору на основе заранее определенных ролей, обычно связанных с должностью, организационной структурой или уровнем старшинства. Хотя такой подход прост в реализации, он может оказаться негибким для сложных сценариев, таких как гибридные организации и гибкий стиль работы. Кроме того, ручное создание и изменение ролей может легко привести к неправильной конфигурации и чрезмерно привилегированным идентификационным данным.
Контроль доступа на основе идентификации (IBAC): IBAC фокусируется на проверке личности пользователя, запрашивающего доступ, и принятии решений о доступе на основе этой подтвержденной личности. Этот подход требует четких политик в отношении того, к чему может получить доступ каждая личность, что повышает требования к управлению, поскольку каждый запрос на доступ должен быть определен. Он хорошо подходит, например, для потребительского доступа к веб-порталам и сервисам, но не так хорош для доступа к бизнес-ресурсам.
Управление доступом на основе политики (PBAC): Доступ основан на определенных политиках, которые могут включать в себя роли, атрибуты и другие условия. Он обеспечивает всесторонний контроль, но требует тщательного определения политики и управления.
Контроль доступа на основе правил: Этот подход использует набор правил (более конкретных, чем широкие политики) для определения разрешений на доступ. Например, правила могут быть основаны на таких условиях, как время, IP-адрес или другие специфические критерии.
Контекстно-ориентированный контроль доступа (CBAC): CBAC учитывает контекст запроса на доступ, такой как местоположение пользователя, время доступа и используемое устройство, для принятия решений по управлению доступом.
Контроль доступа на основе атрибутов (ABAC): Доступ основывается на комбинации атрибутов. Он очень гибкий и может работать в динамических условиях, но может быть сложным в управлении.
Контроль доступа с учетом рисков: Оценка рисков учитывается при принятии решений о динамической авторизации, в результате чего запросы на доступ с повышенным риском подвергаются дополнительной проверке или требуют дополнительных шагов аутентификации.
Каждый из этих типов контроля доступа сам по себе не является комплексным подходом к авторизации, подходящим для современного предприятия.
Динамическая авторизация сочетает в себе лучшее из этих систем управления доступом, обеспечивая наиболее гибкое, адаптируемое и эффективное решение.
Что такое динамическая авторизация?
Динамическая авторизация – это современный подход к обеспечению безопасности, который определяет права доступа в режиме реального времени на основе различных факторов. В отличие от традиционных методов статической авторизации, где решения по управлению доступом принимаются на основе заранее определенных ролей и разрешений, динамическая авторизация адаптируется к текущему контексту и изменяется динамически.
Ключевые аспекты динамической авторизации включают:
- Осознание контекста: Динамическая авторизация учитывает контекст запроса на доступ, например местоположение пользователя, устройство, время доступа и текущий уровень угроз.
- Управление доступом на основе атрибутов (ABAC): Динамические решения об авторизации основываются на атрибутах, связанных с пользователями, ресурсами и условиями окружающей среды.
- Принятие решений в режиме реального времени: Запросы на доступ оцениваются в режиме реального времени, что обеспечивает использование наиболее актуальной и релевантной информации для принятия решений об авторизации.
- Применение политики: Динамические политики авторизации определяют условия, при которых доступ предоставляется или запрещается. Вы можете обновлять политики и управлять ими централизованно, чтобы адаптироваться к меняющимся требованиям.
- Оценка рисков: По мере изменения оценок риска меняются и требования к доступу. Динамическая авторизация имеет встроенную модель принятия решений, основанную на оценке рисков.
- Детальный контроль: Динамическая авторизация является детальной, поэтому вы можете определять точные и тонкие правила доступа. Например, пользователь может иметь разрешение на просмотр данных, но не на их загрузку. Или он может иметь доступ только к определенным областям базы данных, а не ко всей системе.
Зачем нужна динамическая авторизация? Профиль риска вашей идентификационной безопасности постоянно меняется
Когда люди задумываются о риске для безопасности личных данных, они вспоминают о внешних факторах, таких как рост числа программ-вымогателей и новые методы кибератак. Но существует также множество внутренних факторов, которые определяют ваш профиль риска, например:
- Традиционное определение организационной «роли» больше не соответствует действительности, поскольку многие организации являются матричными, а многие процессы – гибкими. Поэтому потребности в доступе для каждого пользователя постоянно меняются, а первоначальные разрешения, предоставленные при вводе в должность, быстро устаревают.
- Технологические стеки постоянно меняются, особенно в сложных мультиоблачных средах. В облачных средах происходят быстрые изменения: постоянно создаются новые идентификаторы (особенно машинные), а права предоставляются и удаляются с бешеной скоростью.
- Каналы поставок и партнерские отношения часто меняются, поскольку разным сторонам требуется доступ к данным в различных инфраструктурах. Сочетание федеративных приложений/сервисов ограничивает мониторинг идентификационных данных и не позволяет понять поведение привилегированных лиц.
По данным последнего опроса руководителей ИТ-служб и служб безопасности, несмотря на реальность динамичной среды, только 21 % предприятий по всему миру утверждают, что в настоящее время они определяют доступ пользователей в режиме реального времени с учетом рисков. Большинство полагается на фиксированные политики, основанные на организационной роли или атрибутах пользователя.
По мере того, как среда риска становится все более распределенной и сложной, традиционный статический подход к авторизации становится неэффективным.
В следующем разделе вы увидите, как динамическая авторизация обеспечивает большую гибкость, больший контроль и более надежную защиту.
Динамическая авторизация с помощью повышения привилегий
В динамичном мире удостоверениям никогда не следует предоставлять постоянные разрешения. У них не должно быть постоянного или долгосрочного доступа к ресурсам.
При динамической авторизации более высокие уровни доступа предоставляются только через повышение привилегий. Повышенный доступ существует только в течение того времени, когда он необходим, и автоматически прекращается, как только работа завершена.
Вместо того чтобы предоставлять широкий доступ на основе групп, ролей или атрибутов, динамические политики авторизации являются детальными и ситуативными. Они учитывают, какие именно действия будут разрешены пользователям или машинным идентификаторам после получения ими доступа к корпоративной системе.
Непрерывная проверка личности поддерживает динамические политики авторизации, позволяя дважды убедиться в том, что пользователи являются теми, за кого себя выдают. Например, внедряя MFA на глубине, вы можете прервать потенциальную атаку не только при первом входе пользователя в корпоративные системы, но и при попытке повысить привилегии. Если личность не подтверждена, она не может продвинуться дальше, и авторизация отменяется.
Добавление интеллекта в динамическую авторизацию
Следующий уровень динамической авторизации предполагает добавление искусственного интеллекта (ИИ). С точки зрения безопасности идентификационных данных организации все чаще используют искусственный интеллект для мониторинга поведения и выявления потенциально вредоносных действий. Интеллектуальная авторизация – это очень близкая реальность. В этом случае модели машинного обучения учитывают изменяющиеся факторы риска, такие как профили схожих идентификационных данных, модели поведения, чувствительность данных, местоположение и т. д., чтобы на основе прогнозов риска постоянно обновлять средства контроля доступа и политики авторизации по мере изменения условий.
Вопрос в том, захотят ли компании внедрить автономную авторизацию с помощью ИИ или интерактивную авторизацию с помощью ИИ, в которой участвует человек. Должен ли ИИ принимать решение об автоматическом предоставлении доступа на основе риска или человек должен принимать окончательное решение на основе рекомендаций модели ИИ? Основное различие заключается в том, где происходит аудит и объяснение в ходе процесса.
Баланс между безопасностью и производительностью
Динамическая авторизация позволяет вам стать более устойчивыми к киберугрозам, поскольку вы лучше приспособлены к изменениям. С точки зрения безопасности и соответствия нормативным требованиям вы можете показать аудиторам, регулирующим органам и компаниям киберстрахования, как именно вы соблюдаете требования наименьших привилегий и нулевого доверия, чтобы исключить широкий постоянный доступ.
Динамическая авторизация также повышает эффективность работы вашей организации. При внедрении динамической авторизации сокращается время, затрачиваемое на предоставление и ожидание доступа. Сотрудникам не нужно запоминать и защищать пароли. Кроме того, поскольку ИТ-специалистам не нужно беспокоиться о ручной настройке и постоянных корректировках, они могут потратить свое время на более важные мероприятия по повышению безопасности и устойчивости вашей организации.
Источник: Dynamic authorization for modern identity protection
