Вы уже знаете, что такое технический долг, и, вероятно, ощутили его последствия. Вы, вероятно, унаследовали множество ненужных технологий в запутанных кодовых базах, инструментах-дубликатах или наспех реализованных функциях и ощутили влияние этого на ваши ресурсы и термины.
Как и при попадании в сыпучие пески, влияние технического долга поначалу не заметно, но со временем он имеет тенденцию ухудшаться.
Идентификационный долг – это другое дело.
В отличие от замедляющего работу технического долга идентификационный долг может немедленно привести к взлому или компрометации критически важных систем в наиболее неудачный момент.
В современной облачной и все более интегрированной с искусственным интеллектом реальности задолженность за идентификационные данные является быстрее растущим фактором корпоративных рисков, что приводит к нарушениям безопасности, несоблюдению нормативных требований и усложнению операционной деятельности.
«Идентификация по-прежнему остается любимой мишенью для атак», – как любят говорить наши старшие исследователи из Delinea Lab. Идентификация стала плоскостью управления предприятием. Атаки на безопасность личных данных являются самыми дорогими.
Организации продолжают покупать все большее количество инструментов для защиты идентификационных данных и внедрять различные элементы управления и рабочие процессы для обеспечения идентификационных данных. Однако многие из этих рабочих процессов избыточны и/или касаются одинаковых случаев использования.
В то же время, существуют риски безопасности идентичности, которые остаются незамеченными, поскольку никто не обращает на них внимания.
В этом блоге вы узнаете, что такое долг идентификации, что вызывает и что можно сделать, чтобы его устранить.
Что такое Идентификационный долг?
Идентификационный долг – это скрытый риск, который накапливается, когда вы откладываете или пренебрегаете гигиеной, связанной с идентификацией, например:
- Очистка устаревших или заброшенных аккаунтов;
- Правильное определение размера привилегий;
- Ротация учетных данных;
- Применение MFA;
- Обнаружение и закрытие бекдорных аккаунтов;
- Применение управления к идентификациям машин и искусственному интеллекту.
Когда злоумышленники атакуют, благодаря долгу идентификации часто заявляют, что вы фактически передали им ключи.
Большинство организаций недооценивают масштабы своего идентификационного долга. Слепые зоны у поверхности атаки на идентификацию способствуют увеличению идентификационного долга, поскольку облегчают отрицание существования проблемы.
Идентификационный долг измеряется посредством повышенной вероятности взлома и сбоев в работе бизнеса. Его скопление значит рост риска на базе сложных процентов. Чем дольше вы несете этот долг, тем опаснее он становится.
В отличие от пропуска патча или упущения общей уязвимости и угрозы (CVE) – задач, которые можно выполнить позже в рамках обновления – долг за идентификацию нарастает незаметно и систематически, создавая поверхность атаки, о которой вы можете не догадываться.
Наибольший риск представляют долги, связанные с идентификацией машин и искусственного интеллекта
Если вы не контролируете каждую идентификацию машины, учетную запись службы, скрипт и агента искусственного интеллекта, вы упускаете большую часть проблемы.
Облачные роли, временные ресурсы, учетные записи машин и агенты искусственного интеллекта теперь преобладают человеческие идентичности в соотношении 46 к 1. Однако большинство предприятий не имеют последовательной стратегии управления этими идентичностями, проверки их доступа или даже учета их присутствия.
KPMG заявляет, что, несмотря на то, что машинные идентификаторы все больше влияют на рост идентификаторов, 61% организаций по-прежнему определяют привилегированных пользователей только как людей, тем самым недооценивая или игнорируя роль бесчеловечных идентификаторов в привилегированном доступе.
Если программа безопасности идентификации сосредоточена только на человеческих пользователях, а не на растущем море бесчеловечных идентичностей Вы игнорируете идентификационный долг с наибольшим риском.
Хотя организации добились значительных успехов в управлении доступом человеческих пользователей с помощью SSO, MFA и некоторых средств очистки каталогов, этого нельзя сказать о машинных идентичностях и облачных ролях.
Как узнать, есть ли у вас долг за идентификационные данные машин и искусственного интеллекта?
- Сервисные аккаунты, созданные для одноразовых задач, часто больше никогда не проверяются.
- Права доступа к облачным ресурсам часто являются многоуровневыми, унаследованными и чрезмерно разрешительными.
- В DevOps-пайплайне может быть сервисная учетная запись с полными правами администратора, которую никто не проверяет.
- Интеграция SaaS может получить широкие преимущества без срока действия.
- Искусственный интеллект, обученный внутренним данным, может сохранять доступ к конфиденциальным записям еще долго после выполнения своего назначения.
- Каждая неконтролируемая идентичность увеличивает ваш идентификационный долг.
Примеры того, как идентификационный долг накапливается незаметно
Сокращения мер безопасности создают идентификационный долг.
Например, предположим, что инженер DevOps нуждается в доступе к конфиденциальной базе данных, и вместо того, чтобы предоставить ему ограниченный, временный доступ посредством инфраструктуры как кода или хранилища секретов, кто-то предоставляет ему полный доступ через постоянную роль администратора.
Или скрипта резервного копирования могут быть предоставлены полные права управления идентификацией и доступом (IAM) во избежание устранения неисправностей.
Возможно, посторонний инструмент внедряется в производство с открытым доступом к API и без аудиторского журнала.
Именно из-за таких мелких решений и возникает идентификационный долг: тихо, логично и почти без сопротивления, пока нарушение безопасности не разоблачает слои неконтролируемого доступа.
В мультиоблачных средах проблема быстро приобретает масштабы. Каждый ярлык, умноженный на каждый облачный ресурс и каждую задачу автоматизации, приводит к разрастанию невидимой сети чрезмерных привилегий.
Причины этому хорошо известны: приближается срок выполнения, в команде не хватает персонала, а инструменты не интегрируются должным образом. Но оправдания не предотвращают нарушения, а лишь откладывают их.
Почему команды неправильно оценивают риск, связанный с идентификационным долгом?
Многие команды ощущают себя в безопасности, поскольку они внедрили MFA или SSO. Это хорошо, но с точки зрения безопасности это все равно, что запирать входную дверь, оставляя открытыми окна. Риск, связанный с идентификацией, касается каждого оставшегося открытого окна, чердака и подвала. Учетные данные, похищенные путём кражи токенов или перехвата сеанса, полностью обходят MFA, а идентичности машин редко пользуются этими средствами защиты.
Существует также миф об отложенной архитектуре, убеждение, что после завершения миграции в облако или интеграции нового инструмента риски, связанные с идентификацией, можно решить позже. Но «позднее» вряд ли наступает. Проекты растягиваются на несколько кварталов, а между тем скапливаются разрешения и сохраняются устаревшие идентичности.
Как проявляется стоимость идентификационного долга?
Идентификационный долг редко отражается в балансе, а скорее в аудиторских неудачах, расходах на нарушение и росте страховых премий за кибербезопасность.
Вы платите цену за предыдущее пренебрежение, когда происходит инцидент, и не можете ответить на вопрос «Кто имел доступ?» или «Когда эти учетные данные использовались в последний раз?».
Вы также ощущаете влияние идентификационного долга на оперативную деятельность. Идентификационный долг ограничивает упругость и замедляет инновации. Любая новая интеграция становится оценкой высокого риска. Каждый облачный ресурс требует ручного просмотра разрешений. Каждый цикл аудита занимает больше времени. Каждый сценарий нарушения имеет больше аспектов, которые необходимо рассмотреть. У вашей команды безопасности нет полномочий, она обременена.
Как начать платить Идентификационный долг:
Хорошая новость заключается в том, что в отличие от технического долга долг идентичности не требует масштабной переписки. Он требует видимости и намерения.
Начните с полной инвентаризации идентичностей людей и машин, скриптов, токенов, аккаунтов служб и агентов искусственного интеллекта. Даже неполная карта лучше, чем полет вслепую. Не относитесь к бесчеловечным идентичностям как к гражданам второго сорта. Назначьте право собственности.
Дали внедрите политику минимальных привилегий и примените управление жизненным циклом к каждой идентичности, человеческой и бесчеловечной.
Затем:
- Устраните постоянные привилегии с помощью доступа «just-in-time».
- Используйте Cloud Infrastructure Entitlement Management (CIEM) для анализа и определения размера облачных прав.
- Отслеживайте аномалии поведения с помощью Identity Threat Detection & Response (ITDR).
- Введите единую платформу безопасности идентификации, которая интегрирует CIEM, ITDR, а также Privileged Access Management (PAM) для хранения и повышения привилегий конечных точек, а также Identity Governance & Administration (IGA) для управления жизненным циклом идентификации, сертификации прав и управления распределением обязанностей.
Это не просто «приятная» гигиена. Это фундаментальная безопасность.
Итак, спросите себя: сколько идентичностей существует сегодня в нашем окружении, о которых вы не знаете? Сколько из них больше доступа, чем им нужно? Сколько из них не использовались месяцами, но все еще могут быть использованы для нанесения реального ущерба?
Это и есть ваш идентификационный долг.
Независимо от того, признаете ли вы это или нет, вы уже платите за него. Начните его погашать, прежде чем придет срок уплаты процентов.
Источник: Identity debt is the hidden risk you’re already paying for
