Защита идентификационных данных стала главным приоритетом для служб безопасности. Однако многие организации остаются незащищенными из-за «слепых зон», вызванных разрастанием идентификационных данных и неоправданным доверием к поставщикам идентификационных данных. Прочитав эту статью, вы узнаете, почему традиционные меры безопасности оказываются недостаточными, как злоумышленники, управляемые искусственным интеллектом, усиливают угрозы идентификации и почему проактивный подход, ориентированный на идентификацию, – единственный путь вперед.
Ситуация с безопасностью идентификации изменилась – не только потому, что злоумышленники изобретают новые эксплойты, но и потому, что мы непреднамеренно облегчили им работу. Разрастание идентификационных данных широко распахнуло двери, фактически предоставив злоумышленникам собственный «золотой билет» – на то, что, возможно, является самым ценным активом организации: ее идентификационные данные.
Помните времена, когда сотруднику требовался всего один корпоративный логин и несколько разрешений для доступа к приложениям и ресурсам, необходимым для выполнения работы? Сегодня каждый сотрудник, подрядчик, сервисная учетная запись и даже каждое IoT-устройство опутаны сложной паутиной разрешений, распространяющихся через множество поставщиков идентификационных данных (IDP), охватывающих службы каталогов, такие как Microsoft Active Directory (AD) и Entra ID, облачные службы, приложения SaaS и средства удаленного доступа. Развитие IoT еще больше усугубило эту проблему, поскольку появились машинные идентификаторы, которые беспрепятственно взаимодействуют в этих средах, увеличивая как сложность эксплуатации, так и риски безопасности.
По данным отчета Identity Defined Security Alliance «2024 Trends in Identity Security» («Тенденции в области безопасности идентификационных данных»), 57 % специалистов по безопасности называют это одной из основных проблем для организаций. Поскольку организации все больше полагаются на многочисленные решения по управлению идентификацией и доступом (IAM) для навигации по сложным гибридным и мультиоблачным средам, каждое новое решение добавляет еще один уровень разрешений, еще одно место, где идентификационные данные могут быть использованы, и еще одну дверь для злоумышленников.
В чем проблема? Идентификация – путь наименьшего сопротивления.
Зачем взламывать систему, если можно войти в нее?
Кража учетных данных и повышение привилегий – основа современных атак. Латеральное перемещение – когда злоумышленник незаметно переходит от системы к системе, используя легитимные учетные данные, – стало одной из самых трудно обнаруживаемых угроз. Почему? Потому что это выглядит как обычная работа.
Почему злоумышленники атакуют личные данные?
Помимо того, что фишинг широко эффективен, есть три основные причины.
- Устойчивость – взломав учетную запись, злоумышленники могут сохранять доступ к ней в течение длительного времени, часто оставаясь незамеченными.
- Скрытность – вход в систему с действительными учетными данными не вызывает тревоги, как это делает вредоносное ПО.
- Эскалация – один непривилегированный пользователь может стать первым домино в цепочке эскалации привилегий.
Злоумышленники не просто используют идентификационные данные – они эксплуатируют их для получения долгосрочного доступа с помощью новых инструментов искусственного интеллекта. Теперь у злоумышленников есть возможность автоматизировать атаки на основе учетных данных, что позволяет им прочно удерживаться в сетях, действовать скрытно и повышать привилегии, не вызывая традиционных сигналов тревоги. Кража учетных данных, фишинг и вброс учетных данных становятся все более масштабным оружием, что позволяет злоумышленникам проникать в среду, смешиваться с легитимными пользователями и расширять свои позиции до обнаружения. Без проактивной защиты идентификационных данных организации остаются слепыми к этим бесшумным вторжениям, пока не становится слишком поздно.
Почему именно сейчас? Кризис идентификации достиг переломного момента
Большинство организаций сегодня полагаются на несколько IDP для управления сложными облачными и удаленными рабочими средами. Однако многие полагают, что безопасностью идентификации «занимается» их поставщик идентификационных данных – будь то Active Directory, Entra ID или другое решение IAM. В действительности IDP предназначены в первую очередь для аутентификации и контроля доступа, а не для комплексной защиты. Это ложное чувство безопасности часто приводит к бездействию, оставляя организации уязвимыми к неправильной конфигурации, бесхозным учетным записям и чрезмерным разрешениям – все это значительно расширяет поверхность атаки для компрометации учетных данных.
Стремительное внедрение облачных технологий, SaaS, удаленной работы и IoT превратило безопасность идентификации в кошмар для защитников
Давайте посмотрим правде в глаза: AD была разработана для локальных сред более 25 лет назад, а Entra ID эволюционировала для управления идентификацией в облаке, но ни одна из этих систем не была создана для работы с масштабом и сложностью современного гибридного ландшафта идентификации, состоящего из нескольких облаков. Каждый инструмент, связанный с идентификацией, играет свою роль, но ни один из них сам по себе не является полноценным решением.
Технология управления привилегированным доступом (PAM) помогает защитить ценные учетные записи, но не дает представления о более широком ландшафте идентификации. Технологии управления идентификацией (IGA) обеспечивают соблюдение политик, но не позволяют выявлять риски в режиме реального времени. Продукты для обнаружения и реагирования на угрозы идентификации (ITDR) могут выявлять угрозы, но зачастую слишком поздно – к тому моменту, когда срабатывает оповещение, ущерб уже нанесен. Без единого подхода командам безопасности приходится устранять пробелы, а не проактивно управлять рисками идентификации.
Проактивная защита идентификационных данных: Дальнейшие действия
Команды безопасности не могут продолжать играть в обороне. Пришло время взять ситуацию под контроль, тем более что злоумышленники все больше усиливают свои усилия за счет автоматизации на основе искусственного интеллекта. Согласно отчету Национального центра кибербезопасности Великобритании (NCSC) «Влияние искусственного интеллекта на киберугрозы в ближайшем будущем», кибератаки будут расти в объеме и по мере того, как хакеры будут использовать искусственный интеллект. В результате угрозы, основанные на идентификации, станут еще более масштабируемыми и эффективными для злоумышленников. Даже такие инструменты с открытым исходным кодом, как BloodHound, изначально созданные для того, чтобы помочь защитникам составить карту связей Active Directory, стали бесценными для злоумышленников. Как же опередить злоумышленников?
Гигиена IAM – это не просто оперативная задача, а одно из основных требований безопасности. В недавнем отчете CISA «Обнаружение и смягчение последствий компрометации Active Directory» подчеркивается опасность недостаточной гигиены IAM и рисков, связанных с неправильной конфигурацией, избыточными разрешениями и устаревшими методами обеспечения безопасности. Без упреждающих мер безопасности злоумышленники могут использовать слабые места в идентификационных данных, чтобы добиться устойчивости и перемещаться в сети. Организациям необходимо сосредоточиться на постоянном мониторинге, своевременном устранении неполадок и обеспечении наименьших привилегий для снижения этих рисков и укрепления защиты идентификационных данных.
Для решения этих проблем организации должны применять проактивный подход, включающий следующие ключевые стратегии:
- Устранение «слепых зон» – нам нужны инструменты, объединяющие все идентификационные данные в единое хранилище, объединяющее локальные и облачные идентификационные данные. Больше не нужно гадать, какие учетные записи являются федеративными или какие учетные записи служб имеют чрезмерные привилегии.
- Внедрение оценки рисков на основе ИИ – злоумышленники используют ИИ для поиска слабых звеньев. Нам нужно, чтобы ИИ давал отпор, динамически оценивая риски идентификации на основе слабых мест, связанных устройств, прав, неправильной конфигурации и уровней привилегий.
- Реализуйте практические меры по исправлению ситуации – недостаточно знать, что личность относится к категории высокого риска. Командам безопасности и IAM необходим общий язык, чтобы действовать в соответствии с этим. Это означает, что необходимо иметь представление о вариантах исправления ситуации, затратах и приоритетах, поскольку не все идентификационные данные требуют немедленного исправления, но некоторые из них являются срочными.
Будущее безопасности идентификации с Tenable
Именно поэтому Tenable создает Identity 360 и Exposure Center, предоставляя организациям проактивный контроль над рисками идентификации. Identity 360 обеспечивает комплексное представление идентификационных данных, включая учетные записи, устройства, права, группы и роли, и использует передовой искусственный интеллект для оценки и количественного определения связанных с ними рисков. Exposure Center дает командам безопасности возможность получать полезные сведения и направлять шаги по исправлению ситуации, помогая им определять приоритеты и эффективно устранять угрозы идентификации. Identity 360 обеспечивает комплексное представление ваших идентификационных данных – учетных записей, устройств, прав доступа, групп, ролей и т. д. – и использует передовой искусственный интеллект для расчета рисков, которые они представляют. В то же время Exposure Center позволяет командам безопасности определять приоритеты и устранять угрозы идентификации с помощью практических выводов и рекомендаций. И мы не останавливаемся на достигнутом. Интегрировав данные об идентификационной безопасности в платформу Tenable One Exposure Management Platform, мы предоставляем руководителям служб безопасности расширенный анализ путей атак и сигналы воздействия, позволяя им предвидеть угрозы, думать как злоумышленник и проактивно блокировать риски до их эскалации.
Темпы распространения угроз идентификации не замедляются, а ускоряются. Организации, которые не реагируют на угрозы, будут продолжать играть в догонялки, пока злоумышленники используют их «слепые пятна». Но благодаря проактивным стратегиям безопасности, единой видимости и интеллектуальной оценке рисков мы можем переломить ситуацию. Поле битвы меняется. Пришло время взять под контроль идентификационные данные вашей организации.
Источник: Identity Is the New Battleground: Why Proactive Security Is the Way Forward
