О чем вы узнаете
Большинство программ защиты идентификационных данных были разработаны для мира, которого уже не существует. Выявление идентификационных данных обнаруживает новые «слепые зоны»: там начинаются нарушения безопасности.
Если спросить руководителя службы информационной безопасности (CISO), не дающего ему спать ночью, ответ, как правило, не будет «недостатком инструментов». Это неопределенность.
Неопределенность по поводу того, чего они не видят.
Неопределенность по поводу того, как далеко может проникнуть злоумышленник, попав внутрь.
Неопределенность относительно того, действительно ли программы управления идентификацией снижают риск или только устраняют симптомы.
Выявление идентификационных данных лежит в основе этой неопределенности. Это не слишком привлекательная область. Ей не уделяют такого же внимания, как системам обнаружения на основе искусственного интеллекта или инициативам «нулевого доверия». Но именно она служит основой эффективного снижения рисков.
Без всестороннего обзора всех идентификационных данных в программе безопасности идентификационных данных имеют «слепые зоны». А именно в этих слепых зонах и начинаются нарушения безопасности.
Пробел в видимости в современной системе защиты идентификационных данных
Большинство программ защиты идентификационных данных разрабатывалось для более простого мира: централизованного каталога, четко определенного персонала и четкой границы между внутренней и внешней средой. Этого мира больше не существует.
Теперь рабочие нагрузки динамически перемещаются между мультиоблачными средами. Команды разработчиков развертывают инфраструктуру с помощью кода. Конвейеры CI/CD автоматически создают и удаляют ресурсы. Приложения SaaS распространяются по всем подразделениям. А сейчас агенты искусственного интеллекта и интеграции с большими речевыми моделями внедряются в производственные среды с беспрецедентной скоростью.
Каждое из этих изменений порождает новые идентичности.
И это касается не только пользователей-людей, но и служебных аккаунтов, ролей в облаке, идентичностей рабочих нагрузок, ключей API, токенов, сертификатов, ботов автоматизации и агентов на базе искусственного интеллекта. Эти идентичности создаются программно, часто с широкими правами доступа для обеспечения функциональности. Они дублируются в разных средах, наследуются через вложенные роли, а иногда остаются после завершения проектов.
Команды безопасности могут видеть отдельные элементы этой активности. Они подмечают новую роль в AWS. Они видят новый объект доступа в Entra. Они обнаруживают новую учетную запись Kubernetes. Но видеть, что что-то существует — это не то же, что понимать, на что оно способно.
Настоящий вопрос заключается не в том, «существует ли эта идентификация?», а в том, «к чему она имеет доступ — и к чему она может получить доступ в дальнейшем?»
Злоумышленники как раз и пользуются этой неоднозначностью. Современные изломы часто начинаются не с эксплойтов «нулевого дня». Они начинаются с украденных учетных данных или неправильно настроенных прав доступа. Далее злоумышленники двигаются в сторону, используя чрезмерные привилегии, доверительные отношения и пути наследования идентификационных данных, которые команды безопасности не смогли полностью проанализировать.
Если целью является снижение рисков, во главу угла должна получиться прозрачность.
Всплеск идентификационных данных носит структурный, а не временный характер
Масштаб проблемы идентификации не является постепенным. Он носит структурный характер.
По данным Delinea Labs, в 2025 году на одну человеческую учетную запись в среднем приходится примерно 46 бесчеловечных аккаунтов. Это соотношение кардинально изменяет подход организаций к рискам, связанным с идентификацией.
Число бесчеловечных объектов сейчас в разы превышает количество людей. К ним относятся объекты облачных рабочих нагрузок, учетные записи служб, скрипты автоматизации, токены API, контейнеры, боты RPA, а также все чаще агенты искусственного интеллекта, действующие полуавтономно. Они проходят аутентификацию, запрашивают ресурсы, обращаются к API и получают доступ к системам, содержащим конфиденциальную информацию, часто без непосредственного взаимодействия с человеком.
Однако многие организации до сих пор используют для управления набором устаревших инструментов. Система управления привилегированным доступом (PAM) отвечает за определенные административные аккаунты. Платформы IAM регулируют доступ сотрудников. Средства защиты конечных точек обеспечивают безопасность устройств. Инструменты выявление угроз идентичности и реагирование на них отслеживают подозрительную активность.
Каждое решение имеет свое предназначение. Но каждый из них также функционирует в своей изолированной системе. Нет единой общей платформы идентификации, где каждую идентичность — человека, машину и искусственный интеллект — можно было бы рассматривать в контексте.
Как следствие, организации не могут ответить на основные вопросы относительно рисков. Они переключаются между разными консолями. Они вручную согласовывают данные с разных платформ. Они пытаются объединить взаимосвязи доступа между облачными провайдерами и системами идентификации. Между тем, количество идентификационных учетных записей продолжает расти.
Проблема заключается не в отсутствии инструментов, а в отсутствии единого обзора ситуации.
Переход к видимости и освещению
Стратегическое выявление идентичности требует не только периодических проверок или статических инвентаризаций. Оно требует непрерывного и всестороннего охвата всего жизненного цикла идентичности.
Для этого организации должны, прежде всего, обеспечить полный охват идентичностей. Каждая идентичность — будь то ИТ-администратор, разработчик, обычный пользователь, учетная запись службы, идентичность рабочей нагрузки или агент искусственного интеллекта — должна быть определена сразу после создания. Видимость не может появляться через недели или месяцы после развертывания. Она должна быть мгновенной.
Однако самого обнаружения недостаточно. По каждому аккаунту организации должны понимать его состояние. Предоставлено ли ему чрезмерные привилегии? Является ли он устаревшим или неактивным? Не находится ли он без присмотра или не защищен? Нарушает ли он политику безопасности? Создает ли он риск горизонтального перемещения?
Анализ состояния превращает информацию об объектах в аналитические данные. Это позволяет руководителям служб безопасности определять приоритетность мер по устранению нарушений, опираясь на реальные риски, а не на предположения.
Во-вторых, видимость идентификационных данных должна распространяться на все гибридные среды. Современные предприятия используют мультиоблачные платформы, локальную инфраструктуру, экосистемы SaaS и конвейеры DevOps. Такие поставщики идентификационных услуг, как Okta, Ping и Microsoft Entra, используют собственные модели доступа и иерархии разрешений. Облачные провайдеры используют собственные структуры ролей и политик.
Без возможности видеть ситуацию в разных средах организации неправильно оценивают риски, поскольку видят только отдельные фрагменты. Одна учетная запись может выглядеть соответствующейм в одной системе, но иметь чрезмерные привилегии в другой. Идентификационные данные сервиса могут регулироваться в локальной среде, но оставаться без присмотра в облачной среде. Агент искусственного интеллекта может проходить аутентификацию через одного поставщика, но получать доступные права на нескольких платформах.
Настоящая гибридная видимость устраняет эти изолированные сегменты и обнаруживает полную атаку на идентификационные данные.
В-третьих, и это самое важное, организации должны понимать взаимосвязи между идентификационными данными. Риск заключается не только в отдельных аккаунтах — он заключается в том, как идентификационные данные связаны между собой.
Наследование прав доступа, заранее определенное членство в группах, отношения доверия, привязка политик и межучетные разрешения создают скрытые пути эскалации. Эти взаимосвязи часто остаются незаметными на традиционных информационных панелях.
Именно здесь графическое отображение идентификационных данных становится незаменимым.
График идентификаций отображает взаимосвязи между идентификациями и их связи с ресурсами, к которым они имеют доступ. Он показывает не только то, к чему идентификация имеет прямой доступ, но и то, к чему она имеет опосредованный доступ. Он показывает цепи эскалации, пути горизонтального перемещения и опасные ошибки в настройках идентификаций.
Это создает общую плоскость идентификаций – унифицированную модель, в которой идентификации, пути доступа и состояние безопасности отображаются в контексте.
Важно, что такая наглядность полезна не только специалистам по идентификации. Если график идентификации четко структурирован, им могут использовать команды SecOps при расследовании инцидентов, команды по управлению рисками при оценке уязвимостей, а также команды по соблюдению нормативных требований при проверке эффективности мер контроля. Это делает информацию об идентификации доступной для всех подразделений организации.
Вопросы безопасности идентификации на уровне совета директоров
Вопрос безопасности идентификации вышел на уровень совета директоров. По данным Gartner, 84% организаций рассматривают безопасность идентификации как вопрос, относящийся к компетенции совета директоров, а не как чисто технологическую проблему.
Руководство все чаще требует от руководителей служб информационной безопасности (CISO) количественной оценки киберрисков. Оно требует измеряемых показателей уровня уязвимости, прогресса и устойчивости. Оно стремится получить ясное представление о внедрении искусственного интеллекта и рисках, связанных с идентификацией машин. Оно ожидает не только технических пояснений, но и стратегического видения. Выявление идентификационных объектов позволяет руководителям служб информационной безопасности ответить на два ключевых вопроса по каждому идентификационному объекту в организации:
- К чему имеется доступ этот идентификационный объект?
- И к чему он получит доступ в будущем?
С течением времени права доступа изменяются. Роли скапливаются. Политики пересекаются. Системы искусственного интеллекта запрашивают дополнительные разрешения. Разработчики повторно используют учетные данные или жестко встраивают их в программы. Временный доступ становится неизменным. Без постоянного контроля над тем, как меняется доступ, организации не могут точно оценить последствия нарушения безопасности.
Членам совета директоров не обязательно понимать каждую техническую деталь. Однако им необходима уверенность, что риски, связанные с утечкой идентификационных данных, оцениваются, отслеживаются и со временем уменьшаются. Им нужны доказательства того, что проблема аккаунтов с чрезмерными правами решается. Им необходима прозрачность в отношении рисков, связанных с идентификационными данными машин и искусственного интеллекта. Им необходимо видеть, что ситуация с безопасностью идентификационных данных улучшается, а не остается на том же уровне.
Полная прозрачность состояния идентификации преобразует безопасность идентификации оперативного контроля в стратегическую дисциплину управления рисками.
Почему обнаружение должно быть на первом месте
Многие организации пытаются ввести принцип минимальных привилегий, ротировать секретные данные или развертывать средства обнаружения угроз, не обеспечив предварительно всестороннего обнаружения. Эти меры ценны, но без присмотра они неполны.
- Невозможно уменьшить чрезмерные привилегии, если не знать, где они есть.
- Невозможно устранить теневых администраторов, если их не видать.
- Невозможно управлять рисками, связанными с ИИ, если идентификационные данные ИИ не поддаются обнаружению.
Выявление идентификационных данных является необходимым условием для автоматизации, управления и получения значимых показателей. Оно устанавливает базовый уровень, выявляет пробелы, определяет приоритетность мер по устранению недостатков и предоставляет данные, необходимые для демонстрации прогресса со временем.
В среде угроз, которая все чаще характеризуется злоупотреблением учетными данными, а не эксплойтами программного обеспечения, прозрачность идентификационных данных не является дополнительной опцией. Это фундаментальное требование.
От неопределенности к стратегической уверенности
Руководители служб безопасности не нуждаются в новых инструментах. Им нужна ясность. Они хотят стоять перед своими советами директоров и уверенно говорить об уязвимости идентификационных данных, росте количества машинных идентификаторов, управлении искусственным интеллектом и измеренном снижении рисков.
Выявление идентичностей обеспечивает эту ясность.
Выявляя каждую идентичность человека, машины и ИИ, отражая взаимосвязи доступа в гибридных средах и отслеживая состояние безопасности со временем, организации создают единую плоскость идентичностей. В пределах этой плоскости риск становится видимым. А когда он становится видимым, им можно управлять.
Источник: Identity discovery: The overlooked lever in strategic risk reduction
