Wat is een identiteit in cybersecurity?
- IAM-woordenlijst
- Wat is een identiteit in cybersecurity?
Een identiteit in cyberbeveiliging is een unieke set attributen die gebruikt wordt om een entiteit te vertegenwoordigen voor identificatie en authenticatie. Hoewel identiteit meestal wordt geassocieerd met gebruikersaccounts, kan een entiteit ook een machine, applicatie, service of AI-agent zijn. Elke entiteit vereist een eigen identiteit, zodat systemen deze kunnen herkennen en verifiëren, bepalen wat deze mag doen, tot welke bronnen deze toegang heeft en welke acties deze kan uitvoeren. Identiteit vormt in de cyberbeveiliging de basis voor twee belangrijke beveiligingsfuncties: authenticatie en autorisatie. Zonder een manier om identiteit vast te stellen, is noch authenticatie noch autorisatie mogelijk, waardoor identiteitsbeheer een cruciaal onderdeel van een beveiligingsstrategie is.
Waarom identiteiten belangrijk zijn binnen de cyberbeveiliging
Elk toegangsverzoek is gekoppeld aan een identiteit. Of een gebruiker zich aanmeldt bij een dienst, een applicatie een database raadpleegt of een script een proces uitvoert; elke identiteit wordt gebruikt om te bepalen of een verzoek kan worden geauthenticeerd en welke toegang moet worden geautoriseerd. Omdat een enkele gecompromitteerde identiteit toegang kan verlenen tot gevoelige informatie en kritieke systemen, zijn identiteiten zeer waardevolle doelwitten voor cybercriminelen.
De belangrijkste uitdaging is de wildgroei van identiteiten, dat wil zeggen de wildgroei van ongereguleerde identiteiten in on-premises, hybride en cloudomgevingen. Naarmate organisaties meer cloudservices en integraties met derden gebruiken, groeit het aantal identiteiten snel, waardoor het steeds moeilijker wordt om deze te controleren en te beheren. AI versnelt ook de groei van identiteiten binnen organisaties, vaak doordat IT- en beveiligingsteams geen inzicht hebben in het aantal identiteiten of hun explosieradius.
Verweesde accounts, te hoge machtigingen en onbewaakte serviceaccounts vergroten het aanvalsoppervlak. Aangezien identiteitsgerelateerde aanvallen zoals diefstal van aanmeldingsgegevens en phishing consequent tot de meest voorkomende aanvalsvectoren in de cyberbeveiliging behoren, moeten aanmeldingsgegevens worden beschermd om de veiligheid van identiteiten te waarborgen.
Welke eigenschappen vormen een identiteit in cybersecurity?
Een identiteit wordt gedefinieerd door een unieke reeks kenmerken waarmee systemen de ene entiteit kunnen herkennen, verifiëren en onderscheiden van de andere. Deze eigenschappen variëren afhankelijk van het type entiteit, maar enkele van de meest voorkomende zijn:
- Gebruikersnaam
- E-mailadres
- IP-adres
- Certificaten
- Cryptografische sleutels
- Gedragssignalen
- Rollen en machtigingen
- Groepslidmaatschappen
- Metadata
- Sessie-informatie
Geen enkel attribuut definieert een identiteit volledig. Wanneer deze kenmerken gezamenlijk worden beoordeeld, stellen ze beveiligingssystemen in staat om contextbewuste beslissingen te nemen door gedragsafwijkingen te signaleren, dynamische toegangscontroles af te dwingen en de afhankelijkheid van één enkele factor die kan worden vervalst of gecompromitteerd te verminderen.
Soorten identiteiten in cyberbeveiliging
Identiteiten in cyberbeveiliging gaan verder dan individuele gebruikersaccounts, aangezien elke entiteit die interactie heeft met een digitale omgeving een identiteit kan hebben. Deze entiteiten vallen in vier hoofdcategorieën:
- Menselijke identiteiten
- Niet-menselijke identiteiten (NHI's)
- Identiteiten van machines en applicaties
- Acties en bronnen
Menselijke identiteiten
Menselijke identiteiten vertegenwoordigen personen die zich authenticeren en rechtstreeks interactie hebben met systemen, waaronder werknemers, klanten, beheerders en gebruikers met beheerdersrechten. Deze identiteiten zijn doorgaans gekoppeld aan individuele aanmeldingsgegevens zoals gebruikersnamen en wachtwoorden en worden beheerd door identiteitsproviders (IdP's). Omdat menselijke identiteiten vaak het doelwit zijn van cyberaanvallen, vereisen ze sterke authenticatiecontroles en voortdurende monitoring.
Niet-menselijke identiteiten (NHI's)
NHI's zijn digitale identiteiten, inclusief serviceaccounts, applicaties, workloads, API's en AI-agenten. Deze identiteiten zijn doorgaans afhankelijk van aanmeldingsgegevens zoals API-sleutels, geheimen, tokens en certificaten om te authenticeren. In tegenstelling tot menselijke identiteiten werken NHI's over het algemeen continu op de achtergrond, waardoor beveiligingsteams ze makkelijk over het hoofd kunnen zien. Dit is precies wat ze zo gevaarlijk maakt: NHI's hebben vaak te veel rechten en blijven langdurig onbeheerd. Zonder goed bestuur worden NHI's toegangspunten voor cybercriminelen, om ongeautoriseerde toegang te krijgen, zich lateraal te verplaatsen en privileges te verhogen.
Identiteiten van machines en applicaties
Machine-identiteiten maken deel uit van de fysieke en virtuele infrastructuur die digitale omgevingen vormen. Servers, eindpunten en Internet of Things (IoT)-apparaten moeten worden geauthenticeerd voordat ze via een netwerk met elkaar kunnen communiceren. Applicatie-identiteiten omvatten de softwarelaag, inclusief databases, cloudservices en SaaS-platforms die zich regelmatig onderling authenticeren om te kunnen functioneren. Deze communicatie tussen diensten is een essentieel onderdeel van moderne cloudinfrastructuren, en identiteit is wat het veilig maakt. Zonder geauthenticeerde machine- en applicatie-identiteiten hebben organisaties geen betrouwbare manier om te garanderen dat alleen vertrouwde systemen gegevens uitwisselen.
Acties en bronnen als identiteitscontext
Acties en bronnen hebben niet dezelfde identiteit als gebruikers en machines, maar ze zijn wel gekoppeld aan identiteiten en toegangsbeleid. Acties zoals queries, uitvoeringen en netwerkverbindingen worden altijd uitgevoerd binnen de context van een identiteit, waarbij gedragscontext en records ontstaan die essentieel zijn voor dreigingsdetectie en naleving. Bronnen zoals bestanden, database-items en gedeelde schijven worden meestal beheerd door toegangsbeleid dat bepaalt welke identiteiten ermee kunnen interageren en wat zij kunnen doen. Samen bieden acties en bronnen de noodzakelijke contextuele en gedragsmatige lagen die systemen in staat stellen risico's te beoordelen, verdachte activiteiten te detecteren en strengere controles af te dwingen wanneer activiteiten afwijken van de norm.
Identiteit versus authenticatie versus autorisatie
Identiteit, authenticatie en autorisatie zijn weliswaar nauw verwant, maar het zijn drie afzonderlijke concepten die in volgorde werken om toegang in beveiligde systemen te regelen. Identiteit verwijst naar wie of wat een entiteit is, compleet met de reeks kenmerken die de entiteit definiëren. Authenticatie is de manier waarop die identiteit wordt geverifieerd, waarbij wordt bevestigd dat de entiteit is wie deze beweert te zijn door middel van een wachtwoord, certificaat of biometrische gegevens.
Multi-factor-authenticatie (MFA) versterkt dit door twee of meer van deze factoren te vereisen. Daarentegen is autorisatie wat de geverifieerde identiteit mag doen, zoals een bestand lezen maar niet wijzigen, of het uitvoeren van een specifieke actie. Samen vormen deze drie concepten de ruggengraat van toegangscontrole, en een storing in een van deze lagen kan de beveiliging van het hele systeem in gevaar brengen.
Hoe organisaties identiteiten beheren en beveiligen
Identiteitsbeheer is een cruciaal onderdeel van zero-trust beveiligingsmodellen. In plaats van brede toegang te verlenen op basis van netwerklocatie of een enkele aanmelding, gaat zero trust ervan uit dat geen enkele identiteit standaard vertrouwd mag worden, en vereist het continu verificatie van identiteiten en toegangsverzoeken. Identiteitsgebaseerde beveiliging maakt sterke praktijken voor identiteitsbeheer essentieel. Hieronder volgen enkele manieren waarop organisaties identiteiten kunnen beheren en beveiligen:
- Toegang met minimale privileges handhaven: Aan elke identiteit mogen alleen de minimaal noodzakelijke machtigingen worden toegekend. Het principe van minimale privileges moet op elk niveau worden toegepast en regelmatig worden gecontroleerd om machtigingen te verwijderen die niet langer nodig zijn en het risico op misbruik te verkleinen.
- MFA overal gebruiken: MFA vereist dat een entiteit haar identiteit verifieert aan de hand van twee of meer factoren. Het moet universeel worden toegepast, vooral op bevoorrechte accounts en gebruikers met externe toegang tot kritieke systemen.
- Privileged Access Management (PAM) implementeren: PAM-oplossingen bieden gecentraliseerde controle over geprivilegieerde accounts. Ze stellen organisaties in staat gedetailleerde toegangscontroles af te dwingen, aanvullende verificatie voor kritieke handelingen te verplichten en gedetailleerde auditlogs bij te houden.
- Aanmeldingsgegevens en geheimen automatisch roteren: Aanmeldingsgegevens die zelden of nooit veranderen, vormen aanhoudende kwetsbaarheden. Geautomatiseerde rotatie zorgt ervoor dat aanmeldingsgegevens en geheimen van alle identiteiten regelmatig worden bijgewerkt, waardoor de kanzen voor cybercriminelen beperkt worden.
- Sessieactiviteit monitoren en registreren: Continue sessiebewaking en registratie creëren een realtime logboek van wat identiteiten doen met hun toegang. In combinatie met gedragsanalyses stelt sessiemonitoring organisaties in staat om bedreigingen te identificeren die authenticatie omzeilen door gebruik te maken van legitieme maar gecompromitteerde aanmeldingsgegevens.
- Veilige machineidentiteiten en geautomatiseerde workflows: Machines hebben identiteiten die met dezelfde normen moeten worden beheerd als menselijke gebruikers. Organisaties moeten een volledige inventaris van machine-identiteiten bijhouden en ervoor zorgen dat geautomatiseerde workflows werken met machtigingen die regelmatig worden gecontroleerd.
- AI-agenten besturen: AI-agenten voeren steeds vaker autonoom query's uit aan systemen en interageren met infrastructuur. Daarom moeten ze worden beschouwd als afzonderlijke entiteiten die onderworpen zijn aan dezelfde regelgeving als andere entiteiten. Zonder een adequaat identiteitsbeheer voor AI-agenten lopen organisaties het risico dat zeer capabele identiteiten onbeheerd blijven, waardoor hun omgevingen in gevaar komen.