Czym jest tożsamość w cyberbezpieczeństwie?
- Słownik IAM
- Czym jest tożsamość w cyberbezpieczeństwie?
Tożsamość w cyberbezpieczeństwie to unikalny zestaw atrybutów wykorzystywany do reprezentowania podmiotu na potrzeby identyfikacji i uwierzytelniania. Choć pojęcie tożsamości jest zwykle kojarzone z kontami użytkowników, podmiotem może być również maszyna, aplikacja, usługa lub agent AI. Każdy z nich wymaga własnej tożsamości, aby systemy mogły go rozpoznać i zweryfikować, określić, do czego jest uprawniony, do jakich zasobów może uzyskać dostęp i jakie działania może wykonywać. Tożsamość w cyberbezpieczeństwie stanowi podstawę dwóch głównych funkcji bezpieczeństwa: uwierzytelniania i autoryzacji. Bez możliwości ustalenia tożsamości nie jest możliwe ani uwierzytelnianie, ani autoryzacja, dlatego zarządzanie tożsamościami jest kluczowym elementem strategii bezpieczeństwa.
Dlaczego tożsamości są ważne w cyberbezpieczeństwie?
Każde żądanie dostępu jest powiązane z tożsamością. Bez względu na to, czy użytkownik loguje się do usługi, aplikacja wysyła zapytanie do bazy danych, czy skrypt wykonuje proces, tożsamość służy do określenia, czy żądanie może zostać uwierzytelnione i jaki poziom dostępu może zostać autoryzowany. Ponieważ przejęcie pojedynczej tożsamości może zapewnić dostęp do poufnych informacji i krytycznych systemów, tożsamości stanowią bardzo wartościowy cel dla cyberprzestępców.
Głównym wyzwaniem jest rozrost liczby tożsamości (identity sprawl), czyli proliferacja niezarządzanych tożsamości w środowiskach lokalnych, hybrydowych i chmurowych. W miarę wdrażania kolejnych usług chmurowych i integracji z rozwiązaniami zewnętrznymi liczba tożsamości szybko rośnie, co utrudnia ich monitorowanie i zarządzanie. AI również przyspiesza wzrost liczby tożsamości w organizacjach, często przy ograniczonej widoczności zespołów IT i bezpieczeństwa co do liczby tych tożsamości oraz potencjalnej skali szkód, jakie mogą spowodować.
Osierocone konta, nadmiernie rozbudowane uprawnienia i niemonitorowane konta usługowe zwiększają powierzchnię ataku. Ponieważ ataki oparte na tożsamościach, takie jak kradzież danych uwierzytelniających i phishing, niezmiennie należą do najczęściej wykorzystywanych wektorów ataku w cyberbezpieczeństwie, dane uwierzytelniające muszą być odpowiednio chronione, aby zapewnić bezpieczeństwo tożsamości.
Jakie atrybuty składają się na tożsamość w cyberbezpieczeństwie?
Tożsamość jest definiowana przez unikalny zestaw cech umożliwiających systemom rozpoznanie, weryfikację i odróżnienie jednego podmiotu od drugiego. Atrybuty te różnią się w zależności od rodzaju podmiotu, jednak do najczęściej spotykanych należą:
- Nazwa użytkownika
- Adres e-mail
- Adres IP
- Certyfikaty
- Klucze kryptograficzne
- Sygnały behawioralne
- Role i uprawnienia
- Członkostwo w grupie
- Metadane
- Informacje o sesji
Żaden pojedynczy atrybut nie definiuje w pełni tożsamości. Analizowane łącznie pozwalają systemom bezpieczeństwa podejmować decyzje uwzględniające kontekst poprzez wykrywanie anomalii behawioralnych, egzekwowanie dynamicznych mechanizmów kontroli dostępu oraz ograniczanie zależności od pojedynczego czynnika, który mógłby zostać podrobiony lub skompromitowany.
Rodzaje tożsamości w cyberbezpieczeństwie
Tożsamości w cyberbezpieczeństwie nie ograniczają się do indywidualnych kont użytkowników, ponieważ tożsamość może posiadać każdy podmiot wchodzący w interakcję ze środowiskiem cyfrowym. Podmioty te można podzielić na cztery główne kategorie:
- Tożsamości osobowe
- Tożsamości nieosobowe (NHI)
- Tożsamość maszyn i aplikacji
- Działania i zasoby
Tożsamości osobowe
Tożsamości osobowe reprezentują osoby uwierzytelniające się i bezpośrednio korzystające z systemów, w tym pracowników, klientów, administratorów i użytkowników uprzywilejowanych. Tożsamości te są zazwyczaj powiązane z indywidualnymi danymi uwierzytelniającymi, takimi jak nazwy użytkowników i hasła, oraz zarządzane przez dostawców tożsamości (IdP). Ponieważ tożsamości osobowe są częstym celem cyberataków, wymagają silnych mechanizmów uwierzytelniania i ciągłego monitorowania.
Tożsamości nieosobowe (NHI)
Tożsamości nieosobowe obejmują tożsamości cyfrowe, takie jak konta usługowe, aplikacje, obciążenia robocze, interfejsy API i agenci AI. Do uwierzytelniania wykorzystują zwykle dane uwierzytelniające, takie jak klucze API, tajne dane, tokeny i certyfikaty. W przeciwieństwie do tożsamości osobowych tożsamości nieosobowe działają zazwyczaj nieprzerwanie w tle, przez co zespoły bezpieczeństwa często je przeoczają. To właśnie czyni je tak niebezpiecznymi – tożsamości nieosobowe często posiadają nadmierne uprawnienia i pozostają niezarządzane przez długi czas. Bez odpowiedniego nadzoru NHI stają się one punktami wejścia dla cyberprzestępców, umożliwiającymi nieautoryzowany dostęp, przemieszczanie się pomiędzy systemami i eskalację uprawnień.
Tożsamość maszyn i aplikacji
Tożsamości maszyn stanowią element fizycznej i wirtualnej infrastruktury tworzącej środowiska cyfrowe. Serwery, punkty końcowe i urządzenia Internetu rzeczy (IoT) muszą zostać uwierzytelnione, zanim będą mogły komunikować się za pośrednictwem sieci. Tożsamości aplikacji obejmują warstwę oprogramowania, w tym bazy danych, usługi chmurowe i platformy SaaS, które regularnie uwierzytelniają się wzajemnie, aby mogły prawidłowo funkcjonować. Taka komunikacja między usługami stanowi kluczowy element nowoczesnej infrastruktury chmurowej, a bezpieczeństwo zapewnia właśnie mechanizm tożsamości. Bez uwierzytelnionych tożsamości maszyn i aplikacji organizacje nie mają wiarygodnego sposobu zagwarantowania, że dane są wymieniane wyłącznie pomiędzy zaufanymi systemami.
Działania i zasoby jako kontekst tożsamości
Działania i zasoby nie posiadają tożsamości w taki sam sposób jak użytkownicy czy maszyny, ale są powiązane z tożsamościami i zasadami dostępu. Działania, takie jak zapytania, wykonywanie procesów czy połączenia sieciowe, są zawsze realizowane w kontekście określonej tożsamości, tworząc kontekst behawioralny i rejestry zdarzeń niezbędne do wykrywania zagrożeń oraz zapewnienia zgodności. Zasoby, takie jak pliki, wpisy w bazach danych i współdzielone dyski, są zwykle objęte zasadami dostępu określającymi, które tożsamości mogą z nich korzystać i jakie działania mogą wykonywać. Łącznie działania i zasoby zapewniają niezbędny kontekst oraz warstwę behawioralną, które pozwalają systemom oceniać ryzyko, wykrywać podejrzaną aktywność i egzekwować bardziej rygorystyczne mechanizmy kontroli, gdy zachowanie odbiega od normy.
Tożsamość a uwierzytelnianie a autoryzacja
Choć są ze sobą ściśle powiązane, tożsamość, uwierzytelnianie i autoryzacja to trzy odrębne pojęcia, które działają sekwencyjnie w celu kontrolowania dostępu w bezpiecznych systemach. Tożsamość odnosi się do tego, kim lub czym jest dany podmiot, wraz z zestawem atrybutów, które go definiują. Uwierzytelnianie to proces weryfikacji tej tożsamości, potwierdzający, że podmiot jest tym, za kogo się podaje, za pomocą hasła, certyfikatu lub danych biometrycznych.
Uwierzytelnianie wieloskładnikowe (MFA) wzmacnia ten proces, wymagając zastosowania co najmniej dwóch takich czynników. Autoryzacja natomiast określa, co zweryfikowana tożsamość może robić, na przykład odczytywać plik bez możliwości jego modyfikowania lub wykonywać określone działanie. Te trzy koncepcje wspólnie stanowią podstawę kontroli dostępu, a niepowodzenie na którymkolwiek z tych poziomów może zagrozić bezpieczeństwu całego systemu.
Jak organizacje zarządzają i zabezpieczają tożsamości
Zarządzanie tożsamościami jest kluczowym elementem modeli bezpieczeństwa zero-trust. Zamiast przyznawać szeroki dostęp na podstawie lokalizacji sieciowej lub pojedynczego logowania, model zero-trust zakłada, że żadnej tożsamości nie należy ufać domyślnie, i wymaga ciągłej weryfikacji tożsamości oraz żądań dostępu. Bezpieczeństwo oparte na tożsamości sprawia, że skuteczne zarządzanie tożsamościami staje się niezbędne. Poniżej przedstawiono kilka sposobów zarządzania i zabezpieczania tożsamości przez organizacje:
- Wymuszenie dostępu o najmniejszych uprawnieniach: Każdej tożsamości należy przyznawać wyłącznie minimalny zakres uprawnień niezbędnych do wykonywania jej zadań. Zasada najmniejszych uprawnień powinna być egzekwowana na każdym poziomie i regularnie weryfikowana w celu usuwania uprawnień, które nie są już potrzebne, oraz ograniczania ryzyka nadużyć.
- Stosowanie MFA wszędzie: MFA wymaga od podmiotu potwierdzenia swojej tożsamości przy użyciu dwóch lub większej liczby czynników. Powinno być stosowane powszechnie, zwłaszcza w przypadku kont uprzywilejowanych i użytkowników zdalnie uzyskujących dostęp do krytycznych systemów.
- Wdrożenie zarządzania dostępem uprzywilejowanym (PAM): Rozwiązania PAM zapewniają scentralizowaną kontrolę nad kontami uprzywilejowanymi. Pozwalają organizacjom egzekwować szczegółowe kontrole dostępu, nakładać obowiązek dodatkowej weryfikacji dla krytycznych operacji oraz utrzymywać szczegółowe ścieżki audytu.
- Automatyczna rotacja danych uwierzytelniających i tajnych danych: Dane uwierzytelniające, które są rzadko zmieniane lub nie są zmieniane nigdy, stanowią trwałe podatności. Automatyczna rotacja zapewnia regularną aktualizację danych uwierzytelniających i tajnych danych dla wszystkich tożsamości, ograniczając okno możliwości dla cyberprzestępców.
- Monitorowanie i rejestrowanie aktywności sesji Ciągłe monitorowanie i rejestrowanie sesji tworzy dziennik w czasie rzeczywistym pokazujący, w jaki sposób tożsamości wykorzystują przyznany dostęp. W połączeniu z analizą behawioralną monitorowanie sesji umożliwia organizacjom identyfikowanie zagrożeń, które omijają mechanizmy uwierzytelniania poprzez wykorzystanie legalnych, lecz skompromitowanych danych uwierzytelniających.
- Zabezpieczanie tożsamości maszyn i zautomatyzowanych procesów Maszyny posiadają tożsamości, które powinny podlegać takim samym zasadom zarządzania jak tożsamości użytkowników. Organizacje powinny utrzymywać pełny wykaz tożsamości maszyn oraz zapewniać, że zautomatyzowane procesy działają w oparciu o regularnie audytowane uprawnienia.
- Zarządzanie agentami AI: Agenci AI coraz częściej samodzielnie wysyłają zapytania do systemów i wchodzą w interakcje z infrastrukturą, dlatego należy traktować ich jako odrębne tożsamości podlegające takim samym zasadom zarządzania jak inne podmioty. Bez odpowiedniego nadzoru nad tożsamościami agentów AI organizacje ryzykują pozostawienie bez kontroli bardzo zaawansowanych tożsamości, co może zagrozić bezpieczeństwu ich środowisk.