Czym jest rozrost tożsamości?

Rozrost tożsamości to niekontrolowany wzrost cyfrowych tożsamości i kont w organizacji, prowadzący do zmniejszonej widoczności i zwiększonego ryzyka bezpieczeństwa. W miarę jak organizacje rozszerzają swoje środowiska chmurowe i wdrażają nowe aplikacje, liczba tożsamości cyfrowych rośnie szybciej niż można nimi właściwie zarządzać i zabezpieczać. Rozrost tożsamości wpływa zarówno na tożsamości osobowe, jak i tożsamości nieosobowe (NHI), w tym konta usługowe i agentów AI. Podczas gdy wykorzystanie NHI rośnie, wiele NHI nie jest sprawdzanych i zarządzanych tak regularnie, jak konta pracowników. Z biegiem czasu ten brak widoczności zwiększa ryzyko cyberataków opartych na tożsamości. Rozrostowi tożsamości często towarzyszy Rozrost danych uwierzytelniających, takich jak klucze API i tokeny, które mnożą się bez scentralizowanej kontroli.

Jak dochodzi do rozrostu tożsamości?

Rozrost tożsamości postępuje stopniowo, w miarę jak organizacje zwiększają skalę działalności, wdrażają usługi w chmurze i nowe technologie bez wdrażania scentralizowanych mechanizmów zarządzania tożsamościami i dostępem (IAM).

Szybka ekspansja

Adopcja chmury zmieniła sposób, w jaki organizacje zarządzają dostępem, umożliwiając wdrażanie nowych aplikacji w ciągu kilku minut. Jednak gdy organizacje przyjmują narzędzia SaaS bez scentralizowanych kontroli IAM, konta są tworzone poza zasięgiem widoczności zespołów bezpieczeństwa. Ta decentralizacja prowadzi do duplikatów kont, niespójnych kontroli dostępu i rozdrobnionych danych na różnych platformach. Shadow IT dodatkowo przyspiesza rozrost tożsamości; kiedy pracownicy używają narzędzi bez formalnej zgody, niezarządzane konta użytkowników i tożsamości rozszerzają powierzchnię ataku organizacji.

Niewystarczające zarządzanie cyklem życia tożsamości

Zarządzanie cyklem życia tożsamości (ILM) zapewnia użytkownikom odpowiedni dostęp po dołączeniu, zmianie roli lub opuszczeniu organizacji. Gdy procesy wdrażania i likwidowania kont są niespójne, bardziej prawdopodobny jest rozrost tożsamości. Kilka typowych problemów związanych z ILM obejmuje przyznawanie nadmiernego dostępu podczas wdrażania, brak cofnięcia dostępu, gdy pracownicy zmieniają role i opóźnianie offboardingu. Bez spójnego egzekwowania zasad i automatycznego przydzielania dostępu użytkownicy mogą zachować dostęp długo po opuszczeniu organizacji, stwarzając niepotrzebne ryzyko wśród aktywnych tożsamości.

Akumulacja kont uprzywilejowanych

Konta uprzywilejowane są często tworzone w celu wsparcia tymczasowych projektów, dostawców lub potrzeb operacyjnych. W miarę rozwoju organizacji konta te mogą prowadzić do zbyt wielu współdzielonych uprzywilejowanych danych uwierzytelniających, stałego dostępu do kluczowych systemów lub rzadkich przeglądów uprzywilejowanego dostępu. Jeśli konta uprzywilejowane nie są regularnie kontrolowane, stają się cennym celem dla cyberprzestępców. Rozrost tożsamości w uprzywilejowanych środowiskach znacznie zwiększa potencjalny wpływ naruszenia bezpieczeństwa danych.

Wzrost kont usługowych i tożsamości nieosobowych (NHI)

W środowiskach natywnych w chmurze NHI często przewyższa liczbę użytkowników. Potoki DevOps i narzędzia automatyzacji nieustannie tworzą nowe konta usługowe, aby umożliwić komunikację między maszynami. Ten wykładniczy wzrost wprowadza zagrożenia dla bezpieczeństwa, jeśli konta usług są zdecentralizowane, zakodowane na stałe dane uwierzytelniające są osadzone w skryptach lub tokeny nie są rotowane. Gdy dane logowania tożsamości nieosobowych (NHI) nie są monitorowane, rotowane ani zabezpieczone w scentralizowanym sejfie, stają się kluczowymi wektorami ataku dla cyberprzestępców. Ponieważ tożsamości nieosobowe (NHI) często działają bez udziału człowieka, ich zagrożony status może pozostać niezauważony przez dłuższy czas.

Rozrost tożsamości vs rozrost tajnych danych vs narastanie uprawnień

Rozrost tożsamości, rozrost tajnych danych i narastanie przywilejów są związane z bezpieczeństwem tożsamości, lecz stanowią różne zagrożenia dla bezpieczeństwa. Rozrost tożsamości koncentruje się na ekspansji tożsamości między systemami. Zwykle wynika to ze zdecentralizowanej adopcji SaaS, rozwoju chmury bez scentralizowanych kontroli IAM i tworzenia niezarządzanych kont. Głównym problemem związanym z rozrostem tożsamości jest objętość; zbyt wiele tożsamości istnieje w różnych środowiskach i mogą być nieaktywne lub słabo monitorowane. Na przykład, jeśli organizacja przyjmuje dziesiątki platform, z których każda wymaga własnych kont, z czasem może nagromadzić się tysiące tożsamości. Pomimo ich braku aktywności, tożsamości te rozszerzają powierzchnię narażenia na atak, ponieważ rośnie ich liczba ponad to, co może obejmować właściwe monitorowanie.

Mimo podobnej nazwy, zjawisko „rozrostu tajnych danych” odnosi się do niekontrolowanego rozprzestrzeniania się tajnych danych, w tym haseł, kluczy API i tokenów, w systemach. Do rozrostu tajnych danych dochodzi często wtedy, gdy dane uwierzytelniające są na stałe zakodowane w kodzie źródłowym, klucze API są przechowywane w plikach zwykłego tekstu lub tajne dane są udostępniane za pośrednictwem niezabezpieczonych metod, takich jak poczta e-mail. Głównym problemem związanym z rozrostem tajnych danych nie jest liczba tożsamości, lecz niekontrolowane rozproszenie danych uwierzytelniających, które umożliwiają dostęp. Każdy ujawniony lub niezarządzany sekret może umożliwić cyberprzestępcom bezpośredni dostęp do krytycznych systemów. Proszę pomyśleć o kluczu API osadzonym w repozytorium kodu i nigdy nierotowanym; cyberprzestępca może wykorzystać ten sekret, aby uzyskać dostęp do zasobów w chmurze bez narażania konta.

Natomiast zjawisko rozrostu uprawnień koncentruje się na przypisaniu zbyt dużego dostępu do określonej tożsamości. Zwykle występuje, gdy dostęp jest przyznawany, ale nigdy nie jest cofany z powodu zmian ról, projektów tymczasowych lub rzadkich przeglądów dostępu. Wraz ze wzrostem uprawnień, liczba tożsamości może być możliwa do opanowania, ale prawdziwy problem pojawia się, gdy poszczególne konta gromadzą szerszy dostęp niż to konieczne. Proszę sobie wyobrazić, że pracownik dołącza do zespołu marketingowego organizacji z dostępem do narzędzi CRM, ale ostatecznie przenosi się do działu operacyjnego i uzyskuje dostęp do krytycznych systemów. Ponieważ tożsamość pracownika nadal ma niepotrzebny dostęp do narzędzi CRM, naruszone konto może ujawnić poufne informacje poza zamierzonym zakresem.

Ryzyka bezpieczeństwa związane z nadmiernym rozrostem tożsamości

Ponieważ tożsamości mnożą się w różnych środowiskach, organizacje tracą widoczność i cierpią z powodu osłabionego zarządzania. Oto główne zagrożenia bezpieczeństwa związane z rozrostem tożsamości:

Jak zapobiegać nadmiernemu rozrostowi tożsamości

Zapobieganie nadmiernemu rozrostowi tożsamości wymaga od organizacji skupienia się na widoczności, zarządzaniu cyklem życia oraz egzekwowaniu dostępu o najmniejszych przywilejach zarówno dla tożsamości osobowych, jak i maszynowych.

Automatyczne wdrażanie i wycofywanie

Centralizacja zarządzania tożsamością za pomocą rozwiązania do zarządzania tożsamością i dostępem (IAM) ma kluczowe znaczenie dla kontrolowania rozwoju tożsamości. Organizacje powinny automatycznie przyznawać dostęp na podstawie ról i funkcji służbowych, korzystając z kontroli dostępu opartej na rolach (RBAC), zamiast ręcznie przyznawać szeroki dostęp. Automatyczne wycofywanie uprawnień (deprovisioning) jest równie ważne jak przydzielanie uprawnień, ponieważ dostęp powinien zostać odebrany natychmiast po odejściu pracownika z organizacji. Eliminując ręczne zarządzanie kontami, organizacje zmniejszają liczbę nieużywanych lub nadprzywilejowanych tożsamości.

Wdrożenie zarządzania tożsamościami i administracji (IGA)

Zarządzanie tożsamością i administracja (IGA) zapewnia, że dostęp pozostaje w miarę upływu czasu zgodny z potrzebami organizacji. Regularne przeglądanie dostępu pomaga potwierdzić, że użytkownicy zachowują tylko dostęp niezbędny do wykonywania bieżących zadań. IGA pomaga organizacjom zidentyfikować osierocone lub nieaktywne konta, zanim staną się lukami w zabezpieczeniach. Bez ciągłego zarządzania tożsamości wykraczają poza możliwości nadzoru i szybko przyczyniają się do rozrastania tożsamości.

Wymuszenie dostępu o najmniejszych uprawnieniach

W miarę możliwości organizacje powinny eliminować stały dostęp do krytycznych systemów poprzez egzekwowanie dostępu z najmniejszymi uprawnieniami i wdrażanie dostępu Just-in-Time (JIT). Zapewniając użytkownikom i systemom tylko minimalny niezbędny dostęp, organizacje mogą zmniejszyć ryzyko eskalacji uprawnień i zminimalizować wpływ naruszonego konta.

Bezpieczne konta uprzywilejowane

Zarządzanie dostępem uprzywilejowanym (PAM) odgrywa ważną rolę w zapobieganiu rozrostowi tożsamości do poważnego naruszenia danych. Konta uprzywilejowane należy zabezpieczać w zaszyfrowanym sejfie, z wymuszonym MFA dla wszystkich dostępów administracyjnych. Organizacje muszą monitorować i rejestrować uprzywilejowane sesje, aby zachować odpowiedzialność i pełną widoczność. Muszą również wymuszać automatyczną rotację danych uwierzytelniających, aby zmniejszyć narażenie i zapobiec niezabezpieczonemu udostępnianiu poświadczeń. Zabezpieczając uprzywilejowane tożsamości, organizacje zapobiegają przyczynianiu się nadmiernego dostępu do zagrożeń bezpieczeństwa związanych z rozrostem tożsamości.

Zarządzanie tożsamościami nieosobowymi i tajnymi danymi

W środowiskach chmurowych liczba NHI zwykle przewyższa liczbę użytkowników osobowych, więc zapobieganie rozrostowi tożsamości wymaga traktowania zarówno kont osobowych, jak i maszynowych z takim samym poziomem bezpieczeństwa. Organizacje powinny inwentaryzować konta usług, zabezpieczać tajne dane zamiast osadzać je w kodzie i automatycznie rotować sekrety. Konieczne jest stosowanie dostępu o najmniejszych uprawnieniach dla tożsamości osobowych i nieosobowych w celu wyeliminowania stałego dostępu i zagwarantowania, że uwierzytelnianie maszynowe nie wykracza poza odpowiednie kontrole. Obejmuje to zarządzanie danymi uwierzytelniającymi NHI, takimi jak klucze API, tokeny i certyfikaty, jako tajnymi danymi powiązanymi z tożsamością, z rotacją, określaniem zakresu i monitorowaniem.