Что такое идентичность в кибербезопасности?
- Глоссарий IAM
- Что такое идентичность в кибербезопасности?
В кибербезопасности идентификация — это уникальный набор атрибутов, используемый для представления сущности в целях идентификации и аутентификации. Хотя идентификация обычно связана с учетными записями пользователей, сущностью также может быть машина, приложение, сервис или агент искусственного интеллекта. Каждому из них необходима собственная идентификация, чтобы системы могли распознавать и проверять его, определять, что ему разрешено делать, к каким ресурсам он имеет доступ и какие действия он может выполнять. Идентификация в кибербезопасности создает основу для двух основных функций безопасности: аутентификации и авторизации. Без возможности установить идентификацию невозможно ни аутентификация, ни авторизация, что делает управление идентификацией важнейшей частью стратегии безопасности.
Почему идентичности важны в кибербезопасности
Каждый запрос на доступ привязан к личности. Независимо от того, входит ли пользователь в сервис, приложение делает запрос к базе данных или скрипт выполняет процесс, каждая личность используется для определения возможности аутентификации запроса и авторизации доступа. Поскольку одна скомпрометированная учетная запись может предоставить доступ к конфиденциальной информации и критически важным системам, учетные записи являются очень ценными целями для киберпреступников.
Основной проблемой является распространение идентичностей, то есть распространение неуправляемых идентичностей в локальных, гибридных и облачных средах. По мере того, как организации внедряют всё больше облачных сервисов и сторонних интеграций, количество учетных записей стремительно растет, что делает их всё более сложными для контроля и управления. ИИ также ускоряет рост количества идентичностей в организациях, при этом ИТ-отделы и службы безопасности часто не имеют представления о количестве идентичностей и радиусе поражения.
Осиротевшие учетные записи, избыточно предоставленные права доступа и неконтролируемые служебные учетные записи расширяют поверхность атаки. Поскольку атаки, основанные на идентичности, такие как кража учетных данных и фишинг, неизменно входят в число наиболее распространенных векторов атак в кибербезопасности, учетные данные должны быть защищены, чтобы обеспечить безопасность идентичностей.
Какие атрибуты составляют идентичность в кибербезопасности?
Идентичность определяется уникальным набором характеристик, позволяющих системам распознавать, проверять и отличать одну сущность от другой. Эти атрибуты зависят от типа сущности, но некоторые из наиболее распространенных включают:
- Имя пользователя
- Адрес эл. почты
- IP-адрес
- Сертификаты
- Криптографические ключи
- Поведенческие сигналы
- Роли и права доступа
- Членство в группах
- Метаданные
- Информация о сеансе
Ни один отдельный атрибут не определяет личность в полной мере. При совокупной оценке эти атрибуты позволяют системам безопасности принимать решения с учетом контекста, отмечая поведенческие аномалии, применяя динамические контроли доступа и снижая зависимость от одного фактора, который может быть подделан или скомпрометирован.
Типы идентификации в кибербезопасности
В сфере кибербезопасности идентичности выходят за пределы отдельных учетных записей пользователей, поскольку любой субъект, взаимодействующий с цифровой средой, может иметь свою идентичность. Эти объекты делятся на четыре основные категории:
- Человеческие идентичности
- Нечеловеческие идентичности (NHI)
- Идентификаторы машин и приложений
- Действия и ресурсы
Человеческие идентичности
Идентификаторы пользователей представляют собой людей, которые проходят аутентификацию и непосредственно взаимодействуют с системами, включая сотрудников, клиентов, администраторов и привилегированных пользователей. Эти идентичности обычно связаны с индивидуальными учетными данными, такими как имена пользователей и пароли, и регулируются поставщиками идентичностей (IdP). Поскольку человеческие идентичности часто становятся целью кибератак, необходимы надежные средства аутентификации и постоянный мониторинг.
Нечеловеческие идентичности (NHI)
NHI — это цифровые идентичности, включая учетные записи служб, приложения, рабочие нагрузки, API и агентов искусственного интеллекта. Для аутентификации этих идентичностей обычно используются учетные данные, такие как ключи API, секреты, токены и сертификаты. В отличие от человеческих идентичностей, NHI обычно работают непрерывно в фоновом режиме, из-за чего командам безопасности проще их пропустить. Именно это делает их такими опасными: NHI склонны иметь избыточные права и долгое время оставаться без контроля. Без надлежащего управления NHI становятся точками входа для киберпреступников, позволяющими им незаметно получать несанкционированный доступ, перемещаться внутри сети и повышать свои привилегии.
Идентификаторы машин и приложений
Машинные идентичности являются частью физической и виртуальной инфраструктуры, составляющей цифровые среды. Серверы, конечные точки и устройства интернета вещей (IoT) должны быть аутентифицированы, прежде чем они смогут общаться по сети. Идентичности приложений охватывают программный уровень, включая базы данных, облачные сервисы и платформы SaaS, которые регулярно аутентифицируются друг перед другом для обеспечения своей работы. Взаимодействие между сервисами является ключевой частью современной облачной инфраструктуры, и именно идентичность обеспечивает его безопасность. Без аутентифицированных идентичностей машин и приложений у организаций нет надежного способа гарантировать, что обмен данными происходит только между доверенными системами.
Действия и ресурсы как контекст идентичности
Действия и ресурсы не имеют идентификаций так же, как пользователи и машины, но они связаны с идентификациями и политиками доступа. Такие действия, как запросы, выполнение команд и сетевые подключения, всегда осуществляются в контексте идентичности, создавая поведенческий контекст и записи, которые необходимы для обнаружения угроз и обеспечения соответствия требованиям. Ресурсы, такие как файлы, записи в базах данных и общие диски, обычно регулируются политиками доступа, которые определяют, какие идентичности могут взаимодействовать с ними и какие действия они могут выполнять. Вместе действия и ресурсы обеспечивают необходимые контекстуальные и поведенческие уровни, позволяющие системам оценивать риски, выявлять подозрительную активность и ужесточать контроль при отклонениях от нормы.
Идентичность, аутентификация и авторизация
Несмотря на тесную взаимосвязь, идентичность, аутентификация и авторизация — это три отдельных понятия, которые последовательно регулируют доступ в защищенных системах. Под идентичностью понимается то, кто или что представляет собой сущность, включая набор атрибутов, которые ее определяют. Аутентификация — это способ подтверждения подлинности личности, который удостоверяет, что субъект является тем, за кого себя выдает, посредством пароля, сертификата или биометрических данных.
Многофакторная аутентификация (MFA) усиливает это, требуя двух или более из этих факторов. В отличие от этого, авторизация — это то, что разрешено делать подтвержденной личности, например, прочитать файл, но не изменять его, или выполнить определенное действие. Вместе эти три концепции составляют основу управления доступом, и сбой на любом из уровней может поставить под угрозу безопасность всей системы.
Как организации управляют идентификационными данными и защищают их
Управление идентичностями является важнейшей частью моделей безопасности, основанных на принципе нулевого доверия. Вместо предоставления широкого доступа на основе расположения сети или одного входа, модель нулевого доверия предполагает, что по умолчанию никакой идентичности нельзя доверять и требует постоянной проверки идентичностей и запросов на доступ. Безопасность, основанная на идентичности, делает необходимыми надежные методы управления идентификацией. Вот несколько способов, с помощью которых организации могут управлять идентичностями и обеспечивать их безопасность:
- Доступ по принципу наименьших привилегий: Каждому пользователю следует предоставлять только минимально необходимые права доступа. Принцип наименьших привилегий должен применяться на каждом уровне и регулярно пересматриваться для удаления ненужных разрешений и снижения риска эксплуатации.
- Повсеместное использование многофакторной аутентификации: Многофакторная аутентификация требует, чтобы организация подтвердила свою личность с помощью двух или более факторов. Он должен применяться универсально, особенно для привилегированных учетных записей и пользователей с удаленным доступом к критически важным системам.
- Внедрение управления привилегированным доступом (PAM): Решения PAM обеспечивают централизованный контроль над привилегированными учетными записями. Они позволяют организациям обеспечивать гранулированный контроль доступа, требовать дополнительной проверки критически важных операций и вести подробные журналы аудита.
- Автоматическая ротация учетных данных и секретов: Учетные данные, которые редко или никогда не меняются, являются постоянными уязвимостями. Автоматическое обновление обеспечивает регулярное обновление учетных данных и секретов для всех учетных записей, ограничивая окно возможностей для киберпреступников.
- Отслеживание и запись активности сессий: Непрерывное отслеживание и запись сессий создают журнал в реальном времени о действиях пользователей с их доступом. В сочетании с поведенческой аналитикой мониторинг сессий позволяет организациям выявлять угрозы, которые обходят аутентификацию, используя легитимные, но скомпрометированные учетные данные.
- Защищенные идентичности машин и автоматизированные рабочие процессы: Машины имеют идентичности, которые должны управляться по тем же стандартам, что и идентичности пользователей. Организациям следует вести полный учет машинных идентичностей и обеспечивать работу автоматизированных рабочих процессов в рамках разрешений, которые регулярно проходят аудит.
- Управление ИИ-агентами: Всё чаще ИИ-агенты самостоятельно запрашивают информацию у систем и взаимодействуют с инфраструктурой, поэтому их следует рассматривать как отдельные сущности, подчиняющиеся тем же правилам управления, что и другие объекты. Без надлежащего управления идентичностями ИИ-агентов организации рискуют оставить высокоэффективные личности без контроля, что поставит под угрозу их среду.