Что такое разрастание идентификационных данных?

Разрастание идентификационных данных — это неконтролируемый рост числа цифровых идентичностей и аккаунтов внутри организации, который ведет к потере прозрачности и повышению рисков безопасности. С ростом облачных сред и внедрением новых приложений количество цифровых идентичностей увеличивается быстрее, чем организации успевают обеспечивать их защиту и управление. Проблема затрагивает человеческие и нечеловеческие идентичности (NHI), в том числе учетные записи служб и ИИ-агентов. Хотя использование NHI стремительно растет, такие идентификаторы проверяются и контролируются хуже, чем обычные учетные записи сотрудников. Со временем отсутствие видимости в этой сфере повышает вероятность кибератак, нацеленных на компрометацию учетных данных. Разрастание идентификационных данных часто сопровождается распространением секретов: такие учетные данные, как API-ключи и токены, множатся без централизованного контроля.

Как происходит разрастание идентификационных данных?

Идентификационные данные разрастаются постепенно. Организации масштабируются, осваивают облака и новые технологии, но часто забывают о централизованном управлении доступом (IAM).

Быстрое расширение

Облачные технологии полностью изменили подход к управлению доступом. Теперь компании могут разворачивать новые приложения за считанные минуты. Но если подключать инструменты SaaS без централизованных систем IAM, новые учетные записи не попадают в поле зрения команд безопасности. Такая децентрализация ведет к дублированию аккаунтов, мешает согласованно управлять доступом и фрагментирует данные на разных платформах. Проблему усугубляют теневые ИТ. Когда сотрудники используют рабочие инструменты без ведома компании, количество неуправляемых аккаунтов растет, что расширяет поверхность атаки.

Ошибки в управлении жизненным циклом данных

Система управления удостоверениями (ILM) помогает вовремя открывать доступ новым сотрудникам, обновлять его при смене роли и закрывать сразу после увольнения. Если процессы найма и увольнения не согласованы, количество учетных записей растет бесконтрольно. В ILM чаще всего допускают три ошибки: выдают избыточные права во время найма, оставляют старые доступы при переводе сотрудника в другой отдел и затягивают с блокировкой аккаунтов после увольнения. Без автоматизации и четких регламентов бывшие сотрудники сохраняют доступ к системам слишком долго, что создает серьезные риски для безопасности актуальных данных.

Избыток привилегированных учетных записей

Привилегированные аккаунты часто создают для временных проектов, работы подрядчиков или оперативных нужд. С ростом компании таких записей становится слишком много. Это приводит к бесконтрольному совместному использованию данных, постоянному доступу к критическим системам и нерегулярным проверкам прав. Без должного контроля привилегированные учетные записи превращаются в главную цель киберпреступников. Чем больше подобных идентификаторов в защищенных средах, тем тяжелее последствия любой утечки.

Рост сервисных аккаунтов и NHI

В облачных средах нечеловеческих идентичностей (NHI) часто больше, чем реальных пользователей. DevOps-конвейеры и инструменты автоматизации постоянно создают новые сервисные аккаунты, чтобы машины могли взаимодействовать друг с другом. Такой стремительный рост угрожает безопасности, если учетные записи децентрализованы, их данные жестко прописаны в скриптах, а токены не обновляются. Без контроля и единого хранилища учетные данные NHI превращаются для киберпреступников в удобный вектор атаки. Поскольку NHI работают без участия человека, их взлом может оставаться незамеченным долгое время.

Разрастание идентификационных данных, секретов и привилегий

Разрастание идентификационных данных, секретов и привилегий напрямую связаны с безопасностью доступа, но несут в себе разные риски. Разрастание учетных данных подразумевает неконтролируемое распространение идентификаторов по различным системам. Обычно это связано с внедрением децентрализованного SaaS, развитием облаков без единого центра контроля (IAM) и созданием неуправляемых учетных записей. Главная проблема заключается в том, что в разных средах скапливается слишком много учетных данных, которые часто остаются неактивными и не проверяются. Например, если организация использует десятки платформ и для каждой нужны свои доступы, со временем могут накопиться тысячи учетных записей. Даже если эти записи не используются, они расширяют поверхность атаки. Их становится настолько много, что наладить качественный мониторинг становится практически невозможно.

Хотя названия созвучны, разрастание секретов — это неконтролируемое распространение паролей, API-ключей и токенов между системами. Обычно это происходит, когда учетные данные прописывают прямо в коде, API-ключи хранят в текстовых файлах, а секреты пересылают по почте. Главная проблема здесь не в том, сколько существует идентичностей, а в бесконтрольном расползании данных доступа. Любая утечка или потеря контроля над секретами открывает прямой путь к критическим системам. Если API-ключ прописан в коде и не обновляется, злоумышленник захватит облачные ресурсы, не компрометируя учетную запись.

Накопление избыточных прав, напротив, связано с чрезмерными полномочиями конкретного пользователя. Обычно это происходит, когда доступ предоставляют, но не отзывают при смене ролей, завершении проектов или из-за редких проверок. В этом случае число учетных записей может оставаться под контролем, однако реальная угроза возникает, когда на отдельных аккаунтах скапливается больше прав, чем необходимо. Например, сотрудник отдела маркетинга имеет доступ к CRM, а затем переходит в операционный отдел и получает ключи к критическим системам. Поскольку права в CRM за ним сохраняются, взлом такой учетной записи приведет к утечке конфиденциальных данных далеко за пределами его текущих задач.

Основные риски безопасности при расползании идентификационных данных

С ростом числа учетных записей в различных средах организации теряют прозрачность и контроль над системой. Основные риски безопасности при расползании идентификационных данных:

Как предотвратить расползание идентификационных данных

Для борьбы с этой проблемой необходимо сфокусироваться на прозрачности, управлении жизненным циклом и строгом соблюдении принципа наименьших привилегий как для пользователей, так и для машинных идентичностей.

Автоматизируйте выдачу и отзыв прав

Централизованное управление через IAM-решения критически важно для сдерживания неконтролируемого роста учетных записей. Вместо ручного назначения полномочий следует внедрять ролевую модель доступа (RBAC), автоматически предоставляя права согласно обязанностям. Автоматический отзыв прав так же важен, как и их выдача: доступ должен аннулироваться немедленно при увольнении сотрудника. Отказ от ручного управления позволяет сократить число неиспользуемых аккаунтов с избыточными привилегиями.

Внедрение систем управления и администрирования прав доступа (IGA)

Системы IGA гарантируют, что права доступа всегда соответствуют актуальным потребностям организации. Регулярный аудит помогает убедиться, что пользователи сохраняют только те полномочия, которые необходимы для выполнения текущих задач. IGA позволяет выявлять заброшенные или неактивные аккаунты до того, как они превратятся в уязвимости. Без системного контроля учетные записи быстро множатся, и организация перестает справляться с их мониторингом, что ведет к опасному разрастанию прав.

Доступ по принципу наименьших привилегий

Компаниям следует по возможности отказаться от постоянного доступа к системам, применяя принцип наименьших привилегий и предоставляя доступ строго по необходимости (JIT). Предоставляя пользователям и системам только минимально необходимый доступ, компании снижают риск повышения привилегий и минимизируют ущерб в случае компрометации аккаунта.

Защита привилегированных учетных записей

Системы управления привилегированным доступом (PAM) останавливают разрастание учетных данных и предотвращают масштабные утечки. Привилегированные записи должны находиться в зашифрованном хранилище, а для любого административного доступа должна применяться многофакторная аутентификация (MFA). Организациям следует мониторить и записывать привилегированные сеансы, чтобы гарантировать полную прозрачность и подотчетность действий. Также важно внедрить автоматическую ротацию учетных данных, чтобы сократить риски компрометации и исключить небезопасную передачу паролей. Контролируя привилегированные учетные записи, организации избавляются от избыточных прав доступа, которые создают основные риски безопасности.

Управление NHI и секретами

В облачных средах число нечеловеческих идентичностей (NHI) превышает количество реальных пользователей. Чтобы предотвратить бесконтрольное разрастание идентификаторов, необходимо обеспечить одинаковый уровень защиты как для учетных записей сотрудников, так и для машинных аккаунтов. Организациям следует проводить инвентаризацию сервисных аккаунтов, защищать секреты, исключая их внедрение в код, и настраивать их автоматическое обновление. Принцип наименьших привилегий должен применяться ко всем типам идентичностей. Это позволит исключить постоянный доступ и гарантирует, что машинная аутентификация не выйдет из-под контроля. Процесс включает управление учетными данными NHI (API-ключами, токенами, сертификатами) как секретами, привязанными к конкретной идентичности, с обязательной ротацией, определением области действия и мониторингом.