Video: Podraz jmenem Obama (Obama Deception) (November 2024)
Krádež identity je veľký problém pre všetkých, ale najmä pre tých, ktorí sú v oblasti IT bezpečnosti. Na boj proti tomuto problému potrebujú spoločnosti silný, ale starostlivo riadený a kontrolovaný prístup k správe identity. Je to obzvlášť ťažké, pretože si vyžaduje starostlivé riadenie toho, kto má prístup k aplikáciám a službám, a uistenie sa, že informácie sú správne zaznamenané a ľahko dostupné pre tých, ktorí ich potrebujú. Ak niekto neoprávnený kompromituje bránu VPN, ktorú vaša spoločnosť používa pre vzdialený prístup, musíte začať s opravou tým, že presne viete, kto má prístup k bráne a presne, aké práva má každý z týchto používateľov pod kontrolou.
Správa identity zahŕňa aj dodržiavanie nariadení, ktoré upravujú ochranu údajov, vrátane zákona o prenosnosti a zodpovednosti v zdravotnom poistení (HIPAA) pre údaje o zdravotnej starostlivosti a všeobecného nariadenia EÚ o ochrane údajov (GDPR). GDPR vyžaduje, aby sa totožnosť overila a aby sa pre každého, kto má prístup k akýmkoľvek informáciám umožňujúcim identifikáciu osôb (PII), zaviedlo multifaktorové overovanie (MFA). Silné spravovanie identity znamená aj prijatie hybridného prístupu k správe identity (IDM) v cloude a priamo na mieste. Tento hybridný prístup k správe vecí verejných si vyžaduje použitie zjednoteného procesu, uviedol Darren Mar-Elia, vedúci produktu v spoločnosti IDM vendor Semperis. Na nedávnej konferencii o ochrane hybridných identít v New Yorku spoločnosť PCMag dohnala Mar-Eliu, aby využila najlepšie postupy v oblasti správy identity.
PCMag (PCM): Čo znamená hybridný IDM?
Darren Mar-Elia (DME): Hybridný systém IDM je iba identifikačný systém, ktorý sa rozširuje z miestneho prostredia do cloudu, a zvyčajne slúži na poskytnutie prístupu k cloudovým aplikáciám.
DME: Mnoho spoločností prevádzkuje AD a prevádzkuje ich roky. Tu sa konajú vaše používateľské mená a heslá a tu sa konajú členstvá v skupine. Všetky tieto veci sa môžu dostať do cloudu, alebo si môžete vytvoriť účty od nuly v cloude a stále mať miestne AD. Teraz máte cloudový identitný systém, ktorý poskytuje prístup k cloudovým aplikáciám, a je to len spôsob, ako poskytnúť identitu. Inými slovami, kto som a čo získam prístup v cloudovom prostredí, či už je to Microsoft Azure alebo Amazon, alebo čokoľvek sa to stane.
PCM: Kde sa používa skutočný softvérový panel na riadenie tohto typu správy?
DME: Microsoft, samozrejme, poskytuje manažérsky portál na správu identít cloudu. K dispozícii je tiež kus na mieste, ktorý vám umožní vykonať túto synchronizáciu až do Microsoft Azure Active Directory; takže tú časť ovládate. Je to kus softvéru, ktorý by ste spustili a spravovali, uistite sa, že funguje a tak ďalej. V závislosti od toho, akú flexibilitu potrebujete, môžete na svojom portáli urobiť maximum. Zrejme to beží v cloude spoločnosti Microsoft a dáva vám pohľad na vášho nájomcu. Máte teda nájomcu, ktorý definuje všetkých vašich používateľov a všetok váš prístup k aplikáciám.
PCM: K akým typom aplikácií potrebujete spravovať prístup?
DME: V prípade spoločnosti Microsoft môžete spravovať prístup k aplikáciám balíka Office ako Exchange, SharePoint a OneDrive. Toto sú aplikácie, ktoré by ste spravovali v tomto prostredí. A správa znamená sprístupnenie, povedzme, niekoho poštovej schránky, aby mohla odosielať v mene iného používateľa alebo aby mohla robiť správy. Môžete si napríklad zobraziť, koľko správ bolo odoslaných cez môj systém a kam boli zaslané. V prípade služby SharePoint to môže byť nastavenie stránok, prostredníctvom ktorých môžu ľudia spolupracovať, alebo určovania, kto môže poskytnúť prístup k týmto informáciám.
PCM: Aké sú kľúčové výzvy pri riešení problému IDM v cloude verzus v priestoroch?
DME: Myslím, že najväčšou výzvou je to, že to dokážeme dôsledne robiť v cloude aj v priestoroch. Mám teda správny prístup v priestoroch aj v cloude? Mám príliš veľa prístupu v cloude v porovnaní s tým, čo mám v priestoroch? Preto je potrebné sledovať tento druh rozdielov medzi tým, čo môžem robiť v priestoroch, a tým, čo môžem robiť v cloude.
PCM: Aký je najlepší spôsob, ako dosiahnuť rovnováhu medzi miestnym IDM a tým, čo robím v cloude?
DME: Či už ide o zabezpečenie používateľov, správu prístupu používateľov alebo certifikáciu používateľa, všetky tieto veci musia vziať do úvahy skutočnosť, že okrem priestorov sa môžete nachádzať vo viacerých identitách cloudu. Takže, ak robím kontrolu prístupu, nemalo by to byť len z vecí, ku ktorým mám prístup priamo na mieste. Malo by byť tiež to, k čomu mám prístup v cloude, ak robím udalosť na zabezpečenie dotácií? Ak pracujem v oblasti ľudských zdrojov (HR), budem mať prístup k aplikáciám v priestoroch aj v cloude. Keď sa dostanem do tejto pracovnej funkcie, mal by som mať k dispozícii všetok prístup, ktorý mi bol poskytnutý. Keď zmením funkcie úloh, mal by som mať odstránený všetok prístup k tejto úlohe, a to v priestoroch aj v cloude. To je výzva.
PCM: Akú úlohu hrá strojové učenie (ML) v IDM alebo hybridnej identite?
DME: Poskytovatelia cloudovej identity majú prehľad o tom, kto sa prihlasuje, odkiaľ sa prihlasujú, a ako často sa prihlasujú. Používajú ML v týchto veľkých množinách údajov, aby mohli odvodiť vzorce medzi týmito rôznymi nájomníkmi. Napríklad vo vašom nájomcovi prebiehajú podozrivé prihlásenia; prihlasuje sa používateľ z New Yorku a potom o päť minút neskôr z Berlína? To je v podstate problém ML. Generujete veľa audítorských údajov vždy, keď sa niekto prihlási, a používate modely strojov na koreláciu vzorov, ktoré môžu byť podozrivé. V budúcnosti sa domnievam, že ML sa bude uplatňovať na procesy, ako sú napríklad kontroly prístupu, aby bolo možné odvodiť kontext pre kontrolu prístupu, namiesto toho, aby mi poskytol zoznam skupín, v ktorých som, a povedal: „Áno, mal by som byť v tejto skupine "alebo" nie, nemal by som byť v tejto skupine. " Myslím, že to je problém vyššieho poriadku, ktorý sa pravdepodobne nakoniec vyrieši, ale je to oblasť, v ktorej si myslím, že ML pomôže.
PCM: Pokiaľ ML pomáha v hybridnom IDM, znamená to, že to pomáha v priestoroch aj v cloude?
DME: Do istej miery je to pravda. Existujú konkrétne technologické produkty, ktoré zhromažďujú napríklad údaje o audite alebo interakcii AD medzi miestnymi reklamami AD a tiež údaje o totožnosti v cloude a môžu byť schopné vysledovať to isté riziko v prípade podozrivých prihlásení na mieste. AD alebo v cloude. Nemyslím si, že je to dnes perfektné. Chcete maľovať obrázok, ktorý ukazuje plynulú zmenu kontextu. Ak som používateľom v miestnom inzeráte, je pravdepodobné, že v prípade kompromitovania by som mohol byť kompromitovaný v miestnom aj v Azure AD. Neviem, že tento problém sa ešte úplne vyriešil.
PCM: Hovorili ste o „ustanovení o narodení dieťaťa“. Čo je to a akú úlohu to hrá v hybridnom IDM?
DME: Poskytovanie rodného práva je jednoducho prístup, ktorý dostanú noví zamestnanci, keď vstúpia do spoločnosti. Dostanú dotáciu s účtom a aký prístup získajú a kde získajú dotáciu. Ak sa vrátim k môjmu predchádzajúcemu príkladu, ak som zamestnancom spoločnosti HR, ktorý sa stal členom spoločnosti, dostanem inzerát. Pravdepodobne dostanem Azure AD, možno prostredníctvom synchronizácie, ale možno nie, a dostanem prístup k množine vecí, ktoré budú robiť moju prácu. Môžu to byť aplikácie, môžu to byť zdieľané súbory, môžu to byť lokality SharePoint alebo to môžu byť poštové schránky Exchange. Keď sa pripojím, malo by sa to všetko poskytnúť a poskytnúť prístup. To je v podstate zabezpečenie rodného práva.
PCM: Hovorili ste tiež o koncepte s názvom „gumové razenie“. Ako to funguje?
DME: Predpisy pre mnohé verejne obchodované spoločnosti tvrdia, že musia prehodnotiť prístup ku kritickým systémom, ktoré obsahujú veci ako osobné informácie, zákaznícke údaje a citlivé informácie. Preto musíte pravidelne kontrolovať prístup. Zvyčajne je to štvrťročné, ale záleží to na regulácii. Funguje to však tak, že máte aplikáciu, ktorá generuje tieto prístupové recenzie, odošle zoznam používateľov v konkrétnej skupine manažérovi, ktorý je zodpovedný za túto skupinu alebo aplikáciu, a potom musí táto osoba potvrdiť, že všetci títo používatelia stále patriť do tejto skupiny. Ak ich generujete veľa a manažér je prepracovaný, je to nedokonalý proces. Nevieš, že to kontrolujú. Preskúmajú to tak dôkladne, ako je potrebné? Je to naozaj tak, že títo ľudia stále potrebujú prístup? A to je to, čo sa razí. Takže, ak tomu skutočne nevenujete pozornosť, má to tendenciu byť iba kontrola označujúca „Áno, urobila som kontrolu, je hotová, mám to z vlasov, “ na rozdiel od skutočného porozumenia, či je prístup stále potrebné.
PCM: Je kontrola prístupu na gumové razenie problémom alebo je to len otázka efektívnosti?
DME: Myslím, že sú oboje. Ľudia sú prepracovaní. Dostanú na nich veľa hádzaných vecí a mám podozrenie, že je to ťažký proces, ktorý si udržia okrem toho, čo robia, aj naďalej. Takže si myslím, že sa to robí z regulačných dôvodov, s ktorými úplne súhlasím a rozumiem im. Neviem však, či je to nevyhnutne najlepší prístup alebo najlepší mechanický spôsob na vykonanie kontroly prístupu.
PCM: Ako riešia spoločnosti zisťovanie rolí?
DME: Správa prístupu na základe rolí je táto myšlienka, že prístup prideľujete na základe úlohy používateľa v organizácii. Možno je to obchodná funkcia jednotlivca alebo práca osoby. Môže to byť založené na názve jednotlivca. Zisťovanie rolí je proces, ktorý sa snaží zistiť, aké úlohy by v organizácii mohli prirodzene existovať na základe toho, ako sa dnes poskytuje prístup k identite. Napríklad by som mohol povedať, že táto osoba v oblasti ľudských zdrojov je členom týchto skupín; Preto by do týchto skupín mala mať prístup osoba s osobnými právami. Existujú nástroje, ktoré vám s tým môžu pomôcť, v zásade budovanie úloh na základe existujúceho prístupu, ktorý bol udelený v prostredí. A to je proces zisťovania rolí, ktorým prechádzame, keď sa snažíte vybudovať systém riadenia prístupu založený na rolách.
PCM: Máte nejaké tipy, ktoré môžete poskytnúť malým a stredným podnikom (SMB), ako pristupovať k hybridnému IDM?
DME: Ak ste SMB, myslím si, že cieľom nie je žiť v hybridnom svete identity. Cieľom je dostať sa k cloudovej identite a pokúsiť sa tam dostať čo najrýchlejšie. Pre malé a stredné podniky nie je zložitosť správy hybridnej identity záležitosťou, v ktorej chcú byť. Je to šport pre skutočne veľké podniky, ktoré to musia robiť, pretože majú toľko miestneho vybavenia. Vo svete SMB si myslím, že cieľom by malo byť: „Ako sa dostanem k systému cloudovej identity skôr ako neskôr? Ako sa dostanem z miestneho podnikania skôr ako neskôr?“ To je pravdepodobne najpraktickejší prístup.
PCM: Kedy by spoločnosti používali hybrid verzus iba v priestoroch alebo iba v cloude?
DME: Myslím si, že najväčší dôvod, prečo hybrid existuje, je, že máme väčšie organizácie s mnohými starými technológiami v miestnych identifikačných systémoch. Keby spoločnosť dnes začínala od nuly… nezavádzajú AD ako novú spoločnosť; rozbiehajú Google AD s balíkom Google G Suite a teraz žijú úplne v cloude. Nemajú žiadnu miestnu infraštruktúru. Pre mnoho väčších organizácií s technológiou, ktorá existuje už celé roky, to jednoducho nie je praktické. Takže musia žiť v tomto hybridnom svete. Či už sa niekedy dostanú iba k cloudu, pravdepodobne to záleží na ich obchodnom modeli a na tom, akú veľkú prioritu majú pre nich a aké problémy sa snažia vyriešiť. Všetko, čo s tým súvisí. Ale myslím si, že pre tieto organizácie budú dlho v hybridnom svete.
PCM: Aká by bola obchodná požiadavka, ktorá by ich priviedla k cloudu?
DME: Typická je ako obchodná aplikácia, ktorá je v cloude, aplikácia SaaS ako Salesforce, Workday alebo Concur. A tieto aplikácie očakávajú poskytnutie cloudovej identity, ktorá im umožní prístup. Musíte niekde mať tú cloudovú identitu, a tak sa to zvyčajne stáva. Microsoft je dokonalým príkladom. Ak chcete používať Office 365, musíte do Azure AD poskytnúť totožnosti. Nemá na výber. To núti ľudí, aby si dali Azure AD, a potom, keď už sú tam, možno sa rozhodnú, že chcú urobiť jednotné prihlásenie do iných webových aplikácií, iných aplikácií SaaS v cloude a teraz sú v cloude.
- 10 základných krokov na ochranu vašej identity online 10 základných krokov na ochranu vašej identity online
- Najlepšie riešenia pre správu identít pre rok 2019 Najlepšie riešenia pre správu identít pre rok 2019
- 7 krokov na minimalizáciu podvodov s podvodmi a identitami generálnych riaditeľov 7 krokov na minimalizáciu podvodov a podvodov s identitami generálnych riaditeľov
PCM: Aké veľké predpovede pre budúcnosť IDM alebo riadenia?
DME: Ľudia zatiaľ neuvažujú o správe hybridnej identity alebo o hybridnom IDM ako o jedinej veci. Myslím si, že sa to musí stať, či sa tam dostanú nariadeniami alebo sa predajcovia zintenzívnia a poskytnú toto komplexné riešenie správy identity pre tieto hybridné svety. Myslím si, že sa buď nevyhnutne musí stať, a ľudia budú musieť riešiť problémy, ako je oddelenie povinností naprieč hybridnou správou identity a prístupom. Myslím si, že je to pravdepodobne nevyhnutný výsledok, ku ktorému dôjde skôr ako neskôr.