Το Identity and Access Management (IAM) αποτελεί κομβικό σκέλος του σχεδιασμού της ασφαλείας κάθε επιχείρησης καθώς, στην σημερινή ψηφιακή εποχή, είναι άρρηκτα συνδεδεμένο με την πρόληψη θεμάτων ασφαλείας, αλλά και την παραγωγικότητα του οργανισμού.
Η χρήση επισφαλών τρόπων πιστοποίησης των χρηστών συχνά αποτελεί κερκόπορτα για το δίκτυο του οργανισμού και τελικά για τις πολύτιμες πληροφορίες του. Οι επιχειρήσεις λοιπόν χρησιμοποιούν τα συστήματα Identity Management για να προφυλαχτούν από τις συνεχώς αυξανόμενες απειλές όπως οι επιθέσεις ransomware, το κακόβουλο hacking, το phishing καθώς και ποικίλες επιθέσεις malware.
Που χρησιμεύει το IAM;
Σε μερικούς οργανισμούς, οι χρήστες, ορισμένες φορές, έχουν αυξημένα προνόμια εισόδου σε σχέση με τα πραγματικά απαραίτητα. Ένα ισχυρό σύστημα IAM μπορεί να προσθέσει επιπλέον επίπεδα προστασίας εξασφαλίζοντας τη συνεχή εφαρμογή των κανόνων και των πολιτικών σχετικά με την πρόσβαση των χρηστών του οργανισμού.
Τα συστήματα Identity and Access Management μπορούν επίσης να αυξήσουν την παραγωγικότητα της επιχείρησης. Ένα κεντρικό σύστημα διαχείρισης μπορεί να μειώσει την πολυπλοκότητα και το κόστος της ασφαλούς πρόσβασης και της έγκυρης πιστοποίησης των χρηστών. Την ίδια στιγμή, τα συστήματα Identity Management επιτρέπουν στους χρήστες να δρουν πιο παραγωγικά (ενώ συγχρόνως παραμένουν ασφαλείς) από διάφορους χώρους, είτε δουλεύουν από το σπίτι, είτε από το γραφείο, είτε από τον δρόμο.
Οι δομικοί λίθοι του IAM
Εκ πρώτης όψεως η πρόληψη των παραβιάσεων μπορεί να φαντάζει τρομακτικά δύσκολη, αλλά όσον αφορά το IAM, είναι σημαντικό να θυμόμαστε τα τρία Άλφα. Authentication, Authorization και (Privileged) Access
- Authentication
Η ταυτοποίηση είναι ουσιαστικά η διαδικασία κατά την οποία επιβεβαιώνεται πως ο χρήστης που επιθυμεί να συνδεθεί είναι όντως αυτός που δηλώνει πως είναι. Ο πιο εύκολος τρόπος για να αποκτήσει ένας κακόβουλος χρήστης πρόσβαση στο IT σύστημα του οργανισμού είναι να υποκλέψει από έναν ανυποψίαστο χρήστη κάποιες έγκυρες πιστοποιήσεις σύνδεσης, όπως έναν κωδικό. Για αυτό τον σκοπό συχνά εφαρμόζονται μέθοδοι όπως το Phishing, το social engineering, ή ακόμα και η άμεση κλοπή. Το δίκτυο δεν γνωρίζει πως πρόκειται για διαφορετικό άτομο και θα επιτρέψει στον hacker να αποκτήσει πρόσβαση σε όλα όσα ο νόμιμος χρήστης είχε δικαιωματικά πρόσβαση.
Πολλές από τις τακτικές και τις τεχνολογίες του IAM μπορούν να βοηθήσουν στην επίλυση του προβλήματος ταυτοποίησης. Μια απλή αλλά αποδοτική μέθοδος είναι η «υγιεινή των κωδικών», κατά την οποία απαιτείται η συχνή αλλαγή των κωδικών, επιβάλλεται μια αυστηρή πολιτική σχετικά με τους κωδικούς και συνίσταται η δημιουργία εύκολων και ελκυστικών διαδικασιών για τους χρήστες ώστε να εκτελούν πάντα τη σωστή δράση. Έτσι θα καλυφθούν πολλά κενά που θα μπορούσαν εύκολα να χρησιμοποιηθούν από κακόβουλους χρήστες.
Το βασικό θέμα της ταυτοποίησης είναι πως οι υπάλληλοι πρέπει να απομνημονεύουν πολλούς κωδικούς. Οι τεχνολογίες που προτείνουν τη χρήση ενός κοινού sing-on εξαλείφουν αυτό το πρόβλημα παρέχοντας στους χρήστες έναν μοναδικό ισχυρό κωδικό για όλο το εύρος συστημάτων που χρειάζεται να έχουν πρόσβαση. Συγχρόνως, εργαλεία για την self-service διαχείριση των κωδικών παρέχουν στους υπαλλήλους την δυνατότητα να πραγματοποιούν εύκολα την ανανέωση των κωδικών τους, ενώ παράλληλα διασφαλίζουν το γεγονός πως οι κωδικοί είναι αρκετά ισχυροί.
Η πολυπαραγοντική πιστοποίηση είναι, επίσης, απαραίτητη για πολλούς οργανισμούς. Η προσθήκη, δηλαδή, ενός δεύτερου επιπέδου προστασίας, με την απαίτηση μιας επιπλέον φόρμας πιστοποίησης, όπως είναι ένα token.
- Authorization
Αφού έχει επιβεβαιωθεί η ταυτότητα του χρήστη, το επόμενο βήμα είναι ο έλεγχος σχετικά με το ποιές δράσεις επιτρέπεται και ποιες δεν επιτρέπεται να πραγματοποιήσει εντός του δικτύου. Η σωστή εξουσιοδότηση αποτελεί βασικό κλειδί για την αποφυγή παραβιάσεων. Με την εφαρμογή αποτελεσματικών εργαλείων IAM, οι χρήστες θα έχουν πρόσβαση στα δεδομένα που χρειάζονται, αντί να βλέπουν εμπιστευτικά δεδομένα, στα οποία δεν θα έπρεπε να έχουν πρόσβαση. Ωστόσο, πρέπει να υπάρχει μια ισορροπία ανάμεσα στην γρήγορη και συνεχή ανατροφοδότηση πληροφοριών, χωρίς όμως συγχρόνως να διακυβεύεται η ασφάλεια.
Είναι υψίστης σημασίας η αφαίρεση παλιών εξουσιοδοτήσεων, οι οποίες δεν είναι πλέον απαραίτητες, ή σχετικές. Υπάλληλοι, ή συνεργάτες, που έχουν αποχωρήσει πρέπει να αφαιρεθούν αυτομάτως από τα συστήματα, αλλιώς η επιχείρηση κινδυνεύει από κακόβουλους χρήστες που μπορούν να βρουν τους ορφανούς λογαριασμούς και να καπηλευτούν τα δικαιώματα πρόσβασης τους. Χωρίς αποτελεσματικό identity management, οι οργανισμοί δεν μπορούν να είναι σίγουροι ποιος έχει πρόσβαση στο κάθε σύστημα και κατά πόσο κακόβουλοι χρήστες χρησιμοποιούν αυτούς τους λογαριασμούς για να έχουν πρόσβαση στα δεδομένα.
- (Privileged) Access
Οι privileged accounts αποτελούν ένα είδος ιερού δισκοπότηρου για τους κακόβουλους χρήστες, καθώς είναι συνδεμένοι με συστήματα και όχι με ξεχωριστούς χρήστες, οπότε αν πέσουν στα λάθος χέρια παρέχουν αυτομάτως απεριόριστη πρόσβαση στα συστήματα του οργανισμού. Όταν ο επιτιθέμενος έχει πρόσβαση σε έναν από αυτούς τους λογαριασμούς, καθίσταται σχεδόν αδύνατο για την ομάδα cybersecurity να τον σταματήσει και έτσι μπορεί να προκαλέσει μεγάλη ζημιά στα δεδομένα καθώς και στην ίδια τη φήμη και το κύρος του οργανισμού.
«Η πρόσθετοι έλεγχοι ασφαλείας πάντα αυξάνουν τα επίπεδα προστασίας. Ακόμα και οργανισμοί που έχουν ήδη εφαρμόσει λύσεις IAM χρειάζεται να έχουν έλεγχο των privileged access. Ωστόσο πολλές επιχειρήσεις δεν είναι σίγουρες για το πώς να ξεκινήσουν, πού να εστιάσουν τους πόρους τους, τι ποσά να εκχωρήσουν, κλπ. Όπως συμβαίνει με κάθε security project, έτσι και η διαχείριση και προστασία των privileged accounts είναι μια συνεχώς εξελισσόμενη διαδικασία» λέει ο Byron Davel, Product Manager στη Credence Security.
«Πρώτο βήμα είναι ο ορισμός και η ταξινόμηση των privileged accounts. Αφού αυτά έχουν εδραιωθεί εντός του οργανισμού, ακολουθεί η ανάπτυξη των αντίστοιχων πολιτικών ασφαλείας που θα τα διασφαλίσουν. Δεύτερον, οι εταιρίες καλούνται να εντοπίσουν τους privileged accounts που έχουν. Τα αυτοματοποιημένα συστήματα PAM (privileged access management) καθιστούν πιο εύχρηστη την ταυτοποίηση των privileged accounts. Έτσι στηρίζεται ο εντοπισμός πιθανών εσωτερικών καταχρήσεων και η ανακάλυψη εξωτερικών απειλών».
«Εν συνεχεία», συμπληρώνει ο B. Davel, «ακολουθεί η διαχείριση και η προστασία των κωδικών των privileged account». «Μια λύση PAM θα πρέπει αυτομάτως να ανακαλύπτει και να αποθηκεύει τους privileged accounts, να ελέγχει την κάθε δραστηριότητα των συγκεκριμένων λογαριασμών, να προγραμματίζει την ανανέωση κωδικών και να είναι σε ετοιμότητα να εντοπίσει γρήγορα και να αντιμετωπίσει επιτυχώς κάθε κακόβουλη δράση.
Πρέπει, συνεπώς, να επιτρέπεται ο έλεγχος και η καταγραφή της δραστηριότητας των προνομιούχων λογαριασμών. Έτσι, ενισχύεται η σωστή συμπεριφορά και υποβοηθιέται η αποφυγή λαθών από τη μεριά των τελικών χρηστών, καθώς όλες οι δραστηριότητες επιβλέπονται. Αν συμβεί μια παραβίαση, η καταγεγραμμένη δράση των privileged account μπορεί να χρησιμεύσει για να διευκρινιστεί ο λόγος που συνέβη η παραβίαση, καθώς επίσης και να δώσει πληροφορίες σχετικά με την μείωση του ρίσκου έκθεσης στο μέλλον.
Ποια είναι τα οφέλη των συστημάτων IAM;
Η εφαρμογή του Identity and Access Management, καθώς και αντίστοιχων πρακτικών μπορεί να προσφέρει σημαντικά ανταγωνιστικά πλεονεκτήματα με ποικίλους τρόπους. Σήμερα, οι περισσότερες επιχειρήσεις χρειάζεται να δώσουν πρόσβαση στα εσωτερικά τους συστήματα σε χρήστες που βρίσκονται εκτός της επιχείρησης. Το άνοιγμα του δικτύου στους πελάτες, στους συνεργάτες, στους προμηθευτές και φυσικά στους υπαλλήλους μπορεί να αυξήσει την αποδοτικότητα και να μειώσει τα λειτουργικά κόστη.
Τα συστήματα Identity Management απαντούν σε αυτό το κάλεσμα επιτρέποντας σε μια επιχείρηση να διευρύνει την πρόσβαση των πληροφοριακών της συστημάτων μέσω μιας ποικιλίας από on-premises applications, mobile apps και SaaS εργαλεία, χωρίς να θέτει σε κίνδυνο την ασφάλεια της. Παρέχοντας περισσότερη πρόσβαση σε εξωτερικούς χρήστες, μπορεί να αυξηθεί και η συνεργασία εντός του ίδιου του οργανισμού, ενισχύοντας την παραγωγικότητα, την ικανοποίηση των πελατών και τελικά τα έσοδα. Το IAM μπορεί να μειώσει τον αριθμό κλήσεων που δέχεται η εξυπηρέτηση πελατών του τμήματος IT, σχετικά με την επαναφορά κωδικών. Χάρη στα συστήματα Identity Management, οι διαχειριστές έχουν την δυνατότητα να αυτοματοποιήσουν αυτές, καθώς και άλλες χρονοβόρες και κοστοβόρες διαδικασίες.
Ένα σύστημα Identity Management, συνεπώς, μπορεί να αποτελέσει τον ακρογωνιαίο λίθο ενός ασφαλούς δικτύου, καθώς η διαχείριση της ταυτότητας του χρήστη αποτελεί ένα αναπόσπαστο κομμάτι της πλήρoυς εικόνας του συστήματος ασφαλείας.
Επίσης, τα συστήματα IAM μπορούν να αυξήσουν τη συμμόρφωση με τα κανονιστικά πλαίσια, καθώς παρέχουν εργαλεία για την εφαρμογή πληρέστερης ασφάλειας, ελέγχου και πολιτικών πρόσβασης. Πολλά συστήματα πλέον παρέχουν χαρακτηριστικά ειδικά σχεδιασμένα, ώστε να εξασφαλίζουν ότι ένας οργανισμός βρίσκεται σε πλήρη συμμόρφωση με τα κανονιστικά πλαίσια.
Ποιές είναι οι προκλήσεις και τα ρίσκα από την εφαρμογή IAM;
Η Dimensional Research παρουσίασε μια έρευνα τον Οκτώβριο του 2018 με τίτλο Assessment of Identity and Access Management in 2018. Σε αυτή την έρευνα ερωτήθηκαν 1.000 επαγγελματίες του IT Security σχετικά με τις μεγαλύτερες προκλήσεις του IAM.
Όπως ήταν αναμενόμενο, το 59% είπε πως η προστασία των δεδομένων αποτελεί την βασικότερη έγνοια των οργανισμών που χρησιμοποιούν IAM. Μόλις 15% δήλωσαν πως νιώθουν πλήρως ασφαλείς και ότι αισθάνονται πως ο οργανισμός τους δεν κινδυνεύει από παραβιάσεις, χάρη στο σύστημα access control που έχουν εγκαταστήσει. Τα συστήματα IAM κρατάνε τα κλειδιά για μερικά από τα πιο κρίσιμα συστήματα, καθώς και πολύτιμα assets της επιχείρησης, οπότε οι συνέπειες από την όποια πιθανή αποτυχία του συστήματος IAM είναι μεγάλες.
Επίσης, οι κεντρικές λειτουργίες παρέχουν ένα δελεαστικό στόχο για τους hackers. Βάζοντας όλα τις διαδικασίες identity management της επιχείρησης σε ένα κοινό πλαίσιο, η μειωμένη πολυπλοκότητα του συστήματος μπορεί να αξιοποιηθεί και από άλλους πέραν των διαχειριστών.
Αν παραβιαστεί, μπορεί να επιτρέψει στον εισβολέα να φτιάξει IDs με εκτενή προνόμια ώστε να αποκτήσει πρόσβαση σε πολλά δεδομένα. Άλλοι προβληματισμοί (σε ένα ποσοστό 27%) αφορούν το θέμα των δυσαρεστημένων υπαλλήλων και την πιθανότητα να μοιραστούν ευαίσθητα δεδομένα, το ενδεχόμενο ο CIO να χρειαστεί να δώσει συνέντευξη στην τηλεόραση εξαιτίας κάποιας παραβίασης δεδομένων λόγο κακού IAM και τέλος η εύρεση κάποιας λίστας με τους κωδικούς και τα ονόματα των χρηστών της επιχείρησης στο dark web. Τους επαγγελματίες του security συστήματα (κατά ένα 50%) τους απασχολεί, επίσης, πως θα ενσωματώσουν ομαλά τα IAM στα παλαιού τύπου, πώς θα μεταφερθούν επιτυχώς στο cloud (κατά ένα 44%) και κατά πόσο οι υπάλληλοι τους χρησιμοποιούν μη εγκεκριμένες τεχνολογίες (κατά ένα 43%).
Ο Jackson Shaw, vice president of product management της One Identity δηλώνει πως έχει πίστη και εμπιστοσύνη στο γεγονός πως το IAM θα εξελίσσεται, καθώς οι επιχειρήσεις αποκτάνε περισσότερη εμπειρία στην διαχείριση των λύσεων. «Οι οργανισμοί κατανοούν όλο και καλύτερα πως μπορούν να ενοποιήσουν την διαχειριστική προσέγγιση, να απλοποιήσουν τις διαχειριστικές λειτουργίες και να μειώσουν το φόρτο εργασίας του IT» λέει.
Μια επιτυχημένη εφαρμογή του identity and access management προϋποθέτει ομαλή συνεργασία δια μέσω των τμημάτων. Οι επιχειρήσεις που εφαρμόζουν μια συνεκτική στρατηγική identity management, με ξεκάθαρους στόχους και ξεκάθαρες επιχειρηματικές διαδικασίες, πριν την έναρξη του εγχειρήματος, είναι πιο πιθανό να επιτύχουν. Το identity management δουλεύει καλύτερα «όταν τα τμήματα ανθρώπινου δυναμικού, IT, ασφάλειας καθώς και άλλα τμήματα συνεργάζονται» λέει ο J. Shaw. Δεδομένης βέβαια της έλλειψης σε IT ειδικούς αυτή την εποχή, τα συστήματα IAM πρέπει να επιτρέπουν στον οργανισμό να διαχειρίζεται μια ποικιλία χρηστών σε διαφορετικές καταστάσεις και υπολογιστικά περιβάλλοντα με τρόπο αυτόματο και σε πραγματικό χρόνο. Η χειροκίνητη προσαρμογή των δικαιωμάτων πρόσβασης και ελέγχου για εκατοντάδες, ή χιλιάδες χρήστες, δεν είναι εφικτή.
Για παράδειγμα, η αναθεώρηση των δικαιωμάτων πρόσβασης των υπαλλήλων που έχουν αποχωρήσει μπορεί να παραμεληθεί, ειδικά αν γίνεται χειροκίνητα, όπως συμβαίνει αρκετά συχνά. Για να μπορεί να πραγματοποιηθεί αυτόματα με την αποχώρηση ενός υπαλλήλου και η αφαίρεση της εξουσιοδότησης του για όλες τις υπηρεσίες, τα apps και τα hardware που είχε πρόσβαση, χρειάζεται μια αυτοματοποιημένη και περιεκτική λύση identity management. Επίσης, «ο έλεγχος ταυτότητας πρέπει να είναι εύκολος στην λειτουργία του για τους χρήστες, πρέπει να είναι αρκετά απλός ώστε το IT να τον αναπτύξει και πάνω απ’όλα πρέπει να είναι ασφαλής», λέει ο Yassir Abousselham, senior vice president and chief security officer της Okta. Γι’αυτό το λόγο, οι κινητές συσκευές «γίνονται το επίκεντρο της ταυτοποίησης του χρήστη» προσθέτει, «επειδή τα smartphones μπορούν να παρέχουν την τοποθεσία του χρήστη, την διεύθυνση IP και άλλες πληροφορίες που μπορούν να αξιοποιηθούν στην διαδικασία ταυτοποίησης».
Το μέλλον των IAM
Το 2018, λιγότερο από το 5% των οργανισμών χρησιμοποιούσαν smartphones apps για IAM. Αυτός ο αριθμός προβλέπεται να εκτοξευτεί στα επόμενα χρόνια. Οι αναλυτές της Gartner προβλέπουν πως 70% των οργανισμών θα εφαρμόσει τέτοια συστήματα μέχρι το έτος 2022
Αυτή η τάση θα επιτρέπει στους εργαζόμενους να χρησιμοποιούν τα τηλέφωνα τους για να επιβεβαιώνουν την ταυτότητα τους και να αποκτούν πρόσβαση στα απαραίτητα για την εργασίας τους δεδομένα. Είναι φτηνότερο και πιο βολικό να δίνεται η άδεια χρήσης μέσω ενός app πιστοποιήσεων απ’ ό,τι να χτιστεί ένα κατά παραγγελία σύστημα biometric security για το κάθε γραφείο.
«Το biometric authentication χρησιμοποιεί βιολογικά, ή συμπεριφοριστικά χαρακτηριστικά, ξεχωριστά για κάθε άτομο και προσφέρει περισσότερη πιστότητα από άλλες συνήθεις μεθόδους» λέει ο Ant Allan, Gartner Research VP. «Με την εφαρμογή του μέσω smartphone apps παρέχεται περισσότερη συνοχή και είναι τεχνικά πιο απλό από τον συντονισμό πολλών διαφορετικών τερματικών συσκευών.» Η Gartner αναμένει η μετάβαση στο smartphone authentication να συμπέσει με μια γενικότερη μετάβαση στις Software-as-a-Service λύσεις ανάμεσα στους μεγάλους οργανισμούς, καθώς πολλές επιχειρήσεις στρέφονται στις λύσεις εξωτερικών παρόχων για τις υπηρεσίες που δεν αποτελούν τον πυρήνα της επιχείρησης τους.