Все плюсы цифровой трансформации бизнеса хорошо документированы: повышается эффективность процессов, упрощается масштабирование бизнеса, сильно ускоряется создание продуктов и услуг. Но серьезным препятствием трансформации все чаще становятся риски безопасности, поскольку число кибератак и ущерб от них из года в год растут. По статистике, более 60% атак на организации начинаются с кражи учетных записей или токенов доступа. При этом в большинстве организаций подход к управлению учетными записями и к их безопасности устарел, замерев на технологиях тридцатилетней давности. А вот инфраструктура ушла далеко вперед — теперь в ходу публичные облака, дистанционные рабочие места и прочие удобные, но зачастую слабо защищенные технологии.
Внедрение современных систем безопасности учетных записей — один из самых важных и стратегически ценных шагов, которые можно сделать, чтобы заложить в IT-системы организации долгосрочный потенциал развития. Если базовые меры гигиены, такие как внедрение защиты конечных точек и серверов, унификация IT- и ИБ-политик, уже приняты, то identity security будет логичным следующим шагом.
Основные принципы identity security
Управление всеми видами учетных записей, всеми identity. Важно понимать, что понятие identity относится не только к учетным записям сотрудников, но также и к серверам и приложениям. В современных организациях число «неживых» учетных записей больше штатной численности сотрудников в десятки раз. Всесторонний подход identity security подразумевает управление токенами доступа, секретными ключами, хранящимися в приложениях, и так далее.
Достоверная аутентификация. Это краеугольный камень в основе защиты учетных записей. В организации должны быть внедрены современные стандарты многофакторной аутентификации, учитывающие уровень доступа и риска для каждого сотрудника, сервиса или сервера.
Соразмерная и структурированная авторизация. Аутентифицированной учетной записи должны выдаваться доступы и разрешения, необходимые и достаточные для выполнения запланированной работы, но не более того. Права и доступы определяются централизованной политикой, они одинаковы для сотрудников или сервисов, выполняющих одинаковую работу. В идеальном сценарии соблюдается не только принцип наименьших привилегий, но и принцип своевременности — то есть выдача прав допускается ровно на тот период времени, в который они нужны. Например, администраторы получают высокий уровень доступа к серверу только на время выполнения на нем необходимого обслуживания, а затем их права автоматически снижаются до базовых.
Централизация и проверяемость. Нужно стремиться к централизации базы учетных записей и унификации процесса аутентификации с применением SSO (single sign-on). Все этапы аутентификации и авторизации должны быть тщательно запротоколированы, а добавление, изменение и удаление учетных записей — детально регламентированы и тоже запротоколированы. Это значительно снижает риск нарушения остальных принципов identity security. Более того, имея подконтрольный и централизованный портал аутентификации, компания может эффективнее обнаруживать кибератаки на ранних стадиях, выявляя аномалии, характерные для действий хакеров.
Внедрение безопасности учетных записей и управления привилегированным доступом — необходимый шаг при построении в организации ИБ-архитектуры Zero Trust.
Безопасность учетных записей с точки зрения сотрудника
Грамотно выстроенная защита учетных записей не усложняет, а наоборот, упрощает жизнь сотрудников. Во-первых, они используют одну и ту же механику входа в большинство корпоративных сервисов, будь то внутренние файловые порталы, облачные сервисы сдачи отчетов о командировках или любые другие IT-системы. Не нужно запоминать множество паролей, не нужно начинать утро со входа в десять разных учетных записей, да и забытый пароль становится гораздо меньшей проблемой. Благодаря этому растет продуктивность команды.
Во-вторых, основанная на риск-профилях система аутентификации умеет «беспокоить» пользователя адекватно ситуации. Это означает, что, войдя в рабочие системы из привычного места с обычного компьютера, сотрудник может, по сути, один раз воспользоваться токеном в начале рабочего дня при разблокировке компьютера и дальше вообще не тратить время на безопасность. В то же время выполнение нехарактерных действий или запрос на доступ к важной информации могут проходить с несколькими дополнительными проверками.
В-третьих, identity security упрощает удаленную работу или организацию сотрудничества с внешними подрядчиками. Находясь вне офиса и, возможно, пользуясь личным устройством, сотрудник все равно может получить доступ к корпоративным сервисам согласно политике компании. Правда, перечень проверок и уровень доступа могут отличаться.
Выгоды Identity Security
Безопасный переход в облако. Значительное число корпоративных IT-услуг оказывается через публичные облачные сервисы (Microsoft 365, Salesforce) или гибридные облака, при этом доступ к ним зачастую регламентирован и защищен хуже, чем к традиционным ресурсам на серверах организации. Применение ко всем IT-сервисам компании единого подхода защиты учетных записей снижает риски взлома и ускоряет внедрение выгодных для компании цифровых сервисов.
Повышение производительности труда и комфорта сотрудников. Сотруднику не требуется регистрироваться во всех системах и ежедневно тратить время на вход в системы, а ежеквартально — на смену паролей. В масштабах организации это вполне ощутимая экономия времени, которое вместо этого будет потрачено на продуктивную работу.
Снижение стоимости IT-операций. Отдельно отметим значительное снижение нагрузки на отделы IT и ИБ, которые будут управлять всеми учетными записями централизованно и перестанут беспокоиться о десятках тысяч паролей. В некоторых организациях на запросы, связанные с паролями, приходится до 40% всех обращений в IT. Переход на централизованную защиту учетных записей значительно снижает эту цифру. Более того, стандартизованный жизненный цикл учетной записи значительно упрощает прием на работу, перевод в другой отдел или увольнение — нужные доступы назначаются и удаляются автоматически.
Снижение регуляторных рисков. Во многих странах ИБ-регуляторы начинают предъявлять строгие требования к корпоративным системам безопасности, в том числе из-за заботы о персональных данных сотрудников и клиентов. Централизованная система identity security не только снижает риск успешной кибератаки, но и гарантирует, что все сотрудники организации придерживаются безопасных практик в части паролей, удаленной работы и так далее. Таким образом, внезапный аудит регулятора гарантированно не закончится крупным штрафом.