S rostoucím rizikem narušení identity, jak je vidět v nedávných ransomwarových útocích a útocích na dodavatelský řetězec, si podniky začínají uvědomovat potřebu zabezpečení identity. Když posuzují, jak nejlépe posílit ochranu identity, často se objeví potřeba spokojit se s bezpečnostními funkcemi nebo moduly obsaženými v podnikových balíčcích od stejného dodavatele poskytující jejich vrstvu správy identity nebo identity a přístupu (IAM).
Běžný příklad lze vidět v organizacích s balíkem Microsoft E3/E5, který již používá Active Directory + Azure AD jako vrstvu identity. Mohou se spokojit s Microsoft Defender for Identity a/nebo Azure AD Identity Protection, aby vyřešili své potřeby v oblasti zabezpečení identity.
Zatímco použití více produktů od stejného dodavatele jako součásti podnikového balíčku je obvykle nákladově efektivní, existují případy, kdy tento kompromis může vést k nákladným katastrofickým narušením – a kombinace identity a zabezpečení identity je jedním z nich. Zákazníci často plně nedoceňují, co hledat v řešení zabezpečení identity.
Než se podíváme na důvody, proč je tento kompromis chybný, zopakujme si několik definic.
Rozlišení mezi IAM a zabezpečením identity
IAM je součástí strategie zabezpečení IT organizace, která se zaměřuje na správu digitálních identit a přístupu uživatelů k datům, systémům a dalším zdrojům. Technologie IAM ukládají a spravují identity, aby poskytovaly možnosti jednotného přihlášení (SSO) nebo vícefaktorové autentizace (MFA), ale nejsou primárně navrženy jako bezpečnostní řešení pro detekci a prevenci narušení.
Zabezpečení identity je na druhé straně komplexní řešení vytvořené pouze za účelem detekce a prevence narušení identity, zejména když se protivníkům podaří obejít starší bezpečnostní opatření. Ideální řešení zabezpečení identit by mělo být součástí širší platformy zabezpečení s hlubokým přehledem do každé vrstvy podniku, která je vystavena narušení, aby bylo možné vytvářet přesnější detekce a reakce, včetně koncových bodů, cloudových úloh, identit a dat.
Úskalí při nákupu IAM a zabezpečení identity od stejného dodavatele
Konkurenční zájmy
Může to znít jako nesmysl, ale vyhýbat se oblastem konkurenčních zájmů dodavatele je při rozhodování o nákupu v oblasti kybernetické bezpečnosti často přehlíženo. Mělo by existovat jasné oddělení odpovědnosti. V účetnictví provádí auditor nezávislou kontrolu, aby ověřil správnost čísel, a při vývoji softwaru je kód testován poté, co jej vývojáři napsali. Stejný koncept platí pro bezpečnost; když si koupíte identitu a zabezpečení identity od stejného dodavatele, ignorujete tento základní princip zajištění neutrality.
Microsoft Active Directory je postavena na desítky let staré starší technologii a je široce považována za jeden z nejslabších článků strategie kybernetické obrany organizace. Každý rok jsou objeveny nové zranitelnosti AD, včetně nedávné, které by mohly během několika sekund vést k úplnému ohrožení domény. Zároveň je to jeden z nejpoužívanějších úložišť identit: stále na něj spoléhá více než 90 % organizací z Fortune 1000, díky čemuž je Active Directory velmi atraktivním cílem pro útoky založené na identitě.
Microsoft jako dodavatel identit má určité povinnosti poskytovat svým zákazníkům záplaty zranitelností AD, ale to je jen jedna část rovnice. Pokud je Microsoft také dodavatelem zabezpečení identit, měl by také rychle poskytnout možnosti detekce a nápravy, aby protivníci nemohli zahájit útoky využívající zranitelnosti v jeho produktech – ale to je oblast, kde opakovaně selhává u svých zákazníků.
Naproti tomu, když zabezpečení identity poskytuje neutrální dodavatel zaměřený na bezpečnost, jako je CrowdStrike, je tento konkurenční zájem eliminován. Jediným cílem CrowdStrike je chránit zákazníky před narušením a poskytovat zákazníkům proaktivní detekční a nápravné funkce – a nikoli opravovat zranitelná místa v produktech identity.
Další oblastí konkurenčního zájmu jsou integrace. Nabídka zabezpečení identity by měla být schopna integrovat se a poskytovat viditelnost napříč širokou řadou produktů identity, aby poskytovala jednotný pohled na identitu. Když však dodavatel identity poskytuje také vrstvu zabezpečení identity, neexistuje žádná pobídka k integraci s jinými dodavateli identit, aby poskytovali jedinou skleněnou tabuli, která poskytuje přehled o více úložištích identit napříč hybridním prostředím. Rozdíl je zřejmý u Microsoft Defender for Identity – je zaměřený na Microsoft, zatímco produkty CrowdStrike Falcon® fungují nejen s Active Directory a Azure AD, ale také s dalšími nejlepšími dodavateli IAM/MFA, jako jsou Okta, Ping, Duo, CyberArk a další.
Nedostatek bezpečnostní hloubky
Přestože slovo „identita“ je součástí „zabezpečení identity“, důraz musí být kladen na bezpečnost. Ideální řešení zabezpečení identit by mělo být součástí širší bezpečnostní platformy, která dokáže korelovat bezpečnostní informace z více zdrojů.
CrowdStrike Security Cloud koreluje biliony bezpečnostních událostí denně s indikátory útoku, špičkovým zpravodajstvím o hrozbách a podnikovou telemetrií napříč koncovými body zákazníků, pracovní zátěží, identitami a daty. Toto laserové zaměření na bezpečnost, zahrnující širokou škálu dat o útocích, umožňuje produktům Falcon poskytovat vysoce přesné detekce, stejně jako automatizovanou ochranu a nápravu.
Toto cílevědomé zaměření na bezpečnost je těžké dosáhnout pro softwarového monstra, jako je Microsoft, který má roky hlubokého technického dluhu ze starších produktů a také širokou škálu nových nabídek od cloudové infrastruktury a služeb po software, hardware a hry. Vzhledem ke svému staršímu přístupu z předcloudového světa se Microsoft neustále snaží opravit nově objevená zranitelnost ve svých produktech. Společnost se v průběhu let setkala s řadou bezpečnostních problémů, včetně kompromitace dodavatelského řetězce AD, zranitelnosti PrintNightmare a běžných chybných konfigurací AD, které útočníci zneužívají.
Tento nedostatek se znovu ukázal v nedávném exploitu noPac, který umožnil zlomyslným aktérům zkombinovat dvě kritická CVE související s Active Directory (CVE-2021-42278 a CVE-2021-42287), což vedlo k eskalaci oprávnění s přímou cestou ke kompromitovanému doména. Zatímco CrowdStrike Falcon Identity Threat Protection automaticky detekuje pokusy o zneužití těchto zranitelností a může blokovat noPac pomocí jednoduché zásady pro vynucení MFA, Microsoft reagoval poskytnutím záplat, které tyto zranitelnosti řeší ve svém vlastním produktu, ale s povinností zákazníka tyto opravy aplikovat. do každého řadiče domény AD.
Uzamčení dodavatele
Konkurenční zájmy jsou složitější, když dodavatel poskytující vrstvu identity také prodává cloudovou infrastrukturu a má vlastní zájem na přesunutí zákazníků do svého cloudu.
Když se dodavatel potýká s nově objevenou zranitelností nebo architektonickou chybou v její místní vrstvě identity (jako je Active Directory), může jednoduše vyzvat zákazníky, aby začali používat její vrstvu cloudové identity (jako je Azure AD), aby se této zranitelnosti vyhnuli. To je prakticky nemožné pro zákazníky, kteří na své AD infrastruktuře vybudovali vrstvy aplikací, jejichž migrace by trvala roky. Ještě důležitější je, že přesun do cloudu je nijak neochrání před protivníky, kteří v současnosti zneužívají zranitelnosti AD k tomu, aby způsobili zkázu.
Je zajímavé, že nedávná zpráva od společnosti Microsoft odhalila, že přijetí MFA v Azure AD zůstává nízké, přičemž většina identit Azure AD vyžaduje pouze uživatelské jméno a heslo – což podtrhuje skutečnost, že Azure AD není kouzelným lékem na bezpečnostní výzvy AD.
Uzamknutí dodavatele poškozuje zákazníky tím, že jim brání využívat dnešní multicloudovou realitu. Tomu lze čelit řešením zabezpečení identity od neutrálního dodavatele, jako je CrowdStrike, který nemá žádný zájem na tlačení zákazníků ke konkrétní cloudové infrastruktuře. Organizacím také poskytuje delší časový rámec na plánování a implementaci migrace hybridního cloudu, aniž by se během přechodu musely obávat porušení.
A konečně, přístup k zabezpečení více identit dodavatelů poskytuje podnikům flexibilitu při výběru poskytovatele MFA. CrowdStrike Falcon Identity Protection umožňuje okamžitou integraci s většinou předních poskytovatelů MFA – včetně Okta, Duo a Google Authenticator – a poskytuje tak organizacím bezproblémový MFA zážitek, místo aby byly dále uzamčeny v jednom MFA řešení jako u Microsoftu.
Proč by zabezpečení identity mělo být oddělené od identity
Moderní útoky, jako je ransomware, jsou obvykle založeny na identitě a silné řešení zabezpečení identity by mělo být klíčovou součástí vašeho celkového zabezpečení. Pokud se spokojíte s řešením zabezpečení identity, které je součástí podnikového balíčku od vašeho dodavatele identit, povede to k horším výsledkům zabezpečení a zvýší se riziko narušení. Vaše potřeby v oblasti zabezpečení identity by mnohem lépe vyhovovalo řešení od neutrálního dodavatele zabezpečení pro zabezpečení všech kritických oblastí podnikových rizik – koncových bodů, cloudových úloh, identity a dat.
Venu Shastri je ředitelkou produktového marketingu CrowdStrike.
