Kun identiteettiin perustuvien loukkausten riski kasvaa, kuten viimeaikaisissa kiristysohjelmissa ja toimitusketjuhyökkäyksissä näkyy, yritykset alkavat ymmärtää identiteettiturvan tarvetta. Kun he arvioivat, kuinka identiteettisuojaa voidaan parhaiten vahvistaa, he haluavat usein tyytyä tietoturvaominaisuuksiin tai -moduuleihin, jotka sisältyvät saman toimittajan yrityspaketteihin, jotka tarjoavat heidän identiteettinsä tai identiteetin ja pääsynhallintakerroksen (IAM).
Yleinen esimerkki voidaan nähdä organisaatioissa, joissa on Microsoft E3/E5 -paketti, joka käyttää jo Active Directory + Azure AD:ta identiteettikerroksena. He voivat tyytyä Microsoft Defender for Identityyn ja/tai Azure AD Identity Protectioniin vastatakseen identiteettiturvatarpeisiinsa.
Vaikka useiden saman toimittajan tuotteiden käyttäminen osana yrityspakettia on yleensä kustannustehokasta, on tapauksia, joissa tämä kompromissi voi johtaa kalliisiin, katastrofaalisiin rikkomuksiin – ja identiteetin ja identiteettisuojauksen yhdistäminen on yksi niistä. Asiakkaat eivät usein ymmärrä täysin, mitä identiteettiturvaratkaisussa kannattaa etsiä.
Ennen kuin tarkastelemme syitä, miksi tämä kompromissi on virheellinen, tarkastellaan muutamia määritelmiä.
IAM:n ja identiteettisuojauksen erottaminen
IAM on osa organisaation tietoturvastrategiaa, joka keskittyy digitaalisten identiteettien hallintaan ja käyttäjien pääsyyn dataan, järjestelmiin ja muihin resursseihin. IAM-tekniikat tallentavat ja hallitsevat identiteettejä tarjotakseen SSO- tai monitekijätodennusominaisuuksia, mutta niitä ei ole suunniteltu ensisijaisesti tietoturvaratkaisuksi tietomurtojen havaitsemiseen ja estämiseen.
Identiteettiturva puolestaan on kokonaisvaltainen ratkaisu, joka on rakennettu ainoastaan tunnistamaan ja ehkäisemään identiteettiin perustuvia loukkauksia, varsinkin kun vastustajat onnistuvat ohittamaan vanhat turvatoimenpiteet. Ihanteellisen identiteetin suojausratkaisun tulisi olla osa laajempaa tietoturva-alustaa, jossa on syvä näkyvyys yrityksen jokaiselle tasolle, joka on alttiina tietomurroille, jotta voidaan luoda tarkempia havaintoja ja vastauksia, mukaan lukien päätepisteet, pilvityökuormat, identiteetit ja tiedot.
Sudenkuopat IAM:n ja Identity Securityn ostamisessa samalta toimittajalta
Kilpailevat kiinnostuksen kohteet
Tämä saattaa kuulostaa järjettömältä, mutta toimittajan kilpailevien etujen välttäminen jää usein huomiotta tehtäessä kyberturvallisuuden ostopäätöksiä. Vastuu tulee erottaa selkeästi. Kirjanpidossa tilintarkastaja tekee riippumattoman tarkastuksen varmistaakseen numeroiden oikeellisuuden, ja ohjelmistokehityksessä koodi testataan sen jälkeen, kun kehittäjät ovat kirjoittaneet sen. Sama käsite koskee turvallisuutta; Kun ostat identiteetin ja identiteettiturvan samalta toimittajalta, jätät huomioimatta tämän neutraalisuuden varmistamisen perusperiaatteen.
Microsoft Active Directory on rakennettu vuosikymmeniä vanhaan teknologiaan, ja sitä pidetään laajalti yhtenä heikoimmista lenkeistä organisaation kyberpuolustusstrategiassa. Uusia AD-haavoittuvuuksia löydetään joka vuosi, mukaan lukien äskettäinen haavoittuvuus, joka voi johtaa täydelliseen verkkotunnuksen vaarantumiseen muutamassa sekunnissa. Samalla se on yksi laajimmin käytetyistä identiteettivarastoista: yli 90 % Fortune 1000 -organisaatioista luottaa edelleen siihen, mikä tekee Active Directorystä erittäin houkuttelevan kohteen identiteettiin perustuville hyökkäyksille.
Identiteettitoimittajana Microsoftilla on joitain velvollisuuksia tarjota asiakkailleen korjaustiedostoja AD-haavoittuvuuksiin, mutta se on vain yksi osa yhtälöä. Jos Microsoft on myös henkilöllisyyden suojauksen toimittaja, sen tulisi myös tarjota viipymättä havaitsemis- ja korjausominaisuudet, jotta vastustajat eivät voi käynnistää hyökkäyksiä hyödyntäen sen tuotteiden haavoittuvuuksia – mutta tällä alueella se on toistuvasti pettänyt asiakkaitaan.
Sitä vastoin, kun identiteettiturvan tarjoaa neutraali, turvallisuuteen keskittynyt toimittaja, kuten CrowdStrike, tämä kilpaileva etu eliminoituu. CrowdStriken ainoa tavoite on suojella asiakkaita rikkomuksilta ja tarjota asiakkaille ennakoivia havaitsemis- ja korjausominaisuuksia – ei identiteettituotteiden haavoittuvuuksien korjaaminen.
Toinen kilpaileva kiinnostuksen kohde on integraatiot. Identiteetin suojaustarjouksen tulisi kyetä integroitumaan ja tarjoamaan näkyvyyttä useiden identiteettituotteiden kanssa yhtenäisen identiteettinäkymän tarjoamiseksi. Kuitenkin, kun identiteetin toimittaja tarjoaa myös identiteetin suojauskerroksen, ei ole kannustinta integroida muiden identiteettitoimittajien kanssa tarjoamaan yksi lasi, joka antaa näkyvyyden useisiin identiteettivarastoihin hybridimaisemissa. Ero näkyy Microsoft Defender for Identityssä – se on Microsoft-keskeinen, kun taas CrowdStrike Falcon® -tuotteet toimivat Active Directoryn ja Azure AD:n lisäksi myös muiden parhaiden IAM/MFA-toimittajien, kuten Okta, Ping, Duo, kanssa. CyberArk ja muut.
Turvallisuuden syvyyden puute
Vaikka sana "identiteetti" on osa "identiteettiturvaa", painopisteen on oltava turvassa. Ihanteellisen identiteetin suojausratkaisun tulisi olla osa laajempaa suojausalustaa, joka voi yhdistää useista lähteistä peräisin olevia tietoturvatietoja.
CrowdStrike Security Cloud korreloi biljoonia tietoturvatapahtumia päivässä hyökkäysindikaattoreihin, alan johtavaan uhkatietoihin ja yritystelemetriaan eri asiakaspäätepisteistä, työkuormista, identiteeteistä ja tiedoista. Tämä turvallisuuteen keskittyvä laser, joka sisältää laajan valikoiman hyökkäystietoja, mahdollistaa Falconin tuotteiden erittäin tarkan havaitsemisen sekä automaattisen suojauksen ja korjaamisen.
Tämä yksimielinen keskittyminen turvallisuuteen on vaikea saavuttaa Microsoftin kaltaiselle ohjelmistohirviölle, jolla on vuosia syvää teknistä velkaa vanhoista tuotteista ja myös laaja valikoima uusia tarjouksia pilviinfrastruktuurista ja -palveluista ohjelmistoihin, laitteistoihin ja pelaamiseen. Pilviä edeltävästä maailmasta peräisin olevan vanhan lähestymistavan ansiosta Microsoft pyrkii jatkuvasti korjaamaan äskettäin havaittuja haavoittuvuuksia tuotteissaan. Yritys on kokenut vuosien varrella useita tietoturvaongelmia, mukaan lukien AD-toimitusketjun vaarantaminen, PrintNightmare-haavoittuvuus ja yleiset AD-virheasetukset, joita hyökkääjät käyttävät hyväkseen.
Tämä puute osoitti jälleen kerran äskettäisessä noPac-hyödyntämisessä, jonka ansiosta pahantahtoiset toimijat pystyivät yhdistämään kaksi Active Directoryyn liittyvää kriittistä CVE:tä (CVE-2021-42278 ja CVE-2021-42287), mikä johti oikeuksien eskaloitumiseen suoralla tiellä vaarantuneeseen paikkaan. verkkotunnus. Vaikka CrowdStrike Falcon Identity Threat Protection havaitsee automaattisesti näiden haavoittuvuuksien hyödyntämisyritykset ja voi estää noPacin yksinkertaisella käytännöllä MFA:n pakottamiseksi, Microsoftin vastaus oli tarjota korjaustiedostoja näiden haavoittuvuuksien korjaamiseksi omassa tuotteessaan, mutta asiakkaan velvollisuutena on asentaa nämä korjaustiedostot. jokaiseen AD-toimialueen ohjaimeen.
Myyjän lukitus
Kilpailevat intressit monimutkaistuvat, kun identiteettikerroksen tarjoava toimittaja sattuu myös myymään pilviinfrastruktuuria ja sillä on oma intressi siirtää asiakkaat pilviensä.
Kun toimittaja kohtaa äskettäin löydetyn haavoittuvuuden tai arkkitehtonisen virheen sen paikallisessa identiteettikerroksessa (kuten Active Directoryssa), toimittaja voi yksinkertaisesti rohkaista asiakkaita käyttämään pilvitunnistuskerrosta (kuten Azure AD) haavoittuvuuden välttämiseksi. Tämä on käytännössä mahdotonta asiakkaille, jotka ovat rakentaneet AD-infrastruktuurinsa päälle sovelluksia, joiden siirtyminen kestäisi vuosia. Vielä tärkeämpää on, että pilveen siirtyminen ei suojaa heitä vihollisilta, jotka tällä hetkellä käyttävät hyväkseen AD-haavoittuvuuksia tuhoamaan.
Mielenkiintoista on, että Microsoftin äskettäinen raportti paljasti, että MFA:n käyttöönotto Azure AD:ssa on edelleen vähäistä, sillä suurin osa Azure AD -identiteeteistä vaatii vain käyttäjätunnuksen ja salasanan. Tämä korostaa tosiasiaa, että Azure AD ei ole taika parannuskeino AD:n tietoturvahaasteisiin.
Toimittajien lukkiutuminen vahingoittaa asiakkaita estämällä heitä hyödyntämästä nykypäivän monipilvitodellisuutta. Tämä voidaan torjua neutraalin toimittajan, kuten CrowdStrike, identiteettiturvaratkaisulla, jolla ei ole omaa intressiä työntää asiakkaita kohti tiettyä pilviinfrastruktuuria. Se tarjoaa myös pidemmän aikakehyksen organisaatioille suunnittelemaan ja toteuttamaan hybridipilvisiirtoa ilman, että heidän tarvitsee huolehtia siirtymävaiheen rikkomuksista.
Lopuksi usean identiteetin toimittajan suojausmenetelmä antaa yrityksille joustavuutta valita MFA-toimittajansa. CrowdStrike Falcon Identity Protection mahdollistaa integraation useimpien johtavien MFA-palveluntarjoajien kanssa – mukaan lukien Okta, Duo ja Google Authenticator – tarjoamalla organisaatioille kitkattoman MFA-kokemuksen sen sijaan, että ne olisivat edelleen lukittuina yhteen MFA-ratkaisuun, kuten Microsoftin kanssa.
Miksi identiteettiturvan tulisi olla erillään identiteetistä
Nykyaikaiset hyökkäykset, kuten kiristysohjelmat, ovat tyypillisesti identiteettilähtöisiä, ja vahvan identiteetin suojausratkaisun tulisi olla keskeinen osa yleistä tietoturva-asentoa. Identiteettitoimittajasi yrityspakettiin sisältyvään identiteettiturvaratkaisuun tyytyminen johtaa huonompiin tietoturvatuloksiin ja lisää tietomurtojen riskiä. Henkilöllisyyden suojaustarpeitasi palvelisi paljon paremmin neutraalin tietoturvatoimittajan ratkaisu, joka suojaa kaikki kriittiset yritysriskin osa-alueet – päätepisteet, pilvityökuormat, identiteetit ja tiedot.
Venu Shastri on CrowdStriken tuotemarkkinoinnin johtaja.