Идентичность - новый фронт кибербезопасности
Персональные данные - это поле боя, на котором теперь должны сражаться все организации. Реагирование на эту растущую угрозу не является факультативным, поскольку идентификация лежит в основе процессов и технологий, обеспечивающих новый мир удаленной и гибридной работы.
"Человеческий фактор" вовлечен в 85% случаев взлома, а кража и неправомерное использование учетных данных в настоящее время являются причиной 61% инцидентов, считают специалисты по кибербезопасности. Злоумышленники знают об этом, и они постоянно ищут способы получения доступа к действительным учетным данным, которые они могут использовать для получения доступа к сети и последующего незамеченного перемещения в поисках новых целей.
Попав в сеть, злоумышленники оказываются далеко за пределами защиты традиционного периметра. Если целевая организация не развернула соответствующие средства защиты, субъекты угроз могут нанести удар в глубине сети по незащищенным инфраструктурам. Их целью часто становятся такие ресурсы, как Active Directory (AD), которую 90 процентов компаний из списка Global Fortune 1000 используют для обеспечения аутентификации и авторизации. Если злоумышленнику удается расширить свои привилегии и получить доступ к мощной учетной записи администратора в AD, для защитников битва проиграна.
Несомненно, безопасность персональных данных находится в аварийном состоянии. Но организации могут решить эту проблему с помощью решений для обнаружения и реагирования на угрозы идентификации (ITDR), способных обнаруживать эскалацию атак и латеральное перемещение в локальных и облачных сетях.
Персональные данные под угрозой
Переход к удаленной работе предоставил киберпреступникам множество целей для атак, в частности, корпоративные идентификационные данные. С ростом общедоступного облака и значительным увеличением количества человеческих и нечеловеческих идентификаторов, таких как приложения, базы данных и хранилища данных, организациям приходится создавать идентификаторы быстро, в больших объемах и зачастую без четкой видимости создаваемых рисков. В этом взрыве создания идентификационных данных есть своя досадная ирония, поскольку инфраструктура, обеспечивающая работу современной рабочей силы, также содержит слабые места, которые могут привести к ее разрушению.
Традиционные средства безопасности не могут справиться с недавним взрывом количества идентификационных данных, что означает чрезмерное предоставление доступа и дальнейшее усиление рисков безопасности. По оценкам компании Gartner, к 2023 году 75 процентов сбоев в системе безопасности будут "вызваны неадекватным управлением идентификационными данными, доступом и привилегиями, что на 50 процентов больше, чем в 2020 году".
Эта огромная "дыра" в безопасности является "лакомым кусочком" для злоумышленников и подвигает их на новые акции. Кража идентификационных данных позволяет киберзлодеям выдавать себя за авторизованных пользователей, чтобы получить доступ к ресурсам и перемещаться по сети и облачной среде организации. Осуществление такого рода атак теперь стало тревожно простым. Всегда найдется один сотрудник, которого злоумышленники смогут обманом заставить передать пароль. Если нет, они могут купить учетные данные в даркнете. В эпоху, когда внешняя защита становится пористой со множеством уязвимостей и, соответственно, проницаемой для хакерских атак, сохранить в безопасности и уберечь личные данные от кражи становиться все труднее и труднее.
После завоевания первоначального плацдарма злоумышленники обычно ищут возможности для повышения привилегий. Они проводят разведку для определения последующих целей, компрометации идентификационных данных, что позволяет им похитить данные, запустить вымогательское ПО или нарушить работу служб. Если защитники потерпят неудачу на этом этапе атаки и противники смогут использовать AD, существует реальный риск, что остановить атаку будет слишком поздно и последствия ее будут катастрофичны. С другой стороны, правильное развертывание систем обнаружение угроз идентификации и реагирование на них (ITDR) может выявить несанкционированные запросы и индикаторы атаки, остановив злоумышленников и предотвратив проникновение.
Обнаружить, ответить, победить
Организациям необходимо противостоять современным угрозам, защищая идентификационные данные в масштабах всего предприятия с помощью средств защиты доступа на основе идентификации и наименьших привилегий, способных обнаруживать эскалацию атак и "горизонтальное" перемещение в локальных и облачных сетях.
Решения ITDR могут обнаруживать кражу учетных данных, злоупотребление привилегиями, атаки на AD и потенциально рискованные права доступа, которые создают пути для атак. Эта технология направлена на защиту идентификационных данных, прав доступа и систем, которые ими управляют. Она идет дальше, чем такие инструменты, как IAM, PAM или IGA, которые охватывают авторизацию и аутентификацию для предоставления контролируемого доступа к ресурсам. ITDR выходит за рамки других решений для идентификации, обеспечивая видимость неправомерного использования учетных данных, подчеркивая уязвимости прав доступа и выявляя эскалацию привилегий, где бы она ни происходила - от конечных точек до AD или малозаметных уголков облачных систем.
Но ITDR - это не просто защитная оболочка. Он также дает организациям возможность предпринимать проактивные действия с помощью обмана. Защитники могут размещать фальшивые данные на пути злоумышленников, что отвлекает их от реальных целей, таких как AD, и направляет их к приманке, где защитники могут помешать, изолировать и наблюдать за действиями киберзлодеев. Решение ITDR также может собирать телеметрические и криминалистические данные во время инцидента, вооружая защитников сведениями, которые позволят им отразить подобные атаки.
Организации, развернувшие ITDR, смогут обеспечить себе безопасность на будущее, получив возможность отслеживать все уязвимости, которые могут позволить злоумышленникам атаковать идентификационные данные. Такая видимость позволяет командам безопасности оценить безопасность учетных данных, хранящихся на конечных точках, или неправильную конфигурацию AD, которая открывает возможности для утечки данных. Также выявляются избыточные права доступа, которые позволяют злоумышленникам получить доступ к конфиденциальным данным или рабочим нагрузкам в облачных средах. Ограничение возможностей доступа сокращает возможности злоумышленников.
ITDR также может защитить идентификационные данные машин в облаке. Сегодня идентификаторы нужны не только пользователям, чтобы выполнять свою работу. Контейнеры, приложения и другие активы требуют прав доступа и часто получают избыточные привилегии, что приводит к разрастанию прав доступа и дает злоумышленникам больше ценных целей для эксплуатации. ITDR позволяет защитникам понять сложную сеть идентификационных данных и полномочий в облаке и дает им необходимые сведения для блокировки этих потенциальных поверхностей атаки.
Понимание идентичности
В ближайшие месяцы и годы перед организациями встанет, как может показаться, сложная задача обеспечения безопасности корпоративных идентификационных данных, имеющих решающее значение для их цифровой инфраструктуры. Если они будут использовать традиционные или ручные инструменты, предприятия, скорее всего, обнаружат, что они не успевают за динамичными облачными средами. Однако если защитники развернут ITDR и примут правильный подход к обеспечению видимости рисков, связанных с идентификацией, они смогут снизить риск атаки, и их облачное развертывание не станет самым слабым звеном кибербезопасности.