by Sprawdź wszystkie sesje na żądanie z Intelligent Security Summit tutaj.
Pomimo dwucyfrowego wzrostu budżetu, CISO i ich zespoły starają się powstrzymać wzrost wewnętrznych naruszeń, defraudacji i oszustw. Tożsamości są preferowanym wektorem ataku podczas recesji, zaostrzanej przez inflacyjne koszty podnoszące koszty utrzymania, co sprawia, że fałszywe twierdzenia o łatwych pieniądzach w wiadomościach phishingowych są jeszcze bardziej kuszące.
Jak zwierzył się jeden z CISO w niedawnym wywiadzie dla VentureBeat, „recesja urzeczywistnia aspekty ryzyka związanego z dochodami w przypadku biznesowym o zerowym zaufaniu, co pokazuje, dlaczego zabezpieczanie tożsamości zasługuje na pilność”.
Atakujący używają algorytmów uczenia maszynowego (ML) do tworzenia i uruchamiania włamań wolnych od złośliwego oprogramowania. Stanowią one 71% wszystkich wykryć zindeksowanych na wykresie zagrożeń CrowdStrike.
Najnowszy raport Falcon OverWatch Threat Hunting ilustruje, w jaki sposób strategie ataków mają na celu przede wszystkim tożsamość. „Kluczowym wnioskiem z raportu było to, że ponad 60% interaktywnych włamań zaobserwowanych przez OverWatch wiązało się z użyciem ważnych danych uwierzytelniających, które nadal są nadużywane przez przeciwników w celu ułatwienia początkowego dostępu i ruchu bocznego” – powiedział Param Singh, wiceprezes Falcon OverWatch w CrowdStrike.
Wydarzenie
Inteligentny szczyt bezpieczeństwa na żądanie
Poznaj kluczową rolę sztucznej inteligencji i uczenia maszynowego w cyberbezpieczeństwie i poznaj branżowe studia przypadków. Oglądaj sesje na żądanie już dziś.
Obejrzyj tutaj
Przejęcie Reposify przez CrowdStrike odzwierciedla sposób, w jaki wiodący dostawcy platform bezpieczeństwa cybernetycznego koncentrują się na przyjmowaniu nowych technologii w celu zapewnienia zarządzania zewnętrzną powierzchnią ataku, jednocześnie chroniąc przedsiębiorstwa przed zagrożeniami wewnętrznymi.
Reposify codziennie skanuje sieć w poszukiwaniu odsłoniętych zasobów, umożliwiając przedsiębiorstwom wgląd w nie i określając działania, które muszą podjąć, aby je naprawić. Podczas zeszłorocznej imprezy Fal.Con firma CrowdStrike ogłosiła plany wykorzystania technologii Reposify do pomocy swoim klientom w powstrzymywaniu ataków wewnętrznych.
Ataki na tożsamość gwałtownie rosną w gospodarce w dół
Naruszenia tożsamości przerwały w ubiegłym roku 78% operacji przedsiębiorstw, a 84% stwierdziło, że doświadczyło naruszenia tożsamości.
Tożsamości są głównym wektorem ataków dla osób atakujących w słabnącej gospodarce; ich strategie polegają na przejęciu kontroli nad organizacją. Ulubionymi celami atakujących są starsze systemy zarządzania tożsamością i dostępem uprzywilejowanym, które opierają się na zabezpieczeniach obwodowych, które często nie były aktualizowane od lat. Po wejściu napastnicy natychmiast przejmują uprawnienia administratora, tworzą fałszywe tożsamości i rozpoczynają eksfiltrację danych finansowych podczas próby przelewów pieniężnych.
Atakujący używają ChatGPT do precyzyjnego dostosowywania ataków socjotechnicznych na dużą skalę i wydobywania danych w celu przeprowadzania ataków phishingowych wielorybów. Z raportu Ivanti dotyczącego stanu gotowości w zakresie bezpieczeństwa w 2023 r. wynika, że prawie jeden na trzech dyrektorów generalnych i członków kierownictwa wyższego szczebla padł ofiarą oszustw typu phishing, klikając ten sam link lub wysyłając pieniądze.
Tożsamości są oblężone w okresach niepewności gospodarczej i recesji. CISO obawiają się, że pracownicy wewnętrzni zostaną oszukani w celu wyłudzenia ich haseł i poświadczeń dostępu uprzywilejowanego za pomocą socjotechniki i ataków typu phishing — lub, co gorsza, że mogą stać się nieuczciwi.
CISO, analitycy bezpieczeństwa wewnętrznego zatrudnieni w centrach operacji bezpieczeństwa (SOC) i liderzy zerowego zaufania powiedzieli VentureBeat, że nieuczciwy pracownik IT z uprawnieniami administratora to ich najgorszy koszmar.
Snowden przestrogą
Wszyscy CISO, którzy chcieli omówić ten problem z VentureBeat, odwoływali się do książki Edwarda Snowdena Trwały zapis jako przykład, dlaczego są tak zaniepokojeni nieuczciwymi napastnikami.
Jeden z CISO zacytował fragment: „Każdy analityk w dowolnym momencie może atakować każdego. Każdy selektor, gdziekolwiek ja, siedząc przy biurku, z pewnością miał uprawnienia do podsłuchiwania kogokolwiek, od ciebie lub twojego księgowego do sędziego federalnego, a nawet do prezydenta.
„Zawsze szukamy paliwa, aby nasi dyrektorzy wyższego szczebla i fundusze zarządu zerowego zaufania, a fragmenty książki Snowdena są skuteczne w wykonywaniu tego zadania”, powiedział VentureBeat jeden z dyrektorów ds. cyberbezpieczeństwa.
Główny najemca o zerowym zaufaniu monitoruje wszystko. Książka Snowdena zawiera ostrzeżenie, dlaczego jest to niezbędne.
Administratorzy systemów i bezpieczeństwa, z którymi rozmawiał VentureBeat, przyznają, że cyberataki przeprowadzane wewnętrznie są najtrudniejsze do zidentyfikowania i powstrzymania. Zdumiewające 92% liderów bezpieczeństwa twierdzi, że ataki wewnętrzne są równie złożone lub trudniejsze do zidentyfikowania niż ataki zewnętrzne. A 74% przedsiębiorstw twierdzi, że ataki wewnętrzne stały się częstsze; ponad połowa doświadczyła zagrożenia wewnętrznego w ciągu ostatniego roku, a 8% doświadczyło ponad 20 ataków wewnętrznych.
Dlaczego CISO szybko wdrażają IAM
Dyrektor generalny i współzałożyciel CrowdStrike, George Kurtz, skomentował: „Bezpieczeństwo oparte na tożsamości ma kluczowe znaczenie dla zerowego zaufania, ponieważ umożliwia organizacjom wdrażanie silnych i skutecznych kontroli dostępu w oparciu o specyficzne potrzeby ich użytkowników. Dzięki ciągłej weryfikacji tożsamości użytkowników i urządzeń organizacje mogą zmniejszyć ryzyko nieautoryzowanego dostępu i chronić się przed potencjalnymi zagrożeniami”.
Kurtz powiedział publiczności podczas swojego przemówienia na Fal.Con 2022, że „80% ataków lub kompromisów, które widzimy, wykorzystuje jakąś formę kradzieży tożsamości i danych uwierzytelniających”.
CISO, z którymi przeprowadzono wywiady na potrzeby tego artykułu, twierdzą, że w odpowiedzi na wzrost liczby ataków wewnętrznych, wysokie koszty błędnie skonfigurowanych tożsamości i nowe strategie ataków z zewnątrz, skierowane na ich platformy IAM, PAM i Active Directory, przyspieszają zarządzanie dostępem do tożsamości (IAM). .
Najwyższym priorytetem jest weryfikacja koncepcji IAM i szybkie śledzenie pilotaży na serwerach produkcyjnych w odpowiedzi na bardziej agresywne ataki na starsze narzędzia bez zaawansowanych funkcji bezpieczeństwa, w tym przechowalnie.
Wiodący dostawcy IAM to AWS Identity and Access Management, CrowdStrike, Delinea, Ericom, ForgeRock, Google Cloud Identity, IBM Cloud Identity, Ivanti i Microsoft Azure Active Directory.
Kroki, które podejmują CISO, aby uzyskać szybkie korzyści z IAM
Uzyskanie jak największej wartości z implementacji IAM jest uważane za podstawę ram i filozofii operacyjnej CISO dotyczącej dostępu do sieci o zerowym zaufaniu (ZTNA). Jest to tym bardziej pilne ze względu na niepewność gospodarczą i prognozowaną recesję.
Powstrzymanie epidemii poświadczeń zombie poprzez audyt wszystkich istniejących poświadczeń dostępu i praw
Częstym błędem jest importowanie wszystkich istniejących poświadczeń z istniejącego starszego systemu zarządzania tożsamością do nowego. CISO muszą zaplanować czas na audyt każdego poświadczenia i usunięcie tych, które nie są już potrzebne.
Badanie przeprowadzone przez firmę Ivanti wykazało, że 45% przedsiębiorstw podejrzewa, że byli pracownicy i podwykonawcy nadal mają aktywny dostęp do systemów i plików firmy. Dzieje się tak często dlatego, że wskazówki dotyczące anulowania obsługi administracyjnej nie były przestrzegane lub aplikacje innych firm oferują ukryty dostęp nawet po dezaktywacji poświadczeń.
„Duże organizacje często nie biorą pod uwagę ogromnego ekosystemu aplikacji, platform i usług stron trzecich, które zapewniają dostęp długo po zwolnieniu pracownika” — powiedział Srinivas Mukkamala, dyrektor ds. produktów firmy Ivanti. „Nazywamy to poświadczeniami zombie, a szokująco duża liczba specjalistów ds. bezpieczeństwa — a nawet kadry kierowniczej — nadal ma dostęp do systemów i danych byłych pracodawców”.
Przyjęcie uwierzytelniania wieloskładnikowego (MFA) ma kluczowe znaczenie na wczesnym etapie uruchamiania IAM
Usługę MFA należy najpierw zaprojektować w przepływach pracy, aby zminimalizować wpływ na doświadczenia użytkowników. Następnie CIO muszą zwiększyć świadomość bezpieczeństwa opartą na tożsamości, jednocześnie zastanawiając się, w jaki sposób technologie bezhasłowe mogą złagodzić potrzebę długoterminowej MFA.
Wiodący dostawcy uwierzytelniania bez hasła obejmują Microsoft Azure Active Directory (Azure AD), OneLogin Workforce Identity, Thales SafeNet Trusted Access i Windows Hello dla firm.
Egzekwowanie zarządzania tożsamością na urządzeniach mobilnych stało się podstawowym wymogiem, ponieważ więcej pracowników pozostanie wirtualnych. Spośród dostawców w tym obszarze Zero Sign-On (ZSO) firmy Ivanti jest jedynym rozwiązaniem, które łączy uwierzytelnianie bez hasła, zerowe zaufanie i usprawnioną obsługę użytkownika na platformie ujednoliconego zarządzania punktami końcowymi (UEM).
Firma Ivanti zaprojektowała narzędzie do obsługi danych biometrycznych — Face ID firmy Apple — jako drugorzędny czynnik uwierzytelniania przy uzyskiwaniu dostępu do osobistych i współdzielonych kont firmowych, danych i systemów. ZSO eliminuje konieczność stosowania haseł dzięki zastosowaniu protokołów uwierzytelniania FIDO2.
CIO mówią VentureBeat, że Ivanti ZSO jest zwycięzcą, ponieważ można go skonfigurować na dowolnym urządzeniu mobilnym i nie wymaga ładowania i łatania innego agenta, aby być aktualnym.
Wymagaj weryfikacji tożsamości przed udzieleniem dostępu do dowolnego zasobu
Najnowsza generacja platform IAM została zaprojektowana z myślą o elastyczności, możliwościach adaptacji i integracji z szerszym stosem technologii cyberbezpieczeństwa za pośrednictwem otwartych interfejsów API. Wykorzystaj adaptacyjne nowe platformy IAM, wymagając weryfikacji tożsamości w każdym zasobie, punkcie końcowym i źródle danych.
Zacznij od ścisłej kontroli i zezwalaj na dostęp tylko w wyjątkowych przypadkach, gdy tożsamości są ściśle monitorowane i weryfikowane. Każda transakcja z każdym zasobem musi być śledzona. Jest to podstawowa część podejścia do bezpieczeństwa opartego na zerowym zaufaniu. Rygorystyczne podejście do definiowania weryfikacji tożsamości ograniczy próby nieautoryzowanego dostępu ze strony pracowników, wykonawców lub innych osób z wewnątrz, chroniąc organizację przed zagrożeniami zewnętrznymi poprzez wymaganie weryfikacji tożsamości przed udzieleniem dostępu.
Skonfiguruj IAM, aby żaden człowiek nie mógł przejąć roli maszyny, zwłaszcza w konfiguracjach AWS
Jest to klucz do zerowego zaufania, ponieważ role ludzkie na platformie AWS muszą być ograniczone do dostępu o najniższych uprawnieniach.
Od DevOps, zespołów inżynieryjnych i produkcyjnych po zewnętrznych wykonawców pracujących w instancji AWS, nigdy nie pozwól, aby role ludzkie przecinały się lub miały dostęp do ról maszynowych. Niewłaściwe wykonanie tego zadania zwiększa powierzchnię ataku i może doprowadzić do tego, że nieuczciwy pracownik lub wykonawca przechwyci poufne dane o przychodach za pośrednictwem instancji AWS bez wiedzy kogokolwiek. Audytuj każdą transakcję i egzekwuj najmniej uprzywilejowany dostęp, aby uniknąć naruszenia.
Monitoruj całą aktywność IAM aż do poziomu tożsamości, roli i poświadczeń
Dane w czasie rzeczywistym o tym, jak, gdzie i do jakich zasobów uzyskuje dostęp każda tożsamość, rola i poświadczenie — oraz czy jakiekolwiek próby dostępu są poza zdefiniowanymi rolami — są kluczowe dla osiągnięcia ram bezpieczeństwa o zerowym poziomie zaufania.
CISO mówią firmie VentureBeat, że należy traktować zagrożenia tożsamości jako wielopłaszczyznowe i bardziej złożone, niż się początkowo wydaje, gdy są wykrywane po raz pierwszy dzięki monitorowaniu i wykrywaniu zagrożeń. Doskonałym powodem do monitorowania całej aktywności IAM jest wyłapywanie potencjalnych błędnych konfiguracji i wynikających z nich luk w zidentyfikowanych obszarach stosu technologii.
Jeden z menedżerów SOC dla firmy świadczącej usługi finansowe powiedział VentureBeat, że monitoring uratował ich firmę przed włamaniem. Atakujący włamał się do samochodów kilku pracowników i ukradł ich identyfikatory oraz wszelkie znalezione dane uwierzytelniające — w tym laptopy — a następnie wykorzystał je do uzyskania dostępu do systemów księgowych firmy. Włamanie zostało natychmiast zablokowane za pomocą monitoringu, ponieważ pracownicy poinformowali IT, że ich laptopy zostały skradzione na początku tego tygodnia.
Bycie bezpiecznym w czasach spowolnienia gospodarczego zaczyna się od tożsamości
CISO, CIO, menedżerowie SOC i analitycy śledzący alerty i zagrożenia twierdzą, że luki pozostawione przez starsze systemy zarządzania tożsamością są najsłabszym ogniwem bezpieczeństwa, z którym muszą sobie radzić w czasach spowolnienia gospodarczego.
Starsze systemy IAM były używane głównie do kontroli zapobiegawczej, ale dziś każda organizacja potrzebuje bardziej odpornego na cyberataki podejścia do ochrony każdej maszyny i tożsamości człowieka w swojej firmie.
Implementacje IAM są realizowane w trybie przyspieszonym, aby zapewnić, że tylko uprawnieni użytkownicy mają najmniej uprzywilejowany dostęp do zasobów, których potrzebują do wykonywania swojej pracy. Cel polegający na uniemożliwieniu nieautoryzowanym użytkownikom dostępu do sieci zaczyna się od pozbycia się poświadczeń zombie.
Monitorowanie działań użytkowników jest koniecznością dla każdej implementacji IAM, ponieważ może zatrzymać naruszenie w określonych sytuacjach i zapobiec oszustwom, zanim się rozpoczną.
Misja VentureBeat ma być cyfrowym placem miejskim dla decydentów technicznych, którzy będą mogli zdobywać wiedzę na temat transformacyjnej technologii korporacyjnej i przeprowadzać transakcje. Odkryj nasze briefingi.
