7 najlepszych praktyk zarządzania tożsamością maszyn

Zarządzanie tożsamością maszyn może być równie ważne jak zarządzanie tożsamością ludzi, zwłaszcza w środowisku Zero Trust

7 najlepszych praktyk zarządzania tożsamością maszyn

Thinkstock

Tożsamość maszyn stanowi dużą i szybko rosnącą część powierzchni ataku w przedsiębiorstwie. Liczba maszyn - serwerów, urządzeń i usług - gwałtownie rośnie, a wysiłki zmierzające do ich zabezpieczenia często kończą się niepowodzeniem.

Cyberprzestępcy i inni uczestnicy zagrożeń szybko to wykorzystują. Według raportu opublikowanego wiosną ubiegłego roku przez firmę Venafi, zajmującą się bezpieczeństwem cybernetycznym, liczba ataków cybernetycznych, w których wykorzystano tożsamość maszyn, wzrosła o 1600% w ciągu ostatnich pięciu lat.

Zobacz również:

  • Google ogłasza ogólną dostępność uwierzytelniania się za pomocą kluczy dostępu
  • 8 błędów strategii danych, których należy unikać
  • 5G - rozwój jeszcze przed nami, 6G - tuż tuż, za rogiem

Firma badawcza Gartner w raporcie opublikowanym jesienią ubiegłego roku uznała tożsamość maszyn za jeden z najważniejszych trendów w dziedzinie cyberbezpieczeństwa w tym roku. Według innego raportu Gartnera, w 2020 roku 50% niepowodzeń w zakresie bezpieczeństwa chmury będzie wynikać z nieodpowiedniego zarządzania tożsamością, dostępem i uprawnieniami. W 2023 roku odsetek ten wzrośnie do 75%.

„Każdego roku wydajemy miliardy dolarów na zarządzanie tożsamością i dostępem dla ludzi - od biometrii po zarządzanie dostępem do przywilejów - ale bardzo mało czasu poświęcamy na ochronę tożsamości naszych maszyn” - powiedział Kevin Bocek, wiceprezes ds. strategii bezpieczeństwa i analizy zagrożeń w firmie Venafi. „Jednak podobnie jak w przypadku tożsamości ludzkiej, tożsamość maszynowa w rękach niewłaściwej osoby może zostać źle wykorzystana”.

Przedsiębiorstwa często pokładają zbyt duże zaufanie w maszynach w swoich sieciach, mówi Chris Owen, dyrektor ds. zarządzania produktami w firmie Saviynt. „Oznacza to, że mogą one łączyć się z innymi zasobami sieciowymi bez interwencji człowieka lub tradycyjnych form uwierzytelniania” - mówi. „Jeśli więc dojdzie do naruszenia bezpieczeństwa maszyny, napastnicy mogą poruszać się po sieci, wykorzystując ścieżki komunikacji między maszynami”.

Na szczęście, przedsiębiorstwa zaczynają zdawać sobie sprawę z tego problemu. Według raportu opublikowanego w marcu przez Ponemon Institute i Keyfactor, 61% specjalistów IT twierdzi, że kradzież lub niewłaściwe wykorzystanie tożsamości maszyn jest poważnym problemem, co stanowi wzrost w porównaniu z 34% w zeszłym roku.

Świadomość jest pierwszym krokiem do rozwiązania tego problemu, ale firmy mogą podjąć inne, bardziej konkretne kroki, aby zacząć kontrolować kwestię tożsamości maszyn. Poniżej przedstawiamy siedem z nich.

1. Poznaj swoje certyfikaty, klucze i zasoby cyfrowe

Według Ponemon, przeciętna organizacja IT posiada ponad 267 000 wewnętrznych certyfikatów, co stanowi wzrost o 16% w porównaniu z ubiegłym rokiem. Certyfikaty i klucze są związane z infrastrukturą operacyjną, z IoT, z infrastrukturą IT w siedzibie firmy, z infrastrukturą w chmurze oraz z infrastrukturą skonteneryzowaną. Niektóre z tych certyfikatów i kluczy są stare. Niektóre są zakodowane na sztywno. Niektóre są splecione z innymi tożsamościami.

Według opublikowanego jesienią ubiegłego roku badania przeprowadzonego przez Vanson Bourne wśród decydentów ds. bezpieczeństwa IT w imieniu AppViewX, 61% organizacji nie ma pełnej świadomości certyfikatów i kluczy dla swoich zasobów cyfrowych. Spośród tych, którzy nie są świadomi, 96% stwierdziło, że doświadczyło konsekwencji. Najczęstszy problem? Naruszenie bezpieczeństwa cybernetycznego, zgłoszone przez 55% respondentów. Awarie systemów zgłosiło 35% respondentów, a 33% zgłosiło straty finansowe.

Ian Reay, wiceprezes ds. inżynierii w Hitachi ID Systems, twierdzi, że widział przypadki, w których firmy miały poważne problemy, ponieważ nie wiedziały, co dzieje się z tożsamością maszyn. Na przykład, jedna z dużych amerykańskich organizacji przeprowadzała konserwację drukarek marketingowych i musiała zmienić hasła. „To tylko drukarki. Co może pójść nie tak?” zapytał Reay. „Zastosowano się do wszystkich kontroli zmian i zmieniono hasła. Wtedy zdali sobie sprawę, że ich systemy produkcyjne przestały działać i nie wiedzieli dlaczego”.

Po kilku bardzo stresujących godzinach globalnych przestojów zrozumieli, co się stało. „Około 20 lat wcześniej jeden z administratorów używał konta drukarki do innych celów” - mówi Reay. „Stało się ono zaplątane. Było używane zarówno do drukarek, jak i do środowiska produkcyjnego. Jest to niezwykle trudne do przewidzenia z wyprzedzeniem”. Kiedy próbowano zmienić hasło z powrotem na stare, nie udało się. Stare hasło nie spełniało już zasad dotyczących haseł w Active Directory. Konieczne było zaangażowanie kierownictwa wyższego szczebla, aby zezwolić na wyjątek od zasad dotyczących haseł.

Przedsiębiorstwa mają tendencję do posiadania wielu list, które są podzielone, źle utrzymywane i pełne błędów" - mówi Reay. „Odkryliśmy, że nasi klienci, nawet ci wyprzedzający innych, w większości nie są w stanie poradzić sobie z tym problemem. Jest to zbyt zniechęcające”.

2. Często zmieniaj klucze i certyfikaty

Kiedy klucze i certyfikaty są statyczne, stają się łatwym celem do kradzieży i ponownego wykorzystania, mówi Anusha Iyer, współzałożycielka i dyrektor techniczny w firmie Corsha, dostawcy rozwiązań cyberbezpieczeństwa. W rzeczywistości ataki typu „credential stuffing w dużej mierze przeniosły się z ludzkich nazw użytkowników i haseł na dane uwierzytelniające API, które są obecnie zasadniczo pełnomocnikami tożsamości maszyn” - mówi.

Ponieważ ekosystemy API rozwijają się w ogromnym tempie, problem ten staje się coraz trudniejszy. Niewłaściwe zarządzanie tożsamościami maszyn może prowadzić do powstania luk w zabezpieczeniach, zgadza się Prasanna Parthasarathy, starszy menedżer ds. rozwiązań w Centrum Doskonalenia Cyberbezpieczeństwa w Capgemini Americas. W najgorszym przypadku atakujący mogą zniszczyć całe obszary środowiska IT za jednym razem. „Atakujący mogą wykorzystać znane wywołania API z prawdziwym certyfikatem, aby uzyskać dostęp do kontroli procesów, transakcji lub infrastruktury krytycznej - z katastrofalnymi skutkami”. Aby się przed tym ustrzec, firmy powinny mieć ścisłą autoryzację maszyn źródłowych, połączeń w chmurze, serwerów aplikacji, urządzeń przenośnych i interakcji API, mówi Parthasarathy. Co najważniejsze, zaufane certyfikaty nie powinny być statyczne. „Powinny być często zmieniane lub aktualizowane. Nigdy nie powinny być na stałe zakodowane w wywołaniu API”.

Parthasarathy przyznaje, że zmiana certyfikatów dla każdej transakcji może być trudna, ale dzięki częstszym aktualizacjom przedsiębiorstwa będą miały bezpieczniejsze środowisko. Ponadto firmy muszą posiadać procesy umożliwiające natychmiastowe unieważnienie certyfikatów i kluczy w przypadku wycofania urządzeń lub procesów z użytku. Gartner zaleca firmom usunięcie z całej infrastruktury komputerowej zaufania ukrytego i zastąpienie go zaufaniem adaptacyjnym w czasie rzeczywistym.

3. Zaadaptuj rozwiązania do zarządzania tożsamością maszyn

Gartner zalicza zarządzanie tożsamością maszyn do kategorii technologii zarządzania tożsamością i dostępem (IAM). Według najnowszego hype cycle tej firmy, zarządzanie tożsamością maszyn zbliża się do szczytu rozdętych oczekiwań, a od „plateau produktywności” dzieli je jeszcze od dwóch do pięciu lat.

Według badania przeprowadzonego przez Vanson Bourne, 95% organizacji wdraża lub planuje wdrożenie zautomatyzowanych przepływów pracy związanych z zarządzaniem tożsamością maszyn, zarządzania tożsamością maszyn jako usługi lub możliwości zarządzania cyklem życia certyfikatów w hybrydowych modelach wdrożeniowych. Jednak tylko 32% z nich w pełni wdrożyło nowoczesne zarządzanie tożsamością maszyn. Według badania, 53% organizacji nadal wykorzystuje arkusze kalkulacyjne jako podstawę zarządzania tożsamością maszyn, a 93% ma arkusze kalkulacyjne gdzieś w procesie.

Jeden z problemów, mówi Chris Hickman, dyrektor generalny Keyfactor, polega na tym, że w większości organizacji własność tożsamości maszyn jest raczej domniemana niż wyraźnie przypisana. „Dlatego wiele organizacji stosuje silosowe podejście do zarządzania tożsamością maszyn, a co gorsza, wieloma z tych tożsamości nie zarządza nikt” - zaleca on firmom utworzenie głównych, przekrojowych grup, które byłyby odpowiedzialne za zarządzanie wszystkimi tożsamościami maszyn.

4. Wdróż automatyzację

Według badania przeprowadzonego przez Vanson Bourne, firmy, które zautomatyzowały przepływy pracy w ramach zarządzania tożsamością maszyn, odnotowują znaczące korzyści. Spośród tych, które wprowadziły automatyzację, 50% jest w stanie śledzić wszystkie certyfikaty i klucze, w porównaniu z zaledwie 28% firm, które nie wprowadziły automatyzacji. Tylko 33% organizacji w pełni wdrożyło zautomatyzowane przepływy pracy, a 48% nadal jest w trakcie tego procesu. Kolejne 15% planuje wprowadzenie automatyzacji, a tylko 4% nie ma żadnych planów w tym obszarze.

Decydenci ds. bezpieczeństwa IT stwierdzili, że oczekują, iż automatyzacja obniży koszty, skróci czas poświęcany na zarządzanie kluczami i certyfikatami oraz uprości i usprawni przepływy pracy. e„Automatyzacja jest niezbędna” - mówi Bocek z firmy Venafi. "Inicjatywy związane z transformacją cyfrową utkną w martwym punkcie bez zautomatyzowanego zarządzania". Jak dodaje, automatyzacja ograniczy również możliwość popełnienia błędu przez człowieka, co może otworzyć drogę do naruszenia bezpieczeństwa.

5. Uwzględnij chmurę w planach zarządzania tożsamością maszyn

Jak wynika z badania przeprowadzonego przez firmę Vanson Bourne, w miarę jak firmy przenoszą infrastrukturę z obiektów do chmury, 92% z nich musiało ponownie przemyśleć i zmienić rozwiązania do zarządzania tożsamością maszyn. Z kolei 76% twierdzi, że stosowane przez nich rozwiązania nie są w pełni zdolne do obsługi wdrożeń chmurowych lub hybrydowych.

Podejście typu „jedna szyba” do zarządzania tożsamością maszyn nie jest jeszcze praktyczne w środowiskach wielochmurowych, powiedział Laurence Goasduff, analityk firmy Gartner, w swoim ostatnim raporcie. Jego zdaniem, firmy mogą wdrożyć jeden nadrzędny system, który scentralizuje niektóre funkcje, ale pozostawi miejsce dla rodzimych narzędzi.

Według badania przeprowadzonego przez Vanson Bourne, mniej niż połowa firm planuje mieć jedno rozwiązanie do zarządzania tożsamością maszyn, które obejmie wszystkie wdrożenia w chmurze. Zamiast tego 37% planuje mieć oddzielny system zarządzania tożsamością maszyn dla każdej chmury, z centralną polityką obejmującą je wszystkie, a 22% planuje mieć oddzielne systemy bez centralnej polityki.

6. Uwzględnij roboty w planach zarządzania tożsamością maszyn

Przez cały okres globalnej pandemii firmy przyspieszyły swoje strategie automatyzacji. Według firmy Forrester, globalny rynek oprogramowania do automatyzacji procesów zrobotyzowanych osiągnie wartość 6,5 miliarda dolarów w 2025 roku, w porównaniu z 2,4 miliarda dolarów w 2021 roku. Te tożsamości robotów programowych również wymagają zarządzania, napisał Goasduff w raporcie Gartnera. „Należy zacząć od zdefiniowania najlepszych praktyk i zasad przewodnich dotyczących integracji narzędzi RPA w strukturze tożsamości” - powiedział – „i traktować roboty programowe RPA jako kolejne obciążenie, które wymaga tożsamości maszyny”.

7. Uwzględnij maszyny w planach zerowego zaufania

Zero zaufania jest obecnie jednym z głównych, jeśli nie najważniejszym, priorytetem w zakresie bezpieczeństwa dla przedsiębiorstw. Według badania przeprowadzonego w lutym tego roku przez Information Security Media Group, 100% respondentów twierdzi, że zasada zerowego zaufania jest ważna dla zmniejszenia ryzyka związanego z bezpieczeństwem. Był to główny element memorandum prezydenta Stanów Zjednoczonych Bidena w sprawie bezpieczeństwa cybernetycznego, które zostało wydane w tym roku.

Zero zaufania to nie tylko wymóg, aby użytkownicy byli zawsze w pełni uwierzytelnieni. Dotyczy ono również procesów i urządzeń. „Zarządzanie tożsamością urządzeń jest szczególnie ważne w nowszym modelu bezpieczeństwa zero zaufania” - mówi Bo Lane, dyrektor ds. architektury rozwiązań w firmie Kudelski Security. „Kiedy urządzenie korporacyjne nie otrzymuje żadnego specjalnego statusu zaufania w sieci, musi mieć sposób na identyfikację i autoryzację interakcji z innymi urządzeniami, usługami lub danymi”.

Według badania Fortinet opublikowanego na początku tego roku, 84% organizacji ma wdrożoną lub opracowywaną strategię zero zaufania. Badanie wykazało jednak, że 59% przedsiębiorstw boryka się z problemem możliwości bieżącego uwierzytelniania urządzeń.

Źródło: CSO

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200