Dvě třetiny průniků do firem zneužívají krádeže identity. Jak se bránit?
Například zpráva technologické společnosti Cisco Talos z letošního jara věnuje těmto typům útoků celou jednu kapitolu. Více než dvě třetiny prvotních průniků do firem jsou podle ní založeny právě na ukradených identitách. Na dark webu se infrastruktura pro krádeže identit prodává formou předplatného jako služba už od několika desítek dolarů, případně se draží přístupy do významných společností.
Zaměření na uživatelské credentials je z pohledu útočníků logické. Identity jsou klíčem do pomyslného firemního království. Firma může postavit robustní bezpečnostní systém s firewally na perimetru, IPS, EDR, XDR, SASE a dalšími nástroji, ale nakonec zde máme uživatele s těmito klíči, tedy se svojí identitou ve formě jména a hesla. A pokud dojde k její kompromitaci, tak útočníci mají nejen otevřené dveře, ale často si uvnitř mohou s trochou nadsázky dělat co chtějí. Protože jejich aktivity zdánlivě vycházejí z legitimních uživatelských účtů, bývají alespoň v některých fázích velmi špatně detekovatelné. Proto je naším cílem obalit uživatelské identity ještě dalšími vrstvami bezpečnosti formou tzv. vícefaktorové autentizace (MFA). Tuto potřebu dále zvyšuje fakt, že útoky na identity jsou dnes díky gen AI nástrojům levnější, účinnější a častější než kdy dříve.
Stále však vidíme, že vícefaktorová autentizace má ve společnostech nízkou míru nasazení. Důvodů je více, ať už jde o finanční stránku věci, náročnost na lidské kapacity kvůli její konfiguraci a správě, nebo o odpor samotných uživatelů, u kterých se s rostoucí komplexností zabezpečení zvyšuje frustrace a snižuje ostražitost a paradoxně tak roste šance, že se stanou obětí krádeže identity.
První výzvou pro správu identit je omezená visibilita
Jednou z výzev, které jsou spojeny s managementem identit, je omezená visibilita. Ještě před 10 až 15 lety byla většina organizací v Active Directory v on-premise prostředí, kde si spravovaly identity a přístup do sítě a vše měly víceméně centralizované. Většina zaměstnanců navíc seděla v kanceláři a vzdálený přístup nebo dokonce BYOD byl pouze pro vyvolené. Dnes se však spektrum aktivit, které firmy řeší digitálně, rozšiřuje, stejně jako různé typy Identity Providerů, které se přesouvají do cloudu, čímž přináší do celého procesu správy identit vyšší komplexnost. Pro organizace je tak obtížné získat nějaký ucelený přehled o tom, kdo a jakou cestou se přihlašuje do sítě nebo třeba k firemním cloudovým aplikacím.
Díry v zabezpečení identit oslabují celý bezpečnostní řetězec
Druhou výzvou jsou potom díry, které se v zabezpečení jednotlivých identit přirozeně vyskytují. Například zaměstnanci, kteří se přihlašují z doménových stanic jako kancelářské desktopy nebo firemní notebooky, které jsou aktivně spravované a patchované a uživatelé se na ně připojí až po ověření, bývají obvykle zabezpečeni velmi dobře. Stejně tak samotné doménové stanice.
Potom ale máme celou řadu dalších uživatelů, kde se úroveň zabezpečení různí. Něco může být ošetřeno multifaktorovou autentizací, například vzdálený přístup nebo SaaS, ovšem stále máme velkou skupinu identit s výrazně slabším ověřením. Především skupina kontraktorů, vendorů a partnerů bývá ošetřena až překvapivě slabě. Tyto přístupy bývají často sdíleny několika uživateli bez jakéhokoli druhého bezpečnostního faktoru nebo kontroly toho, na jakém zařízení a odkud se do sítě přihlašují nebo na jaké zdroje organizace mají přístup. A stará poučka říká, že řetěz je pouze tak silný, jako jeho nejslabší článek.
Frustrace uživatelů je hrozbou pro byznys i bezpečnost
Třetí výzvou spojenou se správou zabezpečení identit je potom frustrace uživatelů v organizaci. Vždy když v oblasti zabezpečení přidáme nějakou proměnnou, kterou se musejí zabývat, snižuje to jejich spokojenost. A je jedno, zda jde o multifaktorové ověření do aplikace, nebo omezení využívání externích USB disků. Pokud to tedy v oblasti ověřování uživatelů přeženeme, tak na jedné straně snižujeme jejich pracovní efektivitu, za což nás byznys nepochválí, a na druhé straně přehnaným zabezpečením snížíme práh jejich vnímavosti.
Představme si například situaci, při které se musejí uživatelé přihlásit ke svému počítači, následně se skrze dvoufaktorové ověření přihlásit do webového rozhraní, do aplikace a do VPN. V takovém případě začnou naše push notifikace odklikávat automaticky, aniž by se nad nimi zamysleli, čímž si zaděláváme na potenciální budoucí problém. A samozřejmě mezi úrovní frustrace uživatelů a úrovní frustrace IT administrátorů existuje přímá úměra.
Vše začíná u nastavení identit
Jak tedy tyto výzvy vyřešit, aby byla zajištěna bezpečnost a naši uživatelé se zároveň cítili při práci komfortně a z pohledu byznysu vše fungovalo bez zbytečných prodlev nebo výpadků způsobených přílišným „utažením šroubů“? Jednou z cest je podívat se na celou problematiku optikou kontinuální bezpečnosti, ve které máme ověřeného uživatele, který se připojuje z důvěryhodných zařízení, a zároveň máme určité kontextuální povědomí, o celém procesu autentizace (kdo, kde, kdy, odkud).
Prvním krokem je tedy zvýšit zabezpečení identit aplikací vícefaktorové autentizace. Na trhu existuje řada nástrojů, které dokážou aplikovat vícefaktorové ověření na základě identit jednotlivých uživatelů a které dokážou pokrýt všechny přístupové body, ať už k aplikacím, nebo přímo do sítě organizace. Všichni velcí poskytovatelé těchto služeb se zároveň snaží, aby v jejich nástrojích byla správa jednotlivých identit co nejpřehlednější a nejjednodušší. Většinu identit typicky nahrajete přímo z Active Directory nebo z cloudové EntraID, zbytek lze přidat ručně.
Následně je třeba vybrat chráněná aktiva a nastavit tak míru řízení přístupu uživatelských identit k jednotlivým SaaS aplikacím, VPN přístupům a dalším prvkům. Posledním krokem v první fázi je nastavení metody multifaktorového ověření, ať už jde o notifikace přes různé typy autentizátorů, hardwarové klíče, biometriku nebo jiné způsoby ověření.
Správa zařízení a začlenění kontextu pomáhá bezpečnosti i spokojenosti uživatelů
Ve druhé fázi přichází na řadu oblast Device Trust, neboli definování bezpečných zařízení, ze kterých se mohou naši uživatelé připojovat, a jejich zabezpečení. Právě kombinace ověřených identit a zařízení výrazně přispěje nejen k samotné bezpečnosti naší organizace, ale také k pohodlí uživatelů.
U firemních zařízení existuje opět řada nástrojů, které slouží k jejich správě. Tyto nástroje také umožňují kontrolu stavu těchto zařízení (aktualizované OS a aplikace, instalované bezpečností záplaty apod.) a jeho porovnání s firemní politikou. Pokud nějaké zařízení této politice neodpovídá, automaticky je mu přístup do sítě zakázán. Tím, že si zajistíme přehled o jednotlivých zařízeních v síti a zároveň zajistíme, že uživatelé přistupují k firemním zdrojům výhradně z důvěryhodných, aktualizovaných a zabezpečených zařízení, výrazně zvýšíme úroveň bezpečnosti celé organizace.
Pokročilé nástroje, které se zabývají ochranou identit, a především pak aplikací vícefaktorového ověření, také dokážou automaticky přiřazovat rizikové profily, což ocení především uživatelé. Ve chvíli, kdy jde o známé zařízení, které se přihlašuje z obvyklé adresy (domácí wi-fi, osobní hotspot apod.) umožňují snížit práh pro ověření uživatele a umožnit jim přihlášení například pomocí Single Sign-On. Ve chvíli, kdy se ale do sítě přihlašuje z veřejné wi-fi nebo zcela jiné země než obvykle (případně v nestandardní čas), pošle uživateli ověřující push notifikaci. Stejně tak ve chvíli, kdy se uživatel pokouší přistoupit do sítě z neznámého zařízení.
Komplexní přístup může být postaven na jednoduchých principech
Pokud k zabezpečení uživatelských identit přistoupíme tak, že budeme spolu s identitou uživatele ověřovat také identitu a stav zařízení, ze kterého se přihlašuje, a kontext, v jakém se tak děje, můžeme výrazně zvýšit bezpečnost své firemní sítě, aniž bychom uživatele znechutili množstvím bezpečnostních prvků při přihlašování do různých aplikací. Zároveň získáme přehled o tom, kdo se v naší síti pohybuje a co tam dělá. V kombinaci s nástroji typu SASE jde o další důležitý dílek do nekonečné skládačky kybernetické bezpečnosti.
Autor: David Dorazin, Infrastructure Security Consultant, ANECT
