С нарастващия риск от пробиви, задвижвани от самоличността, както се вижда от последните атаки с ransomware и веригата за доставки, фирмите започват да оценяват необходимостта от сигурност на самоличността. Докато те оценяват как най-добре да засилят защитата на самоличността, често има желание да се задоволят с функции за сигурност или модули, включени в корпоративни пакети от същия доставчик, предоставящ тяхната самоличност или слой за управление на идентичността и достъпа (IAM).
Често срещан пример може да се види в организации с пакет Microsoft E3/E5, който вече използва Active Directory + Azure AD като слой за идентичност. Те могат да се задоволят с Microsoft Defender за самоличност и/или Azure AD Identity Protection, за да отговорят на техните нужди за сигурност на самоличността.
Въпреки че използването на множество продукти от един и същи доставчик като част от корпоративен пакет обикновено е рентабилно, има случаи, в които този компромис може да доведе до скъпи, катастрофални пробиви - и комбинирането на самоличност и сигурност на самоличността е един от тях. Клиентите често не разбират напълно какво да търсят в решението за сигурност на самоличността.
Преди да разгледаме причините, поради които този компромис е погрешен, нека прегледаме няколко определения.
Разграничаване между IAM и сигурност на самоличността
IAM е част от стратегията за ИТ сигурност на организацията, която се фокусира върху управлението на цифровите идентичности и достъпа на потребителите до данни, системи и други ресурси. IAM технологиите съхраняват и управляват самоличности, за да осигурят възможности за единично влизане (SSO) или многофакторно удостоверяване (MFA), но не са предназначени основно като решение за сигурност за откриване и предотвратяване на пробиви.
Сигурността на самоличността, от друга страна, е цялостно решение, създадено с единствената цел да открива и предотвратява пробивите, задвижвани от самоличност, особено когато противниците успеят да заобиколят наследените мерки за сигурност. Идеалното решение за сигурност на самоличността трябва да бъде част от по-широка платформа за сигурност с дълбока видимост във всеки слой на предприятието, който е изложен на пробиви, за да създаде по-точни откривания и отговори, включително крайни точки, облачни работни натоварвания, самоличности и данни.
Клопки при закупуване на IAM и сигурност на самоличността от един и същ доставчик
Конкуриращи се интереси
Това може да звучи като безсмислено, но избягването на области от конкуриращи се интереси на доставчика често се пренебрегва, когато се вземат решения за закупуване на киберсигурност. Трябва да има ясно разделение на отговорностите. В счетоводството одиторът провежда независима проверка, за да провери дали числата са верни, а в разработката на софтуер кодът се тества, след като разработчиците са го написали. Същата концепция важи и за сигурността; когато купувате самоличност и сигурност на самоличността от един и същ доставчик, вие пренебрегвате този основен принцип за осигуряване на неутралност.
Microsoft Active Directory е изградена на базата на наследени от десетилетия технологии и се счита за едно от най-слабите звена в стратегията за киберотбрана на организацията. Всяка година се откриват нови уязвимости на AD, включително скорошна, която може да доведе до пълен компромет на домейн за секунди. В същото време това е едно от най-широко използваните хранилища за самоличност: над 90% от организациите от Fortune 1000 все още разчитат на него, което прави Active Directory много привлекателна цел за атаки, базирани на самоличност.
Като доставчик на идентичност, Microsoft има някои задължения да предоставя на клиентите си корекции за AD уязвимости, но това е само една част от уравнението. Ако Microsoft също е доставчик на сигурност на самоличността, той също трябва незабавно да предостави възможности за откриване и коригиране, така че противниците да не могат да предприемат атаки, използващи уязвимости в продуктите му - но това е област, в която многократно е провалял своите клиенти.
За разлика от това, когато сигурността на самоличността се осигурява от неутрален, фокусиран върху сигурността доставчик като CrowdStrike, този конкурентен интерес се елиминира. Единственият фокус на CrowdStrike е да защитава клиентите от пробиви и да предоставя възможности за проактивно откриване и коригиране на клиента, а не да коригира уязвимостите в продуктите за самоличност.
Друга област на конкурентен интерес е интеграцията. Едно предложение за сигурност на самоличността трябва да може да се интегрира и да осигурява видимост в широк спектър от продукти за идентичност, за да осигури унифициран изглед на идентичност. Въпреки това, когато доставчикът на самоличност предоставя и слой за сигурност на самоличността, няма стимул да се интегрира с други доставчици на идентичност, за да предостави един панел от стъкло, който дава видимост в множество магазини за идентичност в хибридна среда. Разликата е очевидна с Microsoft Defender for Identity — той е ориентиран към Microsoft, докато продуктите на CrowdStrike Falcon® работят не само с Active Directory и Azure AD, но и с други най-добри в класа IAM/MFA доставчици като Okta, Ping, Duo, CyberArk и други.
Липса на дълбочина на сигурността
Въпреки че думата „идентичност“ е част от „сигурност на самоличността“, акцентът трябва да бъде върху сигурността. Идеалното решение за сигурност на самоличността трябва да бъде част от по-широка платформа за сигурност, която може да свързва информация за сигурност от множество източници.
CrowdStrike Security Cloud свързва трилиони събития по сигурността на ден с индикатори за атака, водещо в индустрията разузнаване на заплахи и корпоративна телеметрия от крайни точки на клиенти, работни натоварвания, самоличности и данни. Този лазерен фокус върху сигурността, включващ голямо разнообразие от данни за атаки, позволява на продуктите на Falcon да доставят свръхпрецизни откривания, както и автоматизирана защита и отстраняване.
Този целенасочен фокус върху сигурността е трудно постижим за софтуерен гигант като Microsoft, който има години дълбок технически дълг от наследени продукти, а също и широка гама от нови предложения, вариращи от облачна инфраструктура и услуги до софтуер, хардуер и игри. Благодарение на своя наследен подход от света преди облака, Microsoft постоянно наваксва, за да коригира новооткритите уязвимости в своите продукти. Компанията се сблъска с поредица от проблеми със сигурността през годините, включително компрометиране на веригата за доставки на AD, уязвимостта на PrintNightmare и често срещани неправилни конфигурации на AD, които атакуващите използват.
Този недостатък беше показан още веднъж в неотдавнашния експлойт на noPac, който позволи на злонамерените участници да комбинират две критични CVE, свързани с Active Directory (CVE-2021-42278 и CVE-2021-42287), което води до ескалация на привилегии с директен път към компрометирана домейн. Докато CrowdStrike Falcon Identity Threat Protection автоматично открива опити за използване на тези уязвимости и може да блокира noPac с проста политика за налагане на MFA, отговорът на Microsoft беше да предостави пачове за справяне с тези уязвимости в собствения си продукт, но с тежестта на клиента да приложи тези пачове във всеки AD домейн контролер.
Заключване на доставчика
Конкуриращите се интереси стават по-сложни, когато продавачът, предоставящ слоя за идентичност, също така продава облачна инфраструктура и има личен интерес да премести клиентите към своя облак.
Когато се сблъска с новооткрита уязвимост или архитектурен пропуск в локалния си слой за идентичност (като Active Directory), доставчикът може просто да насърчи клиентите да започнат да използват неговия слой за идентичност в облака (като Azure AD), за да избегнат уязвимостта. Това е практически невъзможно за клиенти, които са изградили слоеве от приложения върху своята AD инфраструктура, чиято миграция ще отнеме години. По-важното е, че преминаването към облака не ги предпазва от противници, които в момента експлоатират уязвимостите на AD, за да сеят хаос.
Интересното е, че неотдавнашен доклад от Microsoft разкри, че приемането на MFA в Azure AD остава слабо, като по-голямата част от идентичностите на Azure AD изискват само потребителско име и парола – което подчертава факта, че Azure AD не е магическо средство за защита срещу предизвикателствата пред сигурността на AD.
Блокирането на доставчик вреди на клиентите, като им пречи да се възползват от днешната многооблачна реалност. Това може да се противодейства с решение за сигурност на идентичността от неутрален доставчик, като CrowdStrike, който няма личен интерес да тласка клиентите към конкретна облачна инфраструктура. Той също така предоставя по-дълъг период от време за организациите да планират и реализират миграция на хибриден облак, без да се налага да се тревожат за пробиви по време на прехода.
И накрая, подходът за сигурност на доставчици с множество идентичности дава на предприятията гъвкавостта да избират своя доставчик на MFA. CrowdStrike Falcon Identity Protection позволява интеграция извън кутията с повечето водещи доставчици на MFA — включително Okta, Duo и Google Authenticator — предоставяйки на организациите безпроблемно MFA изживяване, вместо да бъдат допълнително заключени в едно MFA решение, както при Microsoft.
Защо сигурността на самоличността трябва да бъде отделна от самоличността
Съвременните атаки като рансъмуер обикновено се управляват от самоличност и едно силно решение за сигурност на самоличността трябва да бъде ключов компонент на цялостната ви позиция на сигурност. Приемането на решение за сигурност на самоличността, което е включено в корпоративен пакет от вашия доставчик на идентичност, ще доведе до по-лоши резултати за сигурността и ще увеличи риска от пробиви. Вашите нужди за сигурност на самоличността ще бъдат много по-добре обслужвани от решение от неутрален доставчик на сигурност за защита на всички критични области на корпоративния риск — крайни точки, облачни натоварвания, самоличност и данни.
Вену Шастри е директор продуктов маркетинг в CrowdStrike.
