Hozzáférés: már nincs tiltott övezet
Az informatikai csapatoknak támogatniuk kell a rugalmasságot – mindezt úgy, hogy közben nem növelik a vállalat kitettségét, és a produktivitást sem áldozzák fel. Eközben azonban egyre nehezebb megbízható jelek alapján meghozni a döntést: az adatok töredezettek és zajosak, sokszor önmagukban már nem is elég hitelesek. Időközben az identitás terhe is megnőtt, miközben az egyszerű hitelesítés csak azt igazolja, ki próbál belépni, de arról semmit nem mond, mennyire kockázatos az adott hozzáférés – például attól is függ, milyen állapotú eszközről történik a bejelentkezés. Napjainkban nem az identitás az alapvető probléma, hanem az, hogy pusztán erre támaszkodva ítélik meg a hozzáférést.
Az eszközök jelentik a valódi veszélyforrást
Egy beazonosított munkavállaló által használt biztonságos, frissített eszköz egészen más kockázatot képvisel, mint ugyanaz az ember egy elavult, nem felügyelt, fertőzött gépről belépve. Sok jogosultsági rendszer mégis ugyanúgy kezeli ezeket, miközben az eszköz állapotát csak másodlagos tényezőnek tekintik. Pedig az eszközök állapota folyamatosan változik: egy korábban biztonságos gépen is kikapcsolhatják a védelmi rendszert, vagy késhetnek a frissítések. A legtöbbször a rendszer a belépés pillanatában rögzíti az állapotot, így ezek a változások rejtve maradnak, és a hozzáférés a romló biztonság ellenére is megmarad.
A támadók egyre ügyesebben használják ki ezeket a réseket: nem a hitelesítést próbálják feltörni, hanem kompromittált végpontokat, munkamenet-tokeneket, bizalmi hibákat keresnek. Egy ellopott, de érvényes felhasználónév–jelszó-páros rossz eszközről beírva könnyen átcsúszhat a védelmi vonalakon. A Verizon jelentése szerint az adatszivárgások majdnem 45%-ának esetében lopott hitelesítő adatot használtak.
A Zero Trust buktatói
A Zero Trust (zéró bizalom) elv széles körben elfogadott, azonban a gyakorlatban leggyakrabban csak az identitás ellenőrzéséig terjed, az eszközök vizsgálata gyakran statikus vagy hiányos – leginkább a nem böngészőalapú munkafolyamatoknál, illetve régi protokolloknál. Ha a szervezetek külön eszközökkel kezelik az identitást és a végpontokat, akkor információhiány, széttagolt felügyelet és következetlen döntések alakulnak ki. Az ilyen, statikussá merevedő hozzáférési szabályok észrevétlenül tág teret engednek a visszaéléseknek.
Folyamatos ellenőrzéssel zárhatók a rések
A modern környezetekben elengedhetetlen, hogy a hozzáférési döntések ne csak a belépéskor, hanem folyamatosan igazodjanak az esetleg változó feltételekhez. Érdemes egyszerre – folyamatosan – ellenőrizni a felhasználót és az eszközt, így a lopott adatokat, munkamenet-tokeneket vagy eszközalapú megkerüléseket is nagyobb eséllyel ki lehet szűrni. Ha kizárólag jóváhagyott, ellenőrzött végpontokról engedélyezhető a hozzáférés, az jelentősen csökkenti a visszaélés esélyét.
A javasolt megoldások közé tartozik, hogy külön engedélyezni lehessen az eszközöket, korlátozni lehessen, ki hány vagy milyen eszközről férhet hozzá a vállalati rendszerhez, és mindig különbséget lehessen tenni céges, saját vagy harmadik féltől származó végpontok között. A zökkenőmentes napi munka érdekében arányos korlátozásra, türelmi időre is szükség lehet, hogy a felhasználók idejében tudják korrigálni a problémákat. Az önkiszolgáló helyreállítás – például frissítés, titkosítás egy kattintással – leveszi a terhet az IT-ról is.
Specops: modern védelem minden platformon
A Specops, az Outpost24 Identity and Access Management üzletága, már biztosít ilyen eszközalapú Zero Trust megoldásokat. Ezek folyamatosan ellenőrzik mind a felhasználókat, mind az eszközöket minden hozzáférési ponton, legyen szó Windowsról, macOS-ről, Linuxról vagy mobil eszközökről.
A fentiek tükrében a hozzáférés-felügyelet új megközelítése egyre fontosabbá válik – az identitás már önmagában nem elég a céges biztonság garantálásához.
