Бесплатный фрагмент - Понятная КиберГигиена

CYBERSECURITY FRAMEWORK. ТОМ 2. ПОНЯТНАЯ КИБЕРГИГИЕНА. ПРЕДИСЛОВИЕ

Миссия книги- профилактика КиберПреступности. Серия «Понятная КиберГигиена» содержит полезные советы по Информационной безопасности для начинающих и продвинутых пользователей, профессионалов и преподавателей учебных центров. Материалы могут быть использованы для проведения- АУДИТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, инструктажей, тренингов, консультаций, коучингов и мастер-классов по актуальным темам-

— Экспертиза веб-сайтов и приложений

— Соответствие требованиям Регуляторов

— Compliance management

— Antifraud management

— Методология

— Восстановление соответствия внутренней нормативной базы

— Регуляторные риски

— защита Персональных Данных, чувствительной и конфиденциальной информации

— Соответствие Политики Информационной Безопасности

— Консультации, классы, коуч-сессии, лекции, тренинги, инструктажи, курсы по информационной безопасности и защите персональных данных

— архитектурные решения кибербезопасности, и другие аспекты кибербезопасности.

— IAM. УПРАВЛЕНИЕ ИДЕНТИФИКАЦИЕЙ И ДОСТУПОМ.

Управление идентификацией и доступом (IAM- identity and access management) является фундаментальной основой облачной безопасности, защищая бизнес-данные и облачные ресурсы от доступа организаций, у которых нет необходимости или разрешения на доступ. Облачные платформы объединяют большинство или все административные функции центра обработки данных и мириады платформ, сервисов и приложений в унифицированные веб-консоли и API-интерфейсы.

Как в общедоступных, так и в частных облаках для управления IAM требуется несколько сторон без ущерба для безопасности. В этой области основное внимание уделяется тому, что необходимо учитывать при управлении идентификационными данными в облаке. Пока мы рассматриваем некоторые фундаментальные концепции, основное внимание уделяется тому, как облако меняет управление идентификацией и что с этим делать.

Облачные вычисления вносят множество изменений в то, как мы традиционно управляли IAM для внутренних систем. Дело не в том, что это новые проблемы, а в том, что они становятся более масштабными и серьезными при работе с общедоступной облачной средой.

Ключевыми различиями являются:

— Взаимоотношения между поставщиком облачных услуг и пользователем облака.

— Объединение нескольких административных интерфейсов.

— Доступ этих интерфейсов к Интернету в сценариях общедоступного облака.

IAM не может управляться исключительно поставщиком или заказчиком, и, следовательно, требуются доверительные отношения, распределение обязанностей и технические механизмы для их реализации. Чаще всего это сводится к федерации. Это усугубляется тем фактом, что у большинства организаций может быть много разных облачных провайдеров, с которыми им необходимо управлять политиками IAM. и, следовательно, требуются доверительные отношения, распределение обязанностей и технические механизмы для их реализации. Чаще всего это сводится к федерации. Это усугубляется тем фактом, что у большинства организаций может быть много различных облачных провайдеров, в которых им необходимо управлять политиками IAM.

Облако также имеет тенденцию меняться быстрее, быть более распределенным (в том числе через границы юридических юрисдикций), усложнять уровень управления и во всем больше полагаться (часто исключительно) на широкие сетевые коммуникации, что открывает возможности администрирования базовой инфраструктуры для сетевых атак. Например, злоумышленник может изменять конфигурации всей сети с помощью аутентифицированных вызовов API вместо того, чтобы получать физический доступ, а также подключать и отключать оборудование. Другими словами, как только злоумышленник проникает внутрь, ущерб может распространяться со скоростью программного обеспечения, что может привести к гораздо большему ущербу, чем при доступе к оборудованию в центре обработки данных организации. Кроме того, существуют значительные различия между поставщиками, различными услугами, которые они предоставляют, и между моделью развертывания каждого из них.

В этой области основное внимание уделяется IAM между организацией и облачными провайдерами или между облачными провайдерами и службами. В нем не рассматриваются все аспекты управления IAM в облачном приложении, такие как внутренний IAM для корпоративного приложения, работающего на IaaS.

Отличия IAM в общедоступном облаке

Управление идентификацией и доступом всегда сложно. По сути, мы сопоставляем некоторую форму сущности (человека, систему, фрагмент кода и т.д.) с поддающейся проверке идентификацией, связанной с различными атрибутами (которые могут изменяться в зависимости от текущих обстоятельств), а затем принимаем решение о том, что они могут или не могут делать, основываясь на правах. Даже когда вы контролируете всю цепочку этого процесса, управление им с помощью разрозненных систем, сервисов и технологий безопасным и поддающимся проверке способом, особенно в масштабе, является сложной задачей.

Три ключевых отличия IAM для облачных вычислений:

IAM теперь охватывает несколько организаций в области облачных вычислений В облачных вычислениях IAM теперь охватывает две организации — может быть несколько поставщиков облачных услуг и для любого клиента. Эти клиенты, в свою очередь, скорее всего, используют большое количество сервисов по всему спектру моделей облачных сервисов. Объединение идентификационных данных является основным инструментом, используемым для решения этой проблемы путем построения доверительных отношений между организациями и обеспечения их соблюдения с помощью технологий, основанных на стандартах.

Все облачные провайдеры используют свои собственные внутренние системы IAM. Различаются не только технологии, но и вся архитектура и даже большая часть терминологии. Облачным заказчикам потребуется изучить, понять и внедрить множество различных моделей. Хотя это также верно для различных приложений и стеков программного обеспечения в традиционных архитектурах, облако добавляет этот уровень ко всей плоскости управления и даже к инфраструктуре подключенных сервисов.

Облачные провайдеры объединяют функции управления и администрирования в унифицированные веб-консоли и интерфейсы API. В случае общедоступного облака все это, как правило, находится в Интернете и защищено немногим более чем именем пользователя и паролем (и, возможно, необязательными условиями строгой аутентификации или политики). Частные облака и контейнерные платформы часто предоставляют доступ к своим уровням управления через Интернет либо напрямую, либо из-за неправильной настройки безопасности.

Объединение и множество систем IAM определяют большую часть сложности управления облачной идентификацией и доступом, в то время как сочетание унификации административных функций и размещения их в Интернете значительно повышает критичность. Эти проблемы не являются теоретическими; подавляющее большинство нарушений безопасности в облачных средах обычно возникает из-за сбоев IAM.

Переход в облако также создает возможности для улучшения IAM. Крупные поставщики часто поддерживают передовые возможности, такие как управление доступом на основе атрибутов (ABAC), управление доступом на основе политик (PBAC), управление доступом на основе ролей (RBAC), аутентификация и авторизация на основе рисков, временные учетные данные, управление секретами и другие расширенные опции. Это обеспечивает потенциальную оперативность и детализацию контроля, над которыми давно работают специалисты по безопасности. Управление IAM в общедоступном облаке может быть менее сложным, чем при использовании готовых решений IAM.

IAM охватывает практически все домены в этом документе. Следующий раздел начинается с краткого обзора некоторых основных терминов, с которыми могут быть знакомы не все читатели, затем рассматривается влияние облака — сначала на идентификацию, затем на доступ и управление правами.

Обзор

IAM — это обширная область практики со своей собственной терминологией, которая может сбить с толку неспециалистов, особенно тех, кто не является специалистами, поскольку некоторые термины имеют разные значения в разных контекстах (и используются в областях за пределами IAM). Даже термин «IAM» не является универсальным и также часто упоминается как управление идентификацией (IdM).

Основные термины

IAM -это дисциплина безопасности, которая позволяет нужным людям получать доступ к нужным ресурсам в нужное время по правильным причинам. Прежде чем мы перейдем к деталям, вот термины высокого уровня, наиболее подходящие для аналитики IAM в облачных вычислениях:

Сущность: человек или «вещь», у которой будет идентификация. Это может быть отдельный человек, система, устройство или код приложения.

Идентичность: уникальное выражение сущности в заданном пространстве имен. У сущности может быть несколько цифровых идентификаторов, например, у одного человека есть рабочий идентификатор (или даже несколько идентификаторов, в зависимости от систем), идентификатор в социальных сетях и личная идентичность. Например, если вы являетесь единственной записью на одном сервере каталогов, то это ваша личность.

Идентификатор: средство, с помощью которого можно подтвердить личность. Для цифровых удостоверений личности это часто криптографический токен. В реальном мире это может быть ваш паспорт.

Атрибуты: являются аспектами удостоверения личности. Они могут быть относительно статичными (например, организационная единица) или высокодинамичными (IP-адрес, используемое устройство, будь то: аспекты удостоверения личности. Атрибуты могут быть относительно статичными (например, организационная единица) или высокодинамичными (IP-адрес, используемое устройство, если пользователь прошел аутентификацию с помощью MFA, местоположение и т.д.).

Персона: выражение идентичности с атрибутами, указывающими на контекст. Например, разработчик, который входит в систему work, а затем подключается к облачной среде в качестве разработчика определенного проекта. Идентичность по-прежнему является личностью, а персона — это личность в контексте этого проекта. Тот же самый разработчик мог бы также подключиться с доступом только для чтения, что было бы другой личностью.

Роль: у идентификаторов может быть несколько ролей, каждая из которых указывает на уникальный контекст. Термин «роль» сбивает с толку, поскольку используется по-разному. Для этих целей думайте о нем как о подобии персоны или как о подмножестве персоны. Например, у данного разработчика в данном проекте могут быть разные роли, такие как суперадминистратор и разработчик, которые затем используются для принятия детализированных решений о доступе.

Аутентификация: процесс подтверждения личности. Когда вы входите в систему, вы вводите имя пользователя (идентификатор) и пароль (атрибут, который мы называем фактором аутентификации), доказывая службе IAM, что вы тот, за кого себя выдаете. Также известный как Authn.

Многофакторная аутентификация (MFA): использование нескольких факторов при аутентификации. Распространенные опции включают одноразовые пароли, сгенерированные физическим или виртуальным устройством/токеном (OTP, [Одноразовый пароль]), внеполосную проверку с помощью OTP, отправленного текстовым сообщением, или подтверждение с мобильного устройства, биометрические данные или подключаемый токен.

Контроль доступа: ограничение доступа к ресурсу. Управление доступом — это процесс управления доступом к ресурсам.

Авторизация: предоставление идентификатору доступа к чему-либо (например, чтение данных dData или uUpdate из таблицы, выполнение functiondata или функции) на основе набора правил, который часто является сложным и иерархическим. Также известен как Authz.

Право: сопоставление удостоверения (включая роли, персонажей и атрибуты) с авторизацией. Право — это то, что им разрешено делать, и для целей документирования мы сохраняем это в матрице прав.

Утверждение: (в данном контексте) переданное заявление об идентичности или любом из ее атрибутов. Утверждение: установление истинности или обоснованности такого заявления.

Федеративное управление идентификацией: процесс утверждения идентичности в различных системах или организациях. Это ключевой элемент единого входа (SSO), а также основа управления IAM в облачных вычислениях.

Авторитетный источник: корневой источник удостоверения, такой как сервер каталогов, который управляет удостоверениями сотрудников.

Поставщик удостоверений (IdP): источник удостоверения в федерации. Поставщик удостоверений не всегда является авторитетным источником, но иногда может полагаться на авторитетный источник, особенно если он является посредником в процессе.

Проверяющая сторона: система, которая полагается на подтверждение личности от поставщика удостоверений.

Управление доступом на основе атрибутов (ABAC): Управление доступом или право доступа, для которого требуются определенные атрибуты, такие как использование MFA, вход пользователя в систему из управляемой системы или целевой ресурс, имеющий определенный тег.

Управление доступом на основе ролей (RBAC): является более распространенной моделью, чем ABAC, где доступ предоставляется всем пользователям с заданной ролью (например, разработчику или администратору). Альтернативный текст является частным случаем ABAC, где доступ предоставляется в основном на основе управления доступом на основе ролей (RBAC): более распространенная модель, чем ABAC, где доступ предоставляется всем пользователям с заданной ролью (например, разработчику или администратору). Альтернативный текст: Особый случай ABAC, когда доступ предоставляется главным образом по атрибуту, представляющему роль (например, разработчик или администратор).

Управление доступом на основе политик (PBAC): Требования к доступу определяются в машиночитаемом документе политики, который обычно обеспечивает большую гибкость и детализацию с поддержкой различных условий и других переменных, таких как атрибуты. PBAC дополняет RBAC и ABAC и часто определяет их и управляет ими. Документами политики PBAC также можно управлять, используя репозитории контроля версий и инфраструктуру в виде кода, иногда называемую условным доступом.

Еще несколько терминов, включая основные стандарты IAM, будут рассмотрены в соответствующих разделах ниже. Хотя есть еще несколько терминов, которые будут рассмотрены в соответствующих разделах ниже, включая основные стандарты IAM. Кроме того, хотя эта область может показаться чрезмерно ориентированной на общедоступное облако, в частном облаке применяются все те же принципы; однако область применения будет сужена, поскольку организация может иметь больший контроль над всем стеком.

Типы идентификационных данных

Идентификационные данные имеют решающее значение для обеспечения безопасности, контроля доступа и поддержания целостности транзакций и данных. В этом пространстве человеческие идентификационные данные относятся к цифровому представлению отдельных пользователей в облачной среде. Эти идентификаторы важны для идентификации людей в этом пространстве, что относится к цифровому представлению отдельных пользователей в облачной среде. Эти идентификаторы важны для широкого спектра действий и взаимодействий, которые пользователи могут выполнять с облачными сервисами, от входа в систему до развертывания ресурсов.

Идентификация человека в облачных вычислениях часто включает в себя уникальный идентификатор, такой как имя пользователя или идентификационный номер пользователя, и может быть дополнена множеством атрибутов, таких как имя, роль, отдел, адрес электронной почты, а иногда даже IP-адрес или местоположение пользователя. Эти атрибуты помогают определить средства контроля доступа и привилегии, адаптированные к организационной роли и обязанностям пользователя. Такая степень детализации гарантирует, что пользователи имеют доступ только к ресурсам, необходимым для выполнения их рабочих функций, воплощая принцип наименьших привилегий.

Управление личными данными людей часто осуществляется с помощью систем управления доступом к идентификационным данным (IAM), которые управляют жизненным циклом идентификационных данных от создания до удаления. Это включает в себя такие процессы, как аутентификация, когда пользователь должен подтвердить свою личность с помощью таких методов, как пароли, многофакторная аутентификация (MFA) или биометрическая верификация. После успешной аутентификации система IAM авторизует пользователя на доступ к определенным ресурсам на основе предопределенных политик.

Напротив, машинные идентификаторы связаны не с отдельными людьми, а с устройствами или автоматизированными службами. Эти идентификаторы имеют решающее значение для обеспечения того, чтобы только доверенные устройства и службы могли взаимодействовать в облачной среде. В отличие от человеческих идентификаторов, машинные идентификаторы могут использовать различные формы цифровых учетных данных, такие как ключи, сертификаты и токены, для аутентификации и установления доверия.

Идентификаторы устройств относятся конкретно к физическому оборудованию. Они могут варьироваться от ноутбуков и мобильных телефонов сотрудников до серверов, размещенных в центрах обработки данных, или датчиков, разбросанных по промышленному объекту. Эти идентификаторы обеспечивают безопасную аутентификацию устройств и могут помочь управлять доступом к сетям и службам на уровне устройств.

Цифровые удостоверения, между тем, привязаны к нефизическим объектам в цифровом ландшафте. Они присваиваются сервисам, приложениям, виртуальным машинам, контейнерам и API-интерфейсам, среди прочего. Цифровые удостоверения позволяют этим организациям безопасно взаимодействовать друг с другом и получать контролируемый доступ к ресурсам, размещенным как локально, так и в облаке.

Машинные удостоверения, которые являются подмножеством цифровых удостоверений, в основном используют криптографические ключи, токены или пароли доступа для аутентификации. Распространено асимметричное шифрование ключей, когда публично раскрытый ключ шифрует информацию, которую может расшифровать только соответствующий закрытый ключ. Эта инфраструктура открытых и закрытых ключей лежит в основе многих протоколов безопасности в Интернете, защищая все, от взаимодействия с веб-сайтами до аутентификации удаленных серверов. Закрытые ключи в этих парах тщательно охраняются, часто в механизмах безопасного хранения, таких как хранилища ключей.

С другой стороны, шифрование с симметричным ключом, хотя и менее сложное, использует один ключ как для шифрования, так и для дешифрования. Его простота, однако, ограничивает его использование менее сложными или высокозащищенными сценариями. Симметричные ключи часто встречаются в виде ключей API или общих секретов, облегчающих более простые, возможно, менее безопасные взаимодействия между машинами.

Отделение идентификатора от связанных с ним учетных данных важно как для идентификации человека, так и для машинной идентификации как для человеческой, так и для машинной идентификации важно отделение идентификатора от связанных с ним учетных данных. Это позволяет изменять учетные данные, срок действия которых истек, или отзывать их без изменения базового идентификатора, таким образом поддерживая безопасную и адаптируемую среду. В условиях, когда ландшафт все больше определяется цифровыми взаимодействиями, управление этими человеческими и машинными идентификациями — как человеческими, так и машинными — с точностью и бдительностью является не просто передовой практикой; это основополагающая необходимость для облачной безопасности.

Объединение

Существует довольно много стандартов и фреймворков управления идентификацией и доступом, и многие из них могут быть использованы в облачных вычислениях. Несмотря на широкий спектр доступных опций, индустрия облачной безопасности формируется вокруг базового набора, который чаще всего используется в различных развертываниях и поддерживается большинством поставщиков удостоверений.

SAML/OIDC/OAuth 2.0

Существуют также некоторые стандарты, которые являются многообещающими, но пока не используются так широко. Этот список не отражает какого-либо конкретного одобрения и не включает все варианты, а является лишь репрезентативной выборкой того, что чаще всего поддерживается самым широким кругом поставщиков:

Язык разметки утверждений безопасности (SAML) — это стандарт OASIS (Организация по продвижению стандартов структурированной информации) для федеративного управления идентификацией, который поддерживает как аутентификацию, так и авторизацию. Он использует XML для создания утверждений между поставщиком удостоверений и проверяющей стороной. Утверждения могут содержать инструкции аутентификации, инструкции атрибутов и инструкции принятия решения об авторизации. Как корпоративные инструменты, так и облачные провайдеры широко поддерживают SAMLSAML очень широко поддерживается как корпоративными инструментами, так и облачными провайдерами, но может быть сложным в первоначальной настройке. Последняя версия — 2.0.

OAuth — это стандарт IETF для авторизации, который очень широко используется для веб-сервисов (включая потребительские сервисы). OAuth разработан для работы по протоколу HTTP и в настоящее время находится на версии 2.0, которая несовместима с версией 1.0. Чаще всего он используется для делегирования контроля доступа и авторизации между службами.

OpenID Connect (OIDC) — это стандарт федеративной аутентификации, который очень широко поддерживается веб-службами. Он добавляет уровень идентификации к OAuth 2.0 и основан на HTTP с URL-адресами, используемыми для идентификации поставщика идентификации и пользователя/удостоверения личности (например, identity.identityprovider.com). Текущая версия — OpenID Connect 1.0. OpenID очень часто используется в сфере потребительских услуг, и его поддержка в коммерческих продуктах растет.

OpenID является стандартом аутентификации и отличается от OIDC. OpenID 2.0 устарел и был в значительной степени заменен OIDC.

Существуют два других стандарта, которые не так распространены, но могут быть полезны для облачных вычислений:

Расширяемый язык разметки контроля доступа (XACML) — это стандарт для определения элементов управления доступом и авторизаций на основе атрибутов. Это язык политики для определения элементов управления доступом в точке принятия политических решений (PDP) и последующей передачи их в точку применения политики (PEP). Его можно использовать как с SAML, так и с OAuth, поскольку он решает другую часть проблемы, т.е. решает, что сущности разрешено делать с набором атрибутов, в отличие от обработки логинов или делегирования полномочий.

Система междоменного управления идентификацией (SCIM) является стандартом для обмена идентификационной информацией между доменами. Его можно использовать для предоставления и отмены предоставления учетных записей во внешних системах, а также для обмена системой междоменного управления идентификацией (SCIM) — стандартом для обмена идентификационной информацией между доменами. Его можно использовать для предоставления и отмены предоставления учетных записей во внешних системах и для обмена информацией об атрибутах.

Работа федеративного управления идентификацией

Объединение предполагает, что поставщик удостоверений делает утверждения проверяющей стороне после установления доверительных отношений. В основе лежит серия криптографических операций для установления доверительных отношений и обмена учетными данными. Практическим примером является вход пользователя в свою рабочую сеть, в которой размещен сервер каталогов для учетных записей. Затем этот пользователь открывает браузерное соединение с SaaS-приложением. Вместо входа в систему выполняется ряд закулисных операций, при которых поставщик удостоверений (сервер внутреннего каталога) подтверждает идентификацию пользователя и то, что пользователь аутентифицирован, а также любые атрибуты. Проверяющая сторона доверяет этим утверждениям и регистрирует пользователя без ввода каких-либо учетных данных. Фактически, у проверяющей стороны даже нет имени пользователя или пароля для этого пользователя (в ее собственном пространстве имен); она полагается на поставщика удостоверений для подтверждения успешной аутентификации. Для пользователя они просто заходят на веб-сайт приложения SaaS и входят в систему, предполагая, что они успешно прошли аутентификацию во внутреннем каталоге.

Это не означает, что в облачных вычислениях не используются другие методы или стандарты для идентификации, аутентификации и авторизации. Большинство облачных провайдеров, особенно IaaS, имеют свои собственные внутренние системы IAM, которые могут не использоваться ни по одному из этих стандартов, или которые могут быть подключены к организации, использующей эти стандарты. Например, подписание HTTP-запросов очень часто используется для аутентификации REST API, а внутренние политики на стороне облачного провайдера управляют решениями об авторизации. Решения об авторизации управляются внутренними политиками на стороне облачного провайдера. Подписание запроса может по-прежнему поддерживать SSO через SAML, или API может быть полностью основан на OAuth или использовать свой собственный механизм токенов. Все это часто встречается, но большинство облачных провайдеров корпоративного класса предлагают поддержку федерации в той или иной форме.

Основные понятия при выборе протокола идентификации

Ни один протокол не является универсальным решением всех проблем идентификации и контроля доступа. Протоколы идентификации должны анализироваться в контексте варианта (ов) использования. Например, вариант (ы) использования единого входа на основе браузера. Например, единый вход на основе браузера, ключи API или аутентификация с мобильного устройства в облако могут привести компании к разным подходам.

Ключевым операционным предположением должно быть то, что идентификация сама по себе является периметром, как и демилитаризованная зона. Таким образом, любой протокол идентификации должен быть выбран и спроектирован с точки зрения того, что он может пересекать опасную территорию и противостоять злоумышленникам.

Строгая аутентификация

Аутентификация — это процесс, используемый для подтверждения или верификации личности. Это важно не только для входа в систему, но и для всех ситуаций, когда необходимо подтвердить личность и связать ее с определенными разрешениями или ролями в системе или процессе. Обязанность обеспечения надежной аутентификации лежит на поставщике удостоверений.

Наибольшее влияние облачных вычислений на аутентификацию заключается в том, что они косвенно повлияли на необходимость строгой аутентификации — аутентификации, использующей множество факторов. Эта необходимость возникает из-за двух основных проблем, которые являются прямым результатом вычислений через Интернет:

Облачные сервисы в основном используют уровни OSI с 5 по 7 и протоколы, такие как UDP, TCP, IP, HTTPS, а также протоколы для операций управления облаком. Таким образом, они доступны практически из любой точки мира через Интернет. Следовательно, в случае кражи учетных данных злоумышленники могут завладеть учетными записями. Учетные записи могут быть захвачены злоумышленниками из любого места в любое время, поскольку атаки больше не ограничиваются локальной сетевой средой.

Широкое использование федеративного управления идентификацией, которое делает возможным единый вход (SSO), также увеличивает риски, связанные со скомпрометированными учетными данными. Один набор украденных учетных данных может поставить под угрозу несколько облачных сервисов.

В недавнем прошлом традиционные методы MFA были подвержены изощренным фишинговым атакам. Это создает необходимость рассмотрения методов MFA, устойчивых к фишингу, для отдельных случаев использования.

Пропаганда MFA

MFA — это эффективная стратегия предотвращения перехвата учетных записей, особенно сегодня, когда предприятия переносят так много бизнес-данных в облако. Хотя это не полное или совершенное решение, это значительное повышение безопасности, которое решает проблемы однофакторной аутентификации, решая проблемы методов однофакторной аутентификации.

MFA снижает риски захвата учетной записи, поскольку для аутентификации учетных данных от организации требуется больше. Одного пароля недостаточно. Таким образом, MFA помогает снизить риск до приемлемого уровня. В следующем разделе мы обсудим, что еще требуется. В самом простом варианте MFA использует больше учетных данных, одного пароля недостаточно. Таким образом, MFA помогает снизить риск до приемлемого уровня. В следующем разделе мы обсудим, что еще требуется. В самом простом варианте MFA использует больше учетных данных, основанных на уникальности того, кто вы есть, или уникальности того, чем вы владеете. В федеративных средах поставщики удостоверений могут и должны сообщать статус MFA зависимой стороне в качестве атрибута пересылки.

Параметры MFA

Доступно несколько методов MFA:

Жесткие токены: Эти физические устройства либо генерируют одноразовые пароли для ручного ввода, либо требуют подключения к считывающему устройству. Они оптимальны, когда необходима максимальная безопасность. Токены, предназначенные для прямого подключения, обычно обеспечивают большую надежность, чем те, которые генерируют одноразовый код доступа (OTP) для ввода пользователем. Реальные нарушения показали, что OTP-сервисы могут быть подвержены фишингу или целенаправленным манипуляциям.

Программные токены: Подобно жестким токенам, программные токены работают аналогично жестким токенам, это версии на основе программного обеспечения, которые запускаются на мобильных устройствах или компьютерах. Несмотря на то, что они обеспечивают превосходную безопасность, целостность устройства пользователя становится фактором в общей модели угроз, поскольку скомпрометированные устройства могут привести к нарушениям безопасности.

Внеполосные пароли: Обычно отправляемые на телефон пользователя, эти пароли вводятся так же, как и любые другие OTP. Несмотря на их эффективность, любая оценка риска должна учитывать возможность перехвата сообщений, при этом уязвимости SMS особенно критичны из-за замены SIM-карты и аналогичных векторов атак.

Биометрия: Распространение мобильных устройств со встроенными биометрическими датчиками сделало биометрию эффективным методом аутентификации. Для облачных сервисов биометрические данные обычно служат локальной защитой, не передавая биометрические данные в облако, а вместо этого выступая в качестве атрибута для поставщика услуг. Здесь важна безопасность устройства конечного пользователя.

Аутентификация без пароля: Этот подход использует локальный токен или сертификат, чтобы обойти необходимость в паролях, и сродни токену единого входа, связанному со службой, пользователем и устройством. Это упрощает работу пользователя и снижает риски фишинга и раскрытия пароля при утечке данных. Однако методы без пароля не рекомендуются для учетных записей облачных служб административного уровня и более распространены в потребительских приложениях. Обратите внимание, что системы без пароля не должны заменять MFA.

FIDO (Fast IDentity Online): Являясь текущим отраслевым стандартом аутентификации без пароля, FIDO может распознаваться под различными названиями, такими как «ключи доступа», что представляет собой шаг вперед в технологии аутентификации.

Ключи, поддерживаемые Fido, такие как Yubico и аналогичные ключи безопасности, хороши, но их также необходимо хранить в безопасности. Если кто-то потеряет ключ и если этот ключ находится у кого-то другого, они могут воспользоваться им, прикоснувшись к нему. Ключи FIDO с включенной биометрией могут быть более безопасными и предпочтительными. Пользователи ключей безопасности также должны иметь уникальный ключ из 6 цифр или выше для защиты ключа безопасности.

Каждый метод имеет свой контекст использования, преимущества и соображения, особенно в постоянно развивающейся области облачных вычислений.

Строгая авторизация (динамические права доступа)

Термины «право», «авторизация» и «контроль доступа» пересекаются и определяются по-разному в зависимости от контекста. Хотя мы определили их ранее в этом разделе, здесь приведен краткий обзор:

Авторизация: разрешение, предоставляемое для выполнения операции — будь то доступ к файлу или сети или выполнение определенной функции, такой как вызов API для определенного ресурса.

Контроль доступа: Этот механизм либо предоставляет, либо ограничивает актуализацию предоставленных разрешений, что включает в себя такие шаги, как подтверждение аутентификации пользователя перед предоставлением доступа.

Облачные права: В облачных средах этот термин относится к правам или разрешениям, назначенным удостоверениям для взаимодействия с определенными ресурсами или службами. Права определяют объем действий, которые удостоверение может выполнять на ресурсе, включая операции от чтения и записи данных до настройки конфигураций или администрирования прав пользователя. Цель управления правами состоит в том, чтобы точно определить и предотвратить потенциальные риски безопасности, которые могут возникнуть из-за чрезмерных или чрезмерно широких привилегий.

Право эффективно связывает удостоверения с авторизациями и любыми соответствующими атрибутами. Например, право может разрешить пользователю x доступ к ресурсу y при условии, что для атрибута z установлены указанные значения. Эта взаимосвязь часто визуализируется в матрице прав, представляющей собой всеобъемлющее отображение прав для различных идентификационных данных и ресурсов. Системы контроля доступа на основе политик (PBAC) кодируют эти права в системах контроля доступа на основе политик (PBAC) эти права кодируются как технические политики, которые затем систематически распространяются и применяются.

Обсуждаемые терминологии являются лишь одной из интерпретаций и могут быть охарактеризованы в документации по-разному в отличие от других объектов. Кроме того, термин «управление доступом» часто представляет собой «AM» в «IAM» (Управление идентификацией и доступом), обозначающий полный процесс определения, распространения и выполнения авторизаций внутри организации. Такой комплексный подход жизненно важен для обеспечения надлежащего управления правами доступа и соблюдения политик.

Стратегии авторизации/контроля доступа

Влияние облачных вычислений на права, авторизацию и управление доступом многогранно и значительно. Стратегии, используемые для управления этим аспектом облачной безопасности, включают: Управление доступом на основе ролей (RBAC), управление доступом на основе атрибутов (ABAC) и управление доступом на основе политик (PBAC), как показано на слайде.

Управление доступом на основе ролей (RBAC): RBAC работает исходя из предпосылки, что разрешения на доступ привязаны к организационным ролям внутри организации. Права доступа предоставляются в соответствии с ролью пользователя — единственным атрибутом, который определяет, что пользователю разрешено делать в облачной среде.

Управление доступом на основе атрибутов (ABAC): ABAC, однако, обеспечивает более детальный контроль, оценивая несколько атрибутов, а не только роли. Это позволяет осуществлять детальное управление доступом, при котором авторизации выдаются на основе определенных атрибутов, таких как местоположение пользователя, время доступа или конфиденциальность данных, к которым осуществляется доступ. Например, ABAC позволил бы получить доступ к ресурсу на основе роли пользователя и в сочетании с другими факторами, такими как тег или IP-адрес.

Управление доступом на основе политик (PBAC): PBAC развивает эти принципы, кодируя права доступа в машиночитаемых политиках, которые сочетают аспекты как RBAC, так и ABAC, используя условные операторы для обеспечения динамического управления доступом. Системы PBAC устанавливают подробные политики, регулирующие условия, при которых предоставляются или отклоняются разрешения на доступ.

Управление доступом с учетом контекста (CAAC): Доступ и авторизация основаны на идентификации различных сигналов аутентификации, таких как местоположение, соответствие устройства требованиям, риск для пользователя и т.д., которые объединяются для обеспечения контекста. Решение о доступе (разрешить/запретить) или требование (например, требовать токен) основано на контексте аутентификации и базовом требовании.

В облачной среде у каждого провайдера и платформы будет набор потенциальных разрешений, адаптированных к его сервисам. Эти облачные платформы обычно предлагают поддержку ABAC и PBAC, которые обеспечивают большую гибкость и повышенную безопасность, чем традиционные RBAC. Последний, как правило, полагается на единичные атрибуты для предоставления доступа, в то время как ABAC и PBAC могут реагировать на более широкий спектр контекстуальной информации, принимая более детализированные решения о доступе.

В таких средах поставщикам облачных услуг поручено обеспечить соблюдение авторизаций и средств контроля доступа, изложенных в этих политиках. Однако ответственность за точное определение и настройку прав и политик на облачной платформе лежит на пользователе облака. Это предполагает прямую настройку прав доступа, если только поставщик не поддерживает такие стандарты, как XACML, которые сегодня менее распространены.

В организациях, использующих федерацию для управления идентификационными данными, пользователь облака должен точно сопоставлять атрибуты, включая роли и группы, чтобы гарантировать, что они, включая роли и группы, эффективно передаются поставщику облачных услуг в процессе аутентификации.

В конечном счете, PBAC, использующий адаптируемые функции ABAC, все чаще используется для управления доступом в облаке. Это позволяет организациям применять политики безопасности, учитывающие сложную и динамичную природу облачных сервисов, гарантируя, что права доступа соответствуют сложной и динамичной природе облачных сервисов, гарантируя, что права доступа являются как достаточно строгими для защиты конфиденциальных данных, так и достаточно гибкими для обеспечения производительности. Роль облачного провайдера в поддержке этих сложных механизмов контроля доступа имеет решающее значение, позволяя внедрять детализированные атрибуты и авторизации, которые облегчают безопасность и операционные потребности облачных пользователей.

PIM и PAM

Представьте себе что–то настолько важное для королевства — скажем, хранилище, в котором хранятся запасы золота и серебра, — что даже если король или королева королевства входят в хранилище, писец обязан записать дату и время входа. Это отправная точка для понимания управления привилегированными идентификационными данными (PIM) и управления привилегированным доступом (PAM).

PIM и PAM представляют собой важные основы безопасного управления ИТ-средой организации. PIM занимается надзором и контролем за привилегированными идентификационными данными — теми пользователями, которые обладают повышенными правами на доступ к критически важным системам или конфиденциальным данным и их модификацию. И наоборот, PAM занимается регулированием и защитой PAM, наоборот, занимается регулированием и защитой каналов, через которые осуществляется доступ к этим активам и ресурсам. Это включает в себя принятие решения о том, кому предоставляется доступ, и не только о том, кому предоставляется доступ, но и о методологиях, сроках и объеме действий в рамках этого доступа.

Фундаментальным принципом, присущим как PIM, так и PAM-платформам, является концепция разрешений точно в срок (JIT). Эта стратегия распределяет права доступа строго на необходимый период, в течение которого они необходимы, тем самым уменьшая опасности, связанные с постоянными привилегиями. Если не установить флажок, постоянные привилегии Постоянные привилегии, если их не установить, становятся уязвимостями, которыми можно воспользоваться путем взлома учетной записи.

Практика JIT — это практическое применение принципа наименьших привилегий, гарантирующего, что пользователи имеют только те уровни доступа, которые необходимы для выполнения их непосредственных рабочих функций. Такой подход сокращает ненужное воздействие на чувствительные системы и не только сокращает ненужное воздействие на чувствительные системы, но и укрепляет инфраструктуру безопасности компании.

Интеграция PIM и PAM в корпоративную систему безопасности усиливает защитные механизмы организации. Этот стратегический шаг укрепляет общую систему безопасности за счет снижения вероятности несанкционированного доступа к критически важным системам. Минимизируя количество активных привилегированных учетных записей в любой момент времени, это сужает потенциальные векторы атак, которыми могут воспользоваться киберпреступники. Такая интеграция обеспечивает соблюдение нормативных требований, поскольку создает систему, в которой действия, связанные с привилегированными учетными записями, отслеживаются, хорошо документируются и становятся доступными для аудита, усиливая контроль организации над конфиденциальными операциями.

Решения PIM и PAM обладают несколькими ключевыми функциями для поддержания безопасной и совместимой ИТ-среды. Одной из наиболее важных функций является автоматическая ротация учетных данных, которая гарантирует невозможность сохранения доступа с использованием старых или скомпрометированных учетных данных, устраняя распространенную уязвимость в безопасности систем. Кроме того, эти решения обеспечивают использование многофакторной аутентификации (MFA), которая обеспечивает мощный дополнительный уровень безопасности, значительно затрудняя несанкционированный доступ для потенциальных злоумышленников. Кроме того, они оснащены комплексными инструментами аудита и отчетности. Эти инструменты незаменимы для проведения детального криминалистического анализа и отслеживания соответствия нормативным стандартам, предоставляя организациям необходимую информацию для принятия обоснованных решений в области безопасности, а также для отслеживания соблюдения нормативных стандартов, предоставляя организациям необходимую информацию для принятия обоснованных решений в области безопасности и демонстрации соответствия отраслевым нормативам.

PIM и PAM являются не просто выгодными, но и необходимыми элементами тщательной стратегии кибербезопасности, особенно для организаций, ориентирующихся в сложных ИТ-ландшафтах или находящихся под жестким контролем регулирующих органов. Эти системы способствуют снижению рисков, связанных с привилегированными учетными записями, которые часто становятся мишенью злоумышленников.

Политика IAM

В облачных вычислениях, особенно в AWS, контроль доступа регулируется с помощью различных уровней политик, предназначенных для точной настройки разрешений и повышения безопасности. Три основных типа политик — это политики, основанные на идентификаторах, ресурсах и организации или клиенте.

Политики, основанные на идентификации, — это те, которые связаны с участником IAM. Это может быть либо федеративный пользователь, который использует поставщиков удостоверений для получения временного доступа к облачной среде, либо внутренний участник IAM, присущий организации. Разрешения для этого принципа определяются политикой, которая определяет разрешенные или запрещенные действия и может быть специально привязана к пользователю, роли или распределена между группами. Несмотря на разнообразие терминологии, используемой различными облачными провайдерами, основополагающая концепция остается неизменной: это разрешения, привязанные к личности пользователя.

Политики на основе устройств связаны с состоянием регистрации устройства и соответствия требованиям. Устройства подразделяются на управляемые и неуправляемые. Доступ к конфиденциальной информации и ресурсам ограничен определенным уровнем состояния устройства и соответствия требованиям, например, устройство должно иметь обновленную версию операционной системы и зарегистрировано как корпоративное устройство. Доступ к менее конфиденциальным данным и ресурсам может быть разрешен из состояния с более низким уровнем соответствия и/или без него. Например, доступ с неуправляемых устройств.

Политики, основанные на ресурсах, отличаются от политик, основанных на идентификации, тем, что они напрямую связаны с облачным ресурсом, будь то сам по себе, будь то корзина S3, лямбда-функция или любая другая служба. Такие политики регулируют, кто может получить доступ к ресурсу, и определяют разрешенные действия других учетных записей или пользователей на этом ресурсе — разрешенные действия на этом ресурсе другими учетными записями или пользователями. Они управляют взаимодействиями между учетными записями и регулируют доступ к ресурсам, доступным через Интернет, тем самым гарантируя, что только авторизованные субъекты могут выполнять определенные действия на ресурсе.

Политики организации или арендатора имеют гораздо более широкий охват, охватывая все облачное развертывание в рамках учетной записи AWS, подписки или проекта внутри организации. Эти политики необходимы для обеспечения согласованного соответствия требованиям и стандартов безопасности во всех облачных ресурсах организации. Обычно устанавливаемые администраторами облака, эти политики не подвержены изменениям отдельных пользователей или служб, что обеспечивает согласованную и безопасную базовую линию на протяжении всего развертывания.

Эти политики, каждая из которых отличается по применению и области применения, служат руководством по многоуровневому управлению доступом, возможному в AWS. Используя модель управления доступом, основанную на политиках, AWS позволяет предоставлять детализированные разрешения, соответствующие принципу наименьших привилегий. Это гарантирует, что пользователи и службы обладают только необходимым доступом для выполнения своих задач, защищая от чрезмерных разрешений, которые потенциально могут привести к уязвимостям в системе безопасности.

Наименьшие привилегии и автоматизация

Принцип наименьших привилегий является основополагающим элементом безопасности, предоставляя отдельным лицам только необходимый доступ для выполнения своих обязанностей. Несмотря на его важность, эффективное применение этого принципа в больших масштабах может оказаться чрезвычайно сложной задачей. Облачные сервисы, в частности Инфраструктура как услуга (IaaS), предлагают подробные права доступа, которые, потенциально повышая безопасность, также значительно усложняют работу. Право доступа можно понимать как конкретное правило: этот объект может выполнять эти действия с этими ресурсами в этих условиях с этими атрибутами. С ростом числа вариантов, сущностей, ресурсов и условий управление и прогнозирование взаимодействия этих переменных задача управления и прогнозирования взаимодействия этих переменных становится сложной. Эта сложность часто приводит к чрезмерным привилегиям, создающим угрозу безопасности, или к недостаточным привилегиям, которые могут препятствовать бизнес-операциям.

По мере роста масштабов облачного управления идентификацией и доступом (IAM) автоматизация становится одной из немногих осуществимых стратегий для достижения эффективного баланса привилегий. Единого стандарта для автоматизации привилегий IAM не существует; подход зависит от конкретных используемых технологий. Однако некоторые методы автоматизации оказались успешными в повышении безопасности облачных вычислений:

Отслеживание использования: Это включает в себя мониторинг действий объекта в облачной платформе с течением времени. Затем система анализирует присвоенные привилегии в сравнении с фактическим использованием. Привилегии, которые не используются в течение заданного периода времени, автоматически аннулируются для усиления безопасности.

Оценка риска: В этом методе каждому объекту и действию присваивается оценка риска на основе ряда атрибутов, таких как IP-адрес или время действия. Затем эти оценки вводятся в механизм политики, который разрешает или запрещает действия — не только на основе заранее установленных прав, но и на основе того, является ли уровень риска приемлемым или нет для данной ситуации.

Привилегии Just in Time (JIT): В отличие от статических привилегий, привилегии JIT запрашиваются по мере необходимости. Сущности используют шаблоны для получения доступа к заданному набору привилегий для определенных ресурсов в течение определенного периода времени, например, во время периода обслуживания. Доступ к JIT предоставляется, если он соответствует ограничениям политики, или для этого может потребоваться дополнительная авторизация. JIT может быть дополнительно улучшен при интеграции с системами оценки рисков.

Непрерывная оценка: Такие инструменты, как Cloud Security Posture Management (CSPM) или программное обеспечение, ориентированное на идентификацию, постоянно оценивают настройку IAM в облачной среде на предмет неправильных настроек, ненужных привилегий и других нарушений безопасности. Затем эти проблемы можно устранить вручную или с помощью автоматизированных процессов исправления. Например, инструмент может сканировать многочисленные развертывания, чтобы отметить использование административных ролей без многофакторной аутентификации (MFA) или определить наличие неавторизованных ключей статического доступа.

По сути, эти автоматизированные методы жизненно важны для поддержания хрупкого баланса между безопасностью и операционной эффективностью в облачных средах, где масштаб и сложность IAM требуют более сложных решений, чем может обеспечить только ручной контроль.

Проверка подлинности с нулевым доверием и валидация

Там, где организация обладает полномочиями в отношении идентификационных атрибутов и/или других сигналов, используемых в решении с нулевым доверием, процессы управления и сопровождения, используемые для управления и поддержания этих атрибутов и сигналов, становятся критически важными. Если не используется доказуемо надежный процесс, то эта организация рискует не заслужить доверия со стороны какой-либо третьей стороны, которой необходимо использовать эти атрибуты и сигналы или полагаться на них.

Обеспечение хорошего уровня уверенности начинается с хорошего процесса проверки и валидации. NIST SP 800—63A определяет процесс проверки личности и регистрации как трехэтапный, но чаще это процесс из пяти или шести этапов:

— Разрешение, при котором собираются некоторые атрибуты и доказательства

— Аттестация или валидация, при которой собранные доказательства проверяются, чтобы определить, что они являются подлинными, точными, актуальными и не имеют срока действия

— Верификация, при которой выполняется сравнение между собранными доказательствами и идентификатором (сущностью), стоящим за будущей цифровой идентификацией.

— Предоставление цифровой идентификации, при котором цифровая идентификация сохраняется и создается в источнике достоверности (в основном IdP)

— Предоставление учетных данных, при котором цифровая идентификация будет связана с одним или несколькими аутентификаторами

— Отмена предоставления цифровой идентификации, при которой цифровая идентификация удаляется из источника достоверности

Контроль, применяемый в ходе процесса, будет основан на рисках для источников данных, активов, приложений и служб (DAAS) элементов в среде. Это означает, что должен быть доступен процесс проверки и валидации в зависимости от требований каждого компонента DAAS.

Пользовательский путь IAM:

1) Подтверждение личности

— Проверка подлинности документов, удостоверяющих личность

— Проверка может осуществляться вручную, автоматически или в сочетании того и другого

— Определите тип приемлемой идентификации (например, водительские права, паспорт, цифровой сертификат X509, токен и т.д.).

— Определите процесс, инфраструктуру и инструменты, необходимые для проверки подлинности идентификации

2) Предоставление идентификационных данных

— Предоставление подтвержденных идентификационных данных в источник достоверности (AD, IdP)

— Определите идентификационные атрибуты, необходимые для аутентификации пользователей, в дополнение к имени пользователя и паролю (MFA, SSO, без пароля и т.д.)

— Определите технологические ограничения для этих выбранных атрибутов (длина пароля, технология MFA, без пароля и т.д.)

— Определите процесс должной проверки, чтобы гарантировать, что предоставленное удостоверение не является частью внутреннего или внешнего черного списка (например, списка отзыва PKI).

3) Предоставление учетных данных

— Предоставление пользователям доступа к решению общего доступа

— Определите, как решение будет интегрироваться с механизмом правил, который может обмениваться сигналами для целей авторизации

— Безопасная интеграция AD/IdP с решением

4) Отмена предоставления идентификационных данных

— Запускается администратором или кодом

— Запускается сигналами от AD или изменением атрибута идентификации

Управление периметром IAM

Хотя легко сказать, что IAM — это новый периметр, важно точно понимать, что это означает. В облаке или в любое время, когда услуга предлагается по сети, злоумышленники могут напрямую использовать идентификационные данные. Если злоумышленник скомпрометирует идентификационные данные или часть системы IAM, он может проникнуть в ресурсы, не прибегая к сетевой атаке. Атаки на основе IAM, такие как фишинг, сканирование на наличие незащищенных учетных данных или кража учетных данных с помощью вредоносных программ, участились по мере того, как мы улучшили наши возможности по защите сетей, и теперь представляют собой единственную основную причину взломов в облачных средах.

Периметр IAM включает в себя как аутентификацию, так и авторизацию всех типов объектов (пользователей, систем, кода и т.д.) и распространяется на федеративные соединения. Если вы сделаете шаг назад и посмотрите на систему IAM, то периметр — это все точки соприкосновения, которые потенциально доступны, от фишинга пароля пользователя до злоупотребления учетными данными, предоставленными в общедоступном файле определения контейнера.

Как описано выше, любое действие федеративной аутентификации генерирует токен. Этот токен привязан к сеансу и имеет определенное время жизни (TTL), которое соответствует продолжительности сеанса. Современные системы IAM часто интегрируют концепцию токена обновления, который запрашивается автоматически ближе к концу данного сеанса, а затем расширяет или создает новый сеанс за кулисами.

Крайне важно понимать, что токен является продуктом аутентификации и может быть украден и использован ненадлежащим образом для предоставления несанкционированного доступа без компрометации. Абсолютно важно понимать, что токен является продуктом аутентификации и может быть украден и использован ненадлежащим образом для предоставления несанкционированного доступа без необходимости компрометации пароля! Это очень распространенный метод атаки, который интегрирован в большинство фреймворков и инструментов для атак. Злоумышленник может украсть токен и, во многих случаях, даже использовать его из системы, расположенной в другом месте, находящемся под его контролем, до истечения сеанса или до тех пор, пока токен не будет признан недействительным вручную.

В федерации после аутентификации пользователя (AuthN) ему выдается токен с определенным сроком службы, который используется для авторизации (AuthZ). Аутентификация происходит у поставщика удостоверений, а AuthZ — у проверяющей стороны. Если токен украден, он по–прежнему будет действителен до истечения срока действия TTL или сеанса, даже если пользователь будет приостановлен, удален или его пароль будет изменен у поставщика удостоверений — если только этот статус не будет сообщен Проверяющей стороне.

На практике это означает, что в случае инцидента существует вероятность удаления или приостановки действия учетной записи пользователя в IdP, но злоумышленник все равно может использовать токен в облачном сервисе до истечения срока его действия. Это окно «AuthN/AuthZ Gap» является окном «AuthN/AuthZ Gap» и должно быть понято и интегрировано в планы реагирования на инциденты. В некоторых случаях они взаимодействуют, и заметного разрыва нет, но в других ситуациях токен может жить 24 часа или дольше.

Добавление условий в политику авторизации (таких как время выдачи токена или ограничение IP-адреса) может быть эффективной стратегией, поскольку права, как правило, оцениваются при каждом запросе.

Защита периметра IAM основана на нескольких методах, которые разделены между поставщиком удостоверений и проверяющей стороной. Цель состоит в том, чтобы уменьшить компрометацию учетных данных и токенов и злоупотребления ими. Одной из основных технологий, позволяющих это сделать, является условный доступ, который обычно реализуется в облаке с использованием политик PBAC, поддерживающих условные инструкции. Условный доступ может быть принудительным во время проверки подлинности, авторизации или того и другого.

Хотя реализация будет зависеть от используемых вами технологий, существует несколько ключевых элементов любой стратегии защиты периметра IAM:

Строгая аутентификация (в первую очередь MFA) является важным первым шагом к защите периметра IAM, но она обрабатывает только аутентификацию пользователя (и некоторых систем) и по-прежнему открыта для злоупотреблений.

Там, где это возможно, используйте учетные данные доступа, управляемые облачным провайдером, которые автоматически подготавливаются, ротируются и отменяются. Это обычно поддерживается всеми основными облачными провайдерами для виртуальных машин, бессерверных функций и других типов ресурсов, которые получают доступ к другим ресурсам или службам в рамках CSP.

Реализуйте условный доступ, применяя ограничения по устройствам и местоположению во время аутентификации, чтобы контролировать, какие устройства разрешены, и сетевые местоположения, из которых они могут получать доступ. Хотя это может быть сложнее реализовать для пользователей в децентрализованной организации, его все равно можно легко использовать для аутентификации системы или сервиса. Даже высоко децентрализованные организации могут рассмотреть возможность настройки VPN или службы безопасного доступа Edge (SASE).

Системы PBAC часто поддерживают условия для исходящих IP-адресов, статуса MFA и других ограничений для каждого запроса авторизации. Это чрезвычайно эффективно, поскольку может предотвратить злоупотребление украденными токенами, поскольку политика авторизации проверяется при каждом вызове API. Даже если злоумышленник украдет токен, этот токен не будет работать из внешнего местоположения, если при авторизации будут применены ограничения IP.

Just in Time (JIT), access сокращает окно для злоупотреблений за счет устранения статических учетных данных. Доступ запрашивается для сеанса и утверждается извне, затем отменяется в конце сеанса. Этап утверждения является формой двойного управления и управляется вне диапазона создания сеанса. Это поддерживается некоторыми CSP и сторонними инструментами, но почти всегда за дополнительную плату. Основным преимуществом является меньшая площадь атаки. Поскольку пользователи не имеют постоянных прав, шансы злоумышленников использовать что-либо значительно уменьшаются.

Большинство поставщиков IaaS поддерживают ту или иную форму внутренних конечных точек обслуживания в рамках своих сетевых архитектур, и они могут быть использованы в политиках IAM для обеспечения того, чтобы системные вызовы и вызовы ресурсов API исходили только из внутренних сетевых подключений.

Некоторые политики PBAC поддерживают различные требования к авторизации для одного и того же пользователя для данного права. Например, для запроса на изменение может потребоваться более строгий набор атрибутов, чем для доступа на чтение. Таким образом, вы могли бы разрешить администратору вносить изменения в сеть или IAM только из корпоративной сети, но вы также могли бы разрешить администратору вносить изменения в сеть или IAM только из корпоративной сети, но разрешить им доступ к журналам из любого места для целей отладки.

Управление периметром IAM может быть сложным, но улучшение возможностей ABAC и PBAC помогает управлять идентификацией не только на основе статической концепции того, кто или что кто-то есть, но и помогает управлять идентификацией не только на основе статической концепции того, кто или что кто-то есть, но и на основе того, где они находятся, устройств они используют и другие атрибуты, которые оцениваются почти при каждом запросе.

Детективный контроль за безопасностью

В системе управления идентификацией и доступом (IAM) надежная безопасность опирается на многоуровневую структуру, использующую средства превентивного, детективного и корректирующего контроля (PDC). Этот подход обеспечивает комплексное обеспечение безопасности путем активного предотвращения угроз, оперативного выявления подозрительной активности и эффективного реагирования на инциденты. Принятие принципов нулевого доверия еще больше укрепляет эту структуру, предполагая, что ни один пользователь или устройство по своей сути не заслуживают доверия, и требуя строгой проверки каждого запроса на доступ. Кроме того, искусственный интеллект (ИИ) играет ключевую роль в анализе моделей поведения пользователей и обнаружении аномалий в режиме реального времени, укрепляя защиту от потенциальных атак. Интеграция этих концепций с элементами управления PDC значительно повышает уровень облачной безопасности организации.

Превентивный контроль: Проактивная защита

Превентивный контроль служит первой линией обороны, активно предотвращая инциденты безопасности в рамках системы IAM, согласованной с принципами нулевого доверия. Вот более подробный обзор ключевых примеров:

Политика надежных паролей: Применение сложных паролей с регулярными изменениями снижает вероятность успешных атак методом перебора или предоставления несанкционированного доступа к скомпрометированным учетным данным. Нулевое доверие усиливает этот подход, предполагая, что все учетные данные могут быть скомпрометированы, что требует дополнительной проверки.

Доступ с наименьшими привилегиями: Предоставление пользователям только минимального доступа, необходимого для их ролей, сводит к минимуму потенциальный ущерб в случае взлома учетной записи. Нулевое доверие еще больше усиливает это за счет постоянной проверки запросов на доступ, гарантируя пользователям доступ только к законным ресурсам.

Многофакторная аутентификация (MFA): MFA добавляет дополнительный уровень безопасности помимо имен пользователей и паролей, например, требует отправки проверочного кода на доверенное устройство или биометрической аутентификации. Zero Trust легко интегрируется с MFA, обеспечивая тщательную проверку каждой попытки доступа независимо от восприятия пользователем надежности.

Обнаружение угроз на базе искусственного интеллекта: Передовые алгоритмы искусственного интеллекта, включая аналитику поведения пользователей и сущностей (UEBA), анализируют данные об активности пользователей в режиме реального времени, выявляя аномалии, которые могут ускользнуть от обнаружения человеком, например, внезапное увеличение числа попыток входа в систему или доступ из неожиданных мест. UEBA совершенствует подход с нулевым доверием, предоставляя информацию о поведении пользователей и связанных с ним рисках при каждом запросе доступа.

Оперативный контроль: Выявление угроз и реагирование на них

Средства детективного контроля постоянно отслеживают активность пользователей и работоспособность системы, чтобы оперативно выявлять потенциальные инциденты безопасности в рамках системы нулевого доверия. Ключевые средства детективного контроля включают:

Регистрация доступа и активности: Запись всех попыток доступа предоставляет ценные данные для расследования, помогая понять активность пользователя. Принципы нулевого доверия обеспечивают всестороннюю регистрацию всех попыток доступа, независимо от результата, для получения более полной картины активности. Интеграция с облачными инструментами, такими как AWS CloudTrail или Azure Monitor, расширяет возможности ведения журнала, предлагая индивидуальные сервисы ведения журнала для облачных сред.

Обнаружение аномалий: Сложные алгоритмы, включая аналитику поведения пользователей и сущностей (UEBA), анализируют шаблоны доступа для выявления отклонений от установленных базовых показателей, таких как необычные попытки входа в систему или доступ в нерабочее время. UEBA дополняет обнаружение аномалий, предоставляя контекст для этих отклонений, отличая законную активность от подозрительной. Интеграция с системами SIEM и сторонними службами безопасности может улучшить обнаружение аномалий за счет сопоставления данных из различных источников и предоставления всестороннего представления о событиях безопасности.

Оповещения в режиме реального времени: Немедленные уведомления о подозрительной активности обеспечивают быстрое реагирование, сводя к минимуму потенциальный ущерб. Нулевое доверие определяет приоритеты оповещений на основе связанных факторов риска, позволяя командам безопасности в первую очередь сосредоточиться на критических угрозах.

Регулярные аудиты и проверки соответствия: Постоянный мониторинг и переоценка прав доступа помогают поддерживать высокий уровень безопасности. Регулярные аудиты обеспечивают соответствие прав доступа текущим ролям пользователей и сводят к минимуму ненужные разрешения.

Корректирующий контроль: Обучение и совершенствование

Несмотря на надежный превентивный и детективный контроль, могут возникать инциденты безопасности. Корректирующий контроль имеет решающее значение в рамках системы нулевого доверия, приобретая дополнительную значимость:

Реагирование на инциденты: Четко определенный план реагирования на инциденты способствует скоординированному реагированию на нарушения, сводя к минимуму ущерб и время простоя. Нулевое доверие упрощает выявление скомпрометированных учетных записей и изоляцию угроз, сокращая время реагирования. Интеграция с облачными инструментами и сторонними службами безопасности может улучшить реагирование на инциденты, предоставляя автоматизированные инструменты для обнаружения угроз, анализа и смягчения последствий.

Устранение уязвимостей: Выявление и исправление уязвимостей в системе безопасности предотвращает их использование. Нулевое доверие уменьшает площадь атаки, предоставляя доступ только к необходимым ресурсам, смягчая потенциальное воздействие уязвимостей.

Обзор политики и обновления: Анализ политик безопасности после инцидента выявляет слабые места и предотвращает будущие нарушения. Нулевое доверие подчеркивает постоянное совершенствование политики, включая уроки, извлеченные из инцидентов. Интеграция с облачными инструментами и сторонними службами безопасности может упростить проверку и обновление политик, предоставляя автоматизированные инструменты для управления политиками и мониторинга соответствия.

Обучение пользователей: Регулярное обучение пользователей повышает осведомленность о безопасности. Нулевое доверие способствует культуре проверки каждой попытки доступа, повышая осведомленность о безопасности.

Организации могут создать динамичную и надежную систему безопасности IAM, интегрируя средства контроля PDC с нулевым доверием и используя обнаружение угроз на базе искусственного интеллекта. Этот многоуровневый подход позволяет активно предотвращать инциденты безопасности, оперативно выявлять подозрительную активность и эффективно реагировать на нарушения, способствуя созданию более безопасной цифровой среды.

Вышеуказанное заменяет нижеприведенное. Однако дополнительные идеи, изложенные ниже, могут быть переработаны в вышеприведенное.

Делая еще один шаг вперед, средства оперативного контроля формируют фундаментальную часть надежной системы безопасности IAM в облачной среде, задачей которой является своевременное выявление инцидентов безопасности и реагирование на них. Идентификация и своевременное реагирование на инциденты безопасности. Эти средства контроля обеспечивают надежность за счет анализа и бдительного мониторинга действий пользователей и схем доступа, выступая в качестве хранителей цифровых взаимодействий. Важность такого непрерывного мониторинга невозможно переоценить; система раннего предупреждения именно система раннего предупреждения обнаруживает потенциальные угрозы. При плавной интеграции с автоматическим оповещением эта постоянная бдительность гарантирует быстрое и эффективное устранение любых аномальных действий.

Журналы доступа и активности лежат в основе этих элементов управления в IAMAt (IAM and Activity Tracker actions by API) ядром этих элементов управления в IAM являются журналы доступа и активности, которые являются не просто записями, но важными инструментами обеспечения безопасности. Эти журналы детализируют каждую попытку доступа, успешную или неудачную, и содержат важные данные, такие как временные метки и IP-адреса. Информация из этих журналов является ключевой при расследовании инцидентов безопасности. Наряду с этими журналами системы обнаружения аномалий используют сложные алгоритмы для выявления любых отклонений от обычных схем доступа, таких как попытки доступа к ценным ресурсам в необычное время или многократные попытки входа в систему, которые нарушают порог нормального поведения.

Ключевым компонентом детективного контроля является реализация оповещений в режиме реального времени. Эти оповещения являются цифровыми стражами, которые уведомляют службы безопасности о потенциальных инцидентах безопасности в момент их обнаружения, обеспечивая оперативное реагирование, которое часто может предотвратить или свести к минимуму потенциальный ущерб. Регулярные аудиты и проверки соответствия чрезвычайно ценны для обеспечения эффективности и соблюдения мер контроля доступа и политик Для обеспечения эффективности и соблюдения мер контроля доступа и политик регулярные аудиты и проверки соответствия чрезвычайно ценны. Эти проверки служат двойной цели: они проверяют эффективность политик и действенность самих политик; а также выявляют бездействующие учетные записи или разрешения, которые расширились сверх необходимости, что требует их отключения или удаления.

Для поддержки этих технологических элементов управления используются облачные инструменты, такие как AWS CloudTrail или Azure Monitor. Для поддержки этих технологических элементов управления используются облачные инструменты, такие как AWS CloudTrail или Azure Monitor для управления технологически, используйте облачные инструменты, такие как AWS CloudTrail или Azure Monitor. Эти инструменты — не просто утилиты; они специально разработаны для предоставления услуг ведения журнала и мониторинга, адаптированных к сложностям облачных сред. Более того, интеграция со сторонними службами безопасности и системами управления информацией о безопасности и событиями (SIEM) может повысить уровень безопасности организации путем сопоставления и синтеза данных из множества источников, тем самым предлагая панорамный обзор событий в области безопасности.

Для эффективного внедрения этих средств оперативного контроля должны быть приняты определенные передовые методы. Для эффективного внедрения этих средств оперативного контроля должны быть приняты определенные передовые методы. Первостепенное значение среди них имеет установление и обеспечение соблюдения четкой политики ведения журнала и оповещения. В этих политиках должно быть четко указано, какие события требуют регистрации, и указаны триггеры для оповещений. Параллельно обеспечение неизменности журналов имеет решающее значение для защиты их от любых форм подделки, тем самым сохраняя их целостность как неоспоримый источник истины для судебно-медицинской экспертизы.

Наконец, соблюдение принципов наименьших привилегий и нулевого доверия — это не просто рекомендация, а необходимость в современном цифровом ландшафте. Эти политики диктуют, что пользователям предоставляется доступ исключительно к ресурсам, необходимым для их ролей, при этом доверие тщательно проверяется перед предоставлением любого доступа. Такая позиция укрепляет безопасность, и не только укрепляет, но и согласуется с минималистичным, но эффективным подходом к распределению ресурсов, закрепляя всю структуру IAM в позиции осторожной, но проактивной бдительности.

Идентификационные данные клиентов

Управление идентификационными данными клиентов Business to Customer (B2C) представляет собой серьезную проблему. У разработчиков есть несколько вариантов удовлетворения этой потребности, каждый со своими уникальными преимуществами и соображениями. Прямое управление идентификационными данными клиентов в собственной базе данных пользователей приложения является одним из таких вариантов. Такой подход требует создания и сопровождения защищенного и масштабируемого пула идентификационных данных, гарантирующего безопасную обработку пользовательских данных и возможность быстрой адаптации к растущим требованиям.

В качестве альтернативы, federation может предложить способ использовать существующие учетные данные от внешних поставщиков удостоверений, таких как Google, Facebook (Здесь и далее: Сервис, принадлежит организации, деятельность которой запрещена на территории РФ) или различные корпоративные системы единого входа (SSO). Этот метод позволяет клиентам использовать свои существующие учетные записи для доступа к сервисам, упрощая процесс входа в систему и повышая удобство пользователей. Гибридный подход сочетает в себе лучшее из обоих миров, предлагая гибкость самоуправляемых удостоверений, а также поддерживая федеративные методы входа. Эта смешанная стратегия обеспечивает индивидуальный пользовательский опыт, учитывающий различные предпочтения и требования пользователей.

Когда приложения позволяют клиентам выполнять прямые вызовы API к облачному сервису, защита этого доступа приобретает первостепенное значение. Внедрение безопасных методов аутентификации, таких как ключи API, токены OAuth или другие механизмы, имеет решающее значение для контроля доступа и определения объема действий, которые могут выполнять пользователи. Обеспечение надежного контроля авторизации имеет важное значение для разграничения разрешений на различных уровнях доступа, таких как доступ только для чтения, возможности записи или полные административные права, в зависимости от роли каждого пользователя.

Поставщики облачных сервисов, в том числе AWS, предлагающая AWS Cognito, упрощают управление идентификационными данными клиентов. Эти сервисы предоставляют такие важные функции, как регистрация, авторизация в системе и контроль доступа, упрощая тонкости управления идентификационными данными. Сторонние решения для идентификации еще больше расширяют эти возможности, улучшая пользовательский опыт, усиливая функции безопасности и облегчая интеграцию между несколькими платформами.

Соблюдение новейших стандартов идентификации и управления доступом (IAM) не подлежит обсуждению независимо от выбранного пути. Независимо от выбранного пути соблюдение новейших стандартов идентификации и управления доступом (IAM) не подлежит обсуждению. Соответствие требованиям гарантирует, что внедренное решение для управления идентификацией снижает риски, связанные со сложностью и текущим обслуживанием пользовательских систем IAM. Этот стратегический подход к управлению идентификацией защищает пользовательские данные, поддерживает доверие пользователей и поддерживает масштабируемый рост приложений, размещенных в облаке.

Рекомендации. Управление идентификационными данными.

— Разработайте комплексную политику, план и процессы для управления идентификационными данными и авторизациями облачных сервисов.

— Рассмотрите возможность использования брокеров идентификационных данных для повышения эффективности управления источниками идентификационных данных (где это уместно).

— Облачные провайдеры должны предлагать внутренние идентификационные данные и федерации с использованием открытых стандартов.

— Волшебных протоколов не существует: сначала выберите варианты использования и ограничения, а затем найдите подходящий протокол.

— Управление доступом

— При подключении к внешним облачным провайдерам используйте федерацию для расширения существующего управления идентификаторами (если это возможно). Сведите к минимуму количество идентификаторов, не привязанных к идентификаторам, предоставляемым потребителем облака.

— Пользователи облака несут ответственность за поддержку поставщика идентификаторов и определение идентификаторов и атрибутов на основе авторитетных источников.

— Облачные клиенты должны использовать MFA для всего доступа к облаку и отправлять статус MFA в качестве атрибута при использовании федеративной аутентификации.

— Задокументируйте матрицу прав для каждого облачного развертывания, которая соответствует требованиям безопасности и бизнеса.

— Преобразуйте матрицы прав доступа в технические политики, если они поддерживаются облачным провайдером или платформой.

— Для облачных вычислений отдавайте предпочтение управлению доступом на основе атрибутов (ABAC) и управлению доступом на основе политик (PBAC), а не управлению доступом на основе ролей (RBAC).

— Оценивайте и внедряйте более современные процессы и технологии IAM, такие как отслеживание использования для улучшения доступа с наименьшими привилегиями, доступа точно в срок (JIT) и оценки рисков.

Меры безопасности

— Рассмотрите возможность внедрения периметра IAM с ограничениями на основе местоположения, особенно для конфиденциальных ресурсов или административного доступа (чтобы снизить риск атак с использованием украденных учетных данных или токенов сеанса).

— Максимально исключите использование статических облачных учетных данных (например, жестко закодированных ключей API).

— Используйте инструменты автоматической оценки для отслеживания состояния IAM на предмет неправильных настроек, чрезмерного доступа, сбоев в соблюдении требований и других проблем (рассмотрите возможность автоматического устранения грубых нарушений политики).

— Регистрируйте и отслеживайте все изменения IAM как у поставщика удостоверений, так и у проверяющей стороны.

— Реагирование на инциденты

— Интегрируйте планы и процедуры для аннулирования или ограничения токенов сеанса IAM, которыми злоупотребляют, в вашу программу реагирования на инциденты.

Приведенное выше заменяет приведенное ниже

— Организациям следует разработать всеобъемлющую и формализованную политику, план и процессы управления идентификационными данными и авторизациями с помощью облачных сервисов.

— При подключении к внешним облачным провайдерам используйте федерацию, если это возможно, для расширения существующего управления идентификационными данными. Постарайтесь свести к минимуму разрозненные идентификационные данные в облачных провайдерах, которые не привязаны к идентификационным данным, предоставляемым облачными потребителями.

— Рассмотрите возможность использования посредников идентификации, где это уместно, для улучшения управления источниками идентификации.

— Пользователи облака несут ответственность за поддержание поставщика идентификации и определение идентификационных данных и атрибутов. Они должны основываться на авторитетных источниках.

— Облачным клиентам следует использовать MFA для всего доступа к облаку и отправлять статус MFA в качестве атрибута при использовании федеративной аутентификации.

— Рассмотрите возможность внедрения периметра IAM с ограничениями на основе местоположения, особенно для конфиденциальных ресурсов или административного доступа, чтобы снизить риск атаки с использованием украденных учетных данных или токенов сеанса.

— В максимально возможной степени исключите использование статических облачных учетных данных (например, жестко закодированных ключей API).

— Задокументируйте матрицу прав для каждого облачного развертывания, соответствующую требованиям безопасности и бизнеса.

— Преобразуйте матрицы прав доступа в технические политики, если они поддерживаются облачным провайдером или платформой.

— Отдавайте предпочтение ABAC и PBAC перед RBAC для облачных вычислений.

— Облачные провайдеры должны предлагать как внутренние удостоверения, так и федерации, использующие открытые стандарты.

— Волшебных протоколов не существует: сначала выберите варианты использования и ограничения, а затем найдите правильный протокол.

— Используйте инструменты автоматической оценки для отслеживания состояния IAM на предмет неправильных настроек, чрезмерного доступа, сбоев соответствия требованиям и других проблем. Рассмотрите возможность автоматического устранения грубых нарушений политики.

— Оценивайте и внедряйте более современные процессы и технологии IAM, где это уместно и возможно, такие как отслеживание использования для улучшения минимальных привилегий, своевременный доступ и оценка рисков.

— Интегрируйте планы и процедуры аннулирования или ограничения токенов сеанса IAM, которыми злоупотребляют, в вашу программу реагирования на инциденты.

— Регистрируйте и отслеживайте все изменения IAM как у поставщика удостоверений, так и у проверяющей стороны.

FIDO (Быстрая идентификация онлайн)

FIDO (Fast Identity Online) — это набор независимых от технологий спецификаций безопасности для надёжной аутентификации. FIDO разработан некоммерческой организацией FIDO Alliance, которая стремится стандартизировать аутентификацию на уровне клиента и протокола.

Спецификации FIDO поддерживают многофакторную аутентификацию MFA и криптографию с открытым ключом. В отличие от баз данных паролей, FIDO хранит информацию, позволяющую идентифицировать личность, например данные биометрической аутентификации, локально на устройстве пользователя для её защиты. Локальное хранение биометрических данных и других персональных идентификаторов в FIDO призвано развеять опасения пользователей по поводу хранения персональных данных на внешнем сервере в облаке. Абстрагируя реализацию протокола с помощью API, FIDO также упрощает работу разработчиков по созданию безопасных логинов для мобильных клиентов, работающих под управлением разных операционных систем на разных типах оборудования.

FIDO поддерживает универсальную систему аутентификации (UAF), протоколы универсального второго фактора (U2F) и FIDO2. При использовании UAF клиентское устройство создает новую пару ключей во время регистрации в онлайн-сервисе и сохраняет закрытый ключ; открытый ключ регистрируется в онлайн-сервисе. Во время аутентификации клиентское устройство подтверждает наличие закрытого ключа в сервисе, подписывая запрос, который включает в себя удобное для пользователя действие, например, сканирование отпечатка пальца, ввод PIN-кода, селфи или разговор в микрофон.

При использовании U2F для аутентификации требуется надёжный второй фактор, например, бесконтактная связь NFC или USB-токен безопасности. Во время входа в систему пользователю предлагается вставить и коснуться своего личного U2F-устройства. Устройство пользователя с поддержкой FIDO создаёт новую пару ключей, а открытый ключ передаётся онлайн-сервису и связывается с учётной записью пользователя. Затем сервис может аутентифицировать пользователя, запросив у зарегистрированного устройства подпись с помощью закрытого ключа.

Сегодня аутентификация FIDO основывается на трёх принципах: простота использования, стандартизация и конфиденциальность/безопасность.

Как работают ключи доступа

Стандарты аутентификации пользователей FIDO используют методы криптографии с открытым ключом для обеспечения удобной и устойчивой к фишингу аутентификации, которая позволяет пользователям входить в систему с помощью паролей.

Ввод пароля с помощью онлайн-сервиса

Для начала пользователь регистрирует ключ доступа в онлайн-сервисе. Регистрация обычно начинается либо на странице настроек входа (которую пользователь находит самостоятельно), либо с помощью рекламы настроек (например, призыва к действию, который онлайн-сервис направляет пользователю во время входа).

Процесс регистрации ключа доступа обычно происходит после того, как пользователь входит в учётную запись онлайн-сервиса с помощью существующего метода аутентификации. Пользователь подтверждает создание ключа доступа, разблокировав своё устройство при появлении запроса. Ключ доступа хранится в менеджере паролей пользователя (также часто называемом менеджером учётных данных). Если у пользователя не установлен менеджер паролей, используется менеджер паролей по умолчанию, поставляемый с операционной системой. Если пользователь решил использовать ключ безопасности (аппаратное устройство), пароль хранится на ключе безопасности, а не в менеджере паролей устройства.

Ключи доступа можно синхронизировать между устройствами или хранить в менеджере учётных данных или на защитном ключе.

Вход в онлайн-сервис с помощью пароля

Когда пользователь пытается войти в онлайн-сервис, он видит запрос, в котором его просят выбрать учётную запись, которую он хочет использовать, а затем запрос на разблокировку устройства (или ключа безопасности) с помощью биометрических данных или локального PIN-кода. После подтверждения личности пользователя он входит в свою учётную запись. Браузер, операционная система и менеджер паролей (или ключ безопасности) работают вместе, чтобы сделать этот процесс простым.

Технический обзор

На этапе регистрации менеджер паролей (или ключ безопасности) создаёт пару криптографических ключей, уникальных для конкретной учётной записи на конкретном онлайн-сервисе. Менеджер паролей (или ключ безопасности) сохраняет закрытый ключ, а открытый ключ регистрируется на онлайн-сервисе.

Когда пользователь пытается войти в онлайн-сервис, сервер отправляет случайное задание на устройство пользователя. Менеджер паролей (или ключ безопасности) подписывает это задание с помощью соответствующего закрытого ключа после того, как пользователь подтвердит вход, разблокировав устройство. Подпись возвращается на сервер, который проверяет подпись по открытому ключу, хранящемуся в базе данных.

Когда пользователь устанавливает менеджер паролей на новое устройство, его личные ключи синхронизируются с новым устройством. Это позволяет пользователю входить в свои онлайн-сервисы с нового устройства.

Если пользователь использует ключ безопасности для хранения своего пароля, закрытый ключ не синхронизируется, он остаётся на конкретном устройстве с ключом безопасности. Чтобы использовать ключ безопасности на новом устройстве, пользователь может подключить ключ безопасности к новому устройству.

Пароли защищены по своей конструкции

По замыслу, ключ доступа отображается только на том сайте, на котором он был зарегистрирован. Пользователь не может случайно ввести его на сайте злоумышленника. Кроме того, у онлайн-сервиса нет эквивалента хэша пароля, который можно украсть с сервера и взломать, чтобы узнать пароль. У онлайн-сервиса есть только открытый ключ, и с точки зрения математики криптографии невозможно извлечь закрытый ключ из открытого.

Ключи доступа являются частными по своей конструкции

Для каждого домена и учётной записи создаётся уникальный ключ доступа. Таким образом, несколько онлайн-сервисов не могут совместно отслеживать пользователя. Разблокировка устройства (с помощью биометрических данных или PIN-кода) остаётся локальной. Онлайн-сервис видит только открытые ключи и подписи с устройства пользователя. Чтобы пользователь мог использовать закрытый ключ, менеджер паролей использует API, предоставляемый операционной системой, для непосредственного использования знакомой и конфиденциальной по своей сути разблокировки устройства, которая уже много лет используется в операционных системах.

Регистрация ключа-пароля в онлайн-сервисе

Ниже описаны шаги, которые необходимо выполнить пользователю, чтобы привязать ключ доступа к своей учётной записи онлайн-сервиса:

— Пользователь получает доступ к приложению или веб-сайту.

— Пользователь получает запрос от онлайн-сервиса на создание ключа доступа или инициирует создание ключа доступа в настройках учётной записи.

— Используя своё устройство, пользователь подтверждает создание ключа доступа с помощью локального метода аутентификации, такого как биометрические данные, локальный PIN-код или прикосновение к ключу безопасности FIDO.

— Устройство пользователя создаёт новую пару открытого и закрытого ключей (пасс-ключ), уникальную для локального устройства, онлайн-сервиса и учётной записи пользователя.

— Открытый ключ отправляется в онлайн-сервис и связывается с учётной записью пользователя. Любая информация о локальном методе аутентификации (например, биометрические измерения или шаблоны) никогда не покидает локальное устройство.

Использование ключа-пароля для последующего входа в систему

— На клиентском устройстве пользователю предлагается войти в систему с помощью пароля.

— Пользователям с несколькими учетными записями предлагается выбрать, какую учетную запись использовать.

— Пользователю предлагается пройти локальную аутентификацию с помощью биометрических данных, локального PIN-кода или касанием ключа безопасности FIDO.

— Клиентское устройство отправляет подписанный запрос обратно в сервис, который проверяет его с помощью сохранённого открытого ключа и регистрирует пользователя.

Следующий уровень MFA: Аутентификация FIDO

Многие из нас знают, что включение многофакторной аутентификации — это самое важное, что могут сделать пользователи, чтобы оставаться в безопасности в интернете. В этот Месяц осведомлённости о кибербезопасности я путешествую по стране, призывая американцев принимать меры, чтобы оставаться в безопасности в интернете. И вот моя главная просьба: включите многофакторную аутентификацию на своей учётной записи электронной почты, на своём банковском счёте, на своих аккаунтах в социальных сетях и вообще везде, где есть данные, которые вы хотите защитить. Мы все в одной лодке — на самом деле, целесообразно сосредоточиться на внедрении MFA, и необходимо усердно работать над улучшением работы в этом направлении.

Однако даже при включенном MFA за последние пару лет произошло несколько громких взломов, когда злоумышленникам удавалось обходить традиционные формы MFA, такие как SMS-сообщения, приложения для аутентификации или push-уведомления. Эти компромиссы удивили некоторых наблюдателей, но на самом деле это был только вопрос времени. Фактически, существуют широкодоступные «наборы инструментов обхода MFA, которые снижают стоимость атаки. К сожалению, мы ожидаем увидеть все больше и больше подобных компромиссов. Фишинг учетных данных — печальный факт жизни. Если целеустремлённые злоумышленники тратят достаточно времени и усилий, пытаясь обмануть нас, кто-то в вашей организации в конце концов попадётся на уловку. И это можете быть вы.

Мы уже много лет знаем, что любая форма многофакторной аутентификации лучше, чем её отсутствие. Это по-прежнему так, но мы также знаем, что в какой-то момент «традиционная многофакторная аутентификация» станет «устаревшей многофакторной аутентификацией» и её нужно будет пересмотреть или даже заменить. К счастью, группа компаний сформировала Альянс FIDO, чтобы создать устойчивую к фишингу форму многофакторной аутентификации. Они смогли внедрить протоколы FIDO в операционные системы, браузеры, телефоны и планшеты, которые у вас уже есть. FIDO поддерживается в десятках онлайн-сервисов. Крупные и мелкие организации запускают пилотные проекты и даже завершают внедрение для всех сотрудников.

Мы часто говорим об отказоустойчивости. Мы должны признать, что, несмотря на все планирование и тренировки для обеспечения безопасности наших систем, данных и инфраструктуры, всё равно могут произойти неприятные вещи, например, сотрудник вашей организации попадётся на фишинговое письмо. FIDO так ценен, потому что даже в этом случае атака не увенчается успехом.

Необходимо привлечь внимание к FIDO как к золотому стандарту многофакторной аутентификации и единственной широкодоступной системе аутентификации, устойчивой к фишингу.

Рекомендации

Руководителям компаний: призываем каждого генерального директора убедиться, что аутентификация FIDO включена в план внедрения многофакторной аутентификации в их организации. FIDO — это золотой стандарт. Стремитесь к золоту.

Поставщикам технологий, которые обеспечивают нашу цифровую жизнь: сегодня у нас нет информации о внедрении многофакторной аутентификации в онлайн-сервисах. Некоторые сервисы публикуют данные, но большинство — нет, и эта нехватка информации мешает нам коллективно решать проблемы, которые позволят нам повысить уровень кибербезопасности в стране. В связи с этим мы просим вас:

— Обеспечьте радикальную прозрачность статистики MFA: мы не можем улучшить то, что не измеряем. Проще говоря, нам нужно лучше понимать, как внедряется MFA. Например, какой процент корпоративных пользователей использует SMS, FIDO или приложение-аутентификатор? И как эти показатели меняются от квартала к кварталу? Именно поставщики технологий могут информировать всю экосистему.

— Подталкивайте конечных пользователей к использованию MFA: сегодня в большинстве онлайн-сервисов нет видимой разницы между учётной записью, защищённой MFA, и учётной записью, уязвимой для различных атак, таких как подбор пароля. Если вы попытаетесь сесть за руль, не пристегнувшись, что произойдёт? Ваш автомобиль предупредит вас таким образом, чтобы вы настоятельно рекомендовали вам пристегнуться. Нам нужно активное, даже агрессивное подталкивание, чтобы, когда кто-то начинает пользоваться новым онлайн-сервисом, он знал, что ему нужно зарегистрироваться для MFA. Здесь есть некоторые сложности, но помощь уже в пути. Большой интерес представляет наблюдение за тем, как поставщики внедряют FIDO «пасс-ключи» — расширение аутентификации FIDO, которое обещает сделать взаимодействие с пользователем более интегрированным и интуитивно понятным.

— Подтолкните системных администраторов: в некоторых системах доля системных администраторов, использующих многофакторную аутентификацию, составляет менее 50%. Нам нужно быть занозой в заднице, постоянным раздражающим фактором, пока мы не добьёмся 100% использования многофакторной аутентификации с сильным уклоном в сторону аутентификации FIDO. Системные администраторы — особенно ценные цели, и им нужно должным образом защищать свои учётные записи.

— Убедитесь, что для организаций, внедряющих MFA, не существует ценовых барьеров: каждый пользователь, каждый клиент, от крупнейших компаний до малого бизнеса, школ, больниц и местных органов власти в каждом сообществе, заслуживает MFA.

— 100-процентная аутентификация FIDO для сотрудников, работающих с облачными сервисами: многие организации пришли к выводу, что безопаснее переносить данные и сервисы своей организации к надёжным поставщикам облачных услуг. После волны взломов с обходом многофакторной аутентификации в этом году стало ясно, что быть «надёжным» поставщиком облачных услуг означает «мы не потеряем ваши данные, даже если наши сотрудники попадутся на уловку с фишингом учётных данных». Некоторые организации уже сделали это и предотвратили катастрофу. Мы с нетерпением ждём, когда все поставщики облачных услуг будут хвастаться тем, что внедрение FIDO делает их надёжными!

Суть в том, что нам всем нужно включиться в игру и решать эту проблему сообща. Решая проблему многофакторной аутентификации с разных точек зрения, мы можем значительно повысить безопасность в интернете — и, как следствие, безопасность нашего бизнеса, личную и даже национальную безопасность.

Заключение

Only right ACCESS

for only right DATA

for only right USER

for only right REASON.

Управление идентификацией и доступом (IAM) чрезвычайно важно, поскольку идентификация имеет приоритет над традиционным сетевым периметром в качестве основного средства управления доступом к общедоступным облачным сервисам и развертываниям. Основным принципом облачной безопасности является признание того, что большинство нарушений, связанных с использованием облачных технологий, связаны со скомпрометированными учетными данными, что подчеркивает важность надежных мер проверки личности.

Многофакторная аутентификация (MFA) пропагандируется как важное требование для любого доступа к облаку. Эта мера значительно снижает риск несанкционированного доступа, требуя нескольких форм проверки, помимо простого ввода пароля. Кроме того, для доступа на административном уровне рекомендуется использовать доступ «Точно в срок» (JIT) или другие расширенные стратегии управления привилегированными идентификационными данными, гарантирующие, что права предоставляются только в необходимое время и только на требуемый срок.

В то время как облачные провайдеры обычно предлагают свои собственные пулы идентификационных данных, у предприятий есть веские основания для внедрения федерации. Федерация обеспечивает плавную интеграцию с существующими поставщиками идентификационных данных, позволяя пользователям проходить аутентификацию, используя свои установленные учетные данные из других служб, тем самым упрощая работу пользователей и консолидируя управление идентификационными данными.

Основные облачные провайдеры внедрили управление доступом на основе политик (PBAC), которое обеспечивает детальный и мощный контроль над разрешениями доступа. Хотя PBAC обеспечивает повышенную безопасность за счет детального применения политик, это также вносит дополнительную сложность в структуру IAM.

Эффективные стратегии IAM сочетают в себе поставщиков защищенных идентификационных данных и построены на сочетании поставщиков защищенных идентификационных данных и надежных протоколов аутентификации. В них приоритет отдается принципу наименьших привилегий — предоставлению пользователям минимальных уровней доступа, необходимых для их ролей, — дополненному логикой, основанной на политиках, которая учитывает различные условия для основных типов политик. Кроме того, интеграция средств оперативного контроля имеет решающее значение для мониторинга, оповещения и реагирования на потенциальные инциденты безопасности, обеспечивая реактивный уровень защиты в дополнение к проактивным политикам доступа.

При разработке комплексной стратегии IAM важно детально задокументировать и сформулировать эти методы, охватывающие различные компоненты облачной архитектуры. Такая документация должна охватывать обоснование принятия MFA, использование JIT для привилегированных учетных записей, преимущества федерации перед проприетарными пулами идентификационных данных и тонкости систем PBAC. Также следует изучить соответствие практик IAM бизнес-целям, баланс между мерами безопасности и опытом пользователей, а также непрерывную эволюцию IAM в ответ на возникающие угрозы и технологии.

— ПСИХОЛОГИЧЕСКИЕ АСПЕКТЫ КИБЕРПРЕСТУПНОСТИ. ЧЕЛОВЕЧЕСКИЙ ВЗЛОМ: ПСИХОЛОГИЯ, ЛЕЖАЩАЯ В ОСНОВЕ КИБЕРБЕЗОПАСНОСТИ.

Психические расстройства, связанные с киберпреступностью: бредовые расстройства (мания величия, преследование), парафилии (эксгибиционизм, вуайеризм, фетишизм, педофилия, садизм, мазохизм) и расстройства личности (параноидальные, шизоидные, шизотипические, пограничные, нарциссические, антисоциальные). Исследования психологии хакеров проводятся с целью лучше понять их мотивы и тактику в области киберпреступности.

Обширные исследования для анализа психологических моделей киберпреступников нацелены на аналитику и понимание, как хакеры принимают свои решения, что их мотивирует и как они нацелены на своих жертв, психологические факторы, влияющие на их поведение, а также на разработку более эффективных стратегии противодействия компьютерным атакам.

Киберпреступники — настоящие психологи

Продукты безопасности одержали парадоксальную победу: более безопасные системы только усилили социальную инженерию, то есть психологические манипуляции. Прекращение кампании по борьбе с пиратством, единственной целью которых было разоблачить их зачинщиков возможно бы снизило мотивацию и популярность цифрового пиратства. Сегодня атаки любого рода являются целенаправленными, персонализированными. Чтобы быть эффективными, то есть получать прибыль или собирать личную информацию, они пытаются использовать наши психологические уязвимости.

Исследования указывают на то, что киберпреступники выдают себя за доверенных лиц (друзей, признанный юридический орган), вступают в дружеский диалог и используют ложные сведения. такие эмоции, как страх, неуверенность или жадность. Цель состоит в том, чтобы убедить жертв открывать вложения электронной почты, переходить по ссылке или вводить конфиденциальную информацию. (Любой, у кого есть адрес электронной почты, наверняка заметил уловку до выводов этого исследования…) Чтобы привлечь внимание, хакеры используют броские заголовки в качестве объектов своих сообщений, связанных с покупками или свиданиями. В электронные письма часто включаются предложения типа «Щелкните здесь, чтобы получить вознаграждение» или предупреждения, такие как «чтобы с вами не случилось ничего прискорбного».

Киберпреступники также извлекают выгоду из деликатных текущих событий: глобальных событий, вызывающих беспокойство или способных вызвать отклик у потенциальных жертв, или даже крупных спортивных мероприятий. Согласно тому же исследованию, любой пользователь Интернета может попасть в ловушку. Если условия подходящие, то есть сообщение является убедительным, а ситуация и профиль пользователя соответствуют им, большинство людей уязвимы для вводящей в заблуждение информации. И это остается в силе для всех пользователей, опытных или нет. Наивность, безусловно, несет определенную долю ответственности, но даже опытные пользователи могут быть обмануты и подвержены влиянию.

Наконец, преступники объединяются и используют свой опыт для совершенствования своих стратегий атак. Они стремятся преодолеть ментальные барьеры, а не использовать программное обеспечение для обеспечения безопасности.

Почему психология так важна для эффективной кибербезопасности

Вместо того, чтобы рассматривать сотрудников как слабое звено, ИТ-директора должны рассматривать их как один вектор атаки, так и другой, и помогать им лучше понять свою роль в обеспечении безопасности.

Понимание того, как работает человеческий разум, может помочь в борьбе с вредом социальной инженерии, усиливая борьбу с фишингом и другими методами манипулирования разумом, часто используемыми киберпреступниками.

Жертвами киберпреступности становится все больше и больше людей, но лишь немногие исследования посвящены последствиям виктимизации. Несколько исследований, посвященных виктимизации в Интернете, демонстрируют, что последствия могут быть серьезными и аналогичными последствиям в автономном режиме, начиная от финансовых и психологических последствий. Однако эти исследования касаются только определенных преступлений, не позволяющих получить общее представление о проблеме, и касаются только финансовых последствий, затмевая психологические последствия.

Одним из направлений исследования является психологическое и финансовое воздействие виктимизации на хакерство, финансовые преступления и те, которые влияют на личность. Таким образом, это исследование позволяет не только понять последствия виктимизации, но и применить теоретические основы для понимания виктимизации киберпреступности. Исследуется несколько гипотез:

— Психологическое воздействие преступлений на личность будет более значительным, чем в случае других преступлений.

— Психологическое воздействие было бы более значительным, если бы преступник был известен жертве

— Психологическое воздействие было бы более значительным, если бы жертва неоднократно общалась с правонарушителем до совершения преступления.

— Психологическое воздействие на жертв, потерявших деньги, меньше, если им выплачивается компенсация.

Теория

Теория предполагает, что жертвы изменяют определенные свои представления о себе и о мире. Несвязанность этих презумпций может иметь психологические, физические, социальные и поведенческие последствия. При виктимизации нарушаются три типа презумпций:

1) вера в свою непобедимость;

2) вера в то, что мир стабилен, его легко понять и что хорошие вещи случаются с нужными людьми;

3) позитивный взгляд на себя.

Что следует помнить?

Эти три типа преступлений оказывают различное воздействие на жертв, и необходимо различать влияние на эмоциональное благополучие и влияние на чувство безопасности, связанное с киберпреступностью (убеждения человека в том, что он в безопасности в цифровой среде). Теория нарушенных презумпций подходит для разработки гипотез о последствиях виктимизации.

Психологические последствия для всех трех типов преступлений различны. Они более важны в случае преступлений против личности, но менее важны для чувства безопасности. Влияние на эмоциональное благополучие наиболее заметно, когда преступник известен, но интенсивность взаимодействий оказывает незначительное влияние.

Жертвы, получившие компенсацию, сообщили о меньшем психологическом воздействии на благополучие чем те, кто этого не сделал, потому что первые чувствовали, что их признают жертвами, а не обвиняют в своей виктимизации.

Ожидается, что результаты этого исследования позволят улучшить реагирование и поддержку жертв киберпреступности. Различные последствия в зависимости от преступления могут позволить определить приоритеты реагирования, оказываемого жертвам.

Один технический эксперт и исследователь в области кибербезопасности, который хорошо разбирается в хитростях хакеров чуть не стал жертвой мошенничества после того, как получил электронное письмо, якобы отправленное его матерью с просьбой о финансовой помощи. Это электронное письмо сразу напомнило ей обо всем, что ее мать сделала для ее семьи. Он говорит, что слышал ее голос в своей голове, когда читал слова на экране компьютера. Хотя эксперт знал, что она никогда раньше не просила денег, он поспешил ответить: «Сколько тебе нужно?»

Только когда ему вернулось еще одно электронное письмо с вопросом, в какие сроки он может отправить деньги — еще один необычный запрос — он задумался. «Затем загорелись красные флажки», — объясняет он, почему чуть не попал в ловушку: он слышал голос своей матери в своей голове, когда читал электронное письмо, и это создавало впечатление, что просьба была реальной. Он хотел сделать себя полезным. И в повседневной суете он не сразу осознал опасность.

Реакция на фишинг — это часть ДНК человека

Потенциальная жертва из предыдущих абзацев не единственная, у кого есть такие реакции. Он и другие специалисты по кибербезопасности утверждают, что они типичны для ДНК человека, которая еще не эволюционировала, чтобы вызывать реакцию бегства или уклонения от опасности в Интернете. Эта реальность вызвала растущий интерес к тому, как наука о человеческом поведении может информировать и улучшать дисциплину кибербезопасности. Оправданный интерес для экспертов в этой области.

Люди действуют непредсказуемо, и, хотя многофакторная аутентификация и другие технологии безопасности — это хорошо, достаточно, чтобы один человек ответил на электронное письмо в определенный день, чтобы подвергнуть организацию риску. Это человеческое измерение кибербезопасности, и это аспект, о котором ИТ-директорам следует начать больше думать.

Пересечение кибербезопасности и психологии

И психологи по кибербезопасности, и корпоративные практики подчеркивают необходимость лучшего понимания того, как люди взаимодействуют с технологиями, чтобы укрепить систему ИТ-безопасности. Они полагаются на статистические данные, показывающие, что большинство утечек данных происходит из-за человеческой ошибки. Например, было обнаружено, что в 2024 г. 74% всех нарушений связаны с человеческим фактором, когда люди вовлечены либо по ошибке, либо в результате злоупотребления привилегиями, либо в результате использования украденных учетных данных., или с помощью социальной инженерии.

Хакеры не хотят атаковать ваш брандмауэр. Они не хотят бросать вызов вашему антивирусу, потому что это очень сложно, не тогда, когда они могут использовать самую большую уязвимость из всех сетей на планете прямо сейчас — то есть нас, людей. Киберпреступники не просто взламывают компьютеры, они взламывают людей. Потому что, в отличие от компьютеров, мы реагируем на пропаганду. Психология помогает понять, почему люди делают то, что делают. Для исследователей, изучающих роль человеческой природы в кибербезопасности, существует множество психологических причин, по которым сотрудники становятся жертвами попыток фишинга и других хакерских атак.

Сотрудники не воспринимают «опасность неизвестного»

Во-первых, многие работники нажимают, когда не должны, потому что они сосредоточены на своей работе. Они говорят себе: «Я просто пытаюсь выполнять свою работу. Я хочу, чтобы мой начальник перестал находиться за моей спиной». Или это просто несчастный случай: они подумали, что поступили правильно“, -большинство людей хотят сделать себя полезными, когда получают запрос на работе. С другой стороны, работники не были приучены с подозрением относиться к незнакомцам в Интернете; они не думают об „опасности неизвестного“ так, как в реальной жизни. И каждый по-прежнему склонен думать, что его не обманут. „Сотрудники правдоподобно отрицают это. Они думают, что с ними этого не случится, и чем меньше они об этом думают, тем меньшей мишенью они будут.

Хакеры понимают все это. Специалисты по человеческому аспекту взлома объясняют, что киберпреступники часто разрабатывают атаки, которые создают чувство страха, срочности или власти, чтобы побудить людей отреагировать. Вот почему такое сообщение, как «Вы потеряете свои льготы, если не заполните эти формы сегодня», является эффективным. Такое сообщение отвлекает внимание читателя от ежедневной рутины, той части мозга, которая обнаруживает угрозы и реагирует на них. Вы очень быстро реагируете. И когда у вас возникают такие сильные эмоции, вы перестаете обращать внимание на красные флажки.

Зачем интегрировать психологию в безопасность?

Эксперты утверждают, что применение психологии к ИТ-безопасности помогает специалистам по кибербезопасности понять, где, как и почему они не могут реализовать эффективную программу безопасности. Мы должны проектировать безопасность, думая о людях, потому что, если безопасность не работает для них, она просто не работает. Например, требования к паролям: требование сложных комбинаций букв, цифр и символов, а также частая смена перегружают память сотрудников, которые в конечном итоге используют более слабые пароли (и записывают их), чтобы защитить себя и обеспечить возможность доступа к системам, необходимым для выполнения их работы. Вот почему указание работникам использовать три случайных слова более эффективно для человеческой памяти и для безопасности. Пароли из трех слов достаточно длинные и достаточно надежные для большинства случаев.

Еще один пример, когда психология показывает, что безопасность может иметь неприятные последствия. Этой точки зрения придерживаются специалисты по безопасности, которые говорят: «Вопрос не в том, есть ли лазейка, а в том, когда» (или какой-либо вариант этой формулы) на самом деле может принести больше вреда, чем пользы. Это связано с эффектом Пигмалиона, психологическим феноменом, при котором установление высоких ожиданий приводит к повышению производительности, в то время как установление низких ожиданий приводит к низким результатам. Когда мы говорим, что «дело не в том, если, а когда», мы лишаем пользователя контроля. Он задается вопросом: что побуждает пользователей следовать передовым методам, особенно когда последние требуют дополнительных усилий, если им говорят, что это не обязательно будет иметь значение? Вместо этого дайте каждому пользователю полномочия и контроль, сказав: мы можем остановить эти атаки. Мы можем это преодолеть. На нас не будут нападать, потому что мы будем следовать правильным процессам.

Психологическая безопасность — это эффективная безопасность

Как помочь организациям перейти от повышения осведомленности к внедрению передовых методов кибербезопасности. Предлагаются услуги менеджера по корпоративной информационной безопасности с разделением времени. Лучше фокусироваться на человеческом компоненте построения кибер-устойчивой организации. Наиболее эффективны принципы маркетинга и продаж, которые позволяют убедить человека совершить покупку или предпринять действие. Речь идет о том, чтобы убедить кого-то принять решение, которое он обычно не принял бы. Кибербезопасность — это то же самое. Речь идет о том, чтобы убедить людей в том, что кибербезопасность — это часть их работы. Для этого кибербезопасность должна опираться на психологию. Она требует, чтобы психология была эффективной.

Специалисты по маркетингу разработали и используют персонажей, чтобы помочь им уточнить сообщения о кибербезопасности, которые доставляются отдельным лицам. Эти персонажи принимают во внимание свои роли, мотивы, то, как они предпочитают учиться, и другие факторы. Это позволяет персонализировать кампании, повышать осведомленность людей и лучше ограничивать риски.

Обучение используется для выявления уязвимостей в компаниях. Исследования, показывающие, что более поспешное поведение людей в определенное время дня, например, непосредственно перед обедом или перед уходом, делает их более склонными нажимать на электронные письма, содержащие фишинговые атаки. (Киберпсихологи называют эти моменты спешки «горячим» висцеральным состоянием.) Группы безопасности, которые понимают эту динамику, могут действовать на основе этой информации, например, путем настройки своей платформы управления информацией и событиями безопасности (SIEM), чтобы в такие моменты создавать больше шлюзов безопасности для электронной почты.

Киберпсихология также работает в обучении

Психологию также применяется к обучению групп безопасности, при работе с компаниями, стремящимися сократить время реагирования на инциденты. Организация конкурсов для обучения команд и возможность победителей поделиться своими стратегиями, используя, в первом случае, в целом конкурентный характер специалистов по безопасности, а во втором — их мотивацию делать добро и восприниматься как надежные супервайзеры. Речь идет о том, чтобы взять то, что известно о том, как люди работают, и разработать политику, обеспечивающую надлежащий контроль.

Люди — это средство атаки, а не слабое звено

Такое мышление заставляет пересмотреть свое отношение к сотрудникам как к «слабому звену». Сотрудники — не слабое звено. Они являются основным средством атаки. Важно понимать это при создании информационного и учебного контента. Как профессионалы в области безопасности, мы должны поставить себя на место наших сотрудников. Безопасность может быть для нас самой важной темой в мире, но для других она может означать что угодно, от сдерживающего фактора до чего-то, что они никогда не рассматривают. Понимание того, что изменение поведения требует мотивации, способностей и стимулов играет роль ключевого компонента программ киберзащиты.

Наиболее эффективный способ для ИТ-директоров включить психологическую подготовку в программу обеспечения безопасности — это нанять киберпсихолога, который знаком с этой наукой и с тем, как она работает. Многие разделяют эту точку зрения, но признают, что это большой вызов, который трудно удовлетворить. С одной стороны, мало кто обучен этой дисциплине. Киберпсихология интересуется тем, как разум реагирует, когда люди взаимодействуют с технологиями, все еще является относительно новой областью. Кроме того, не все киберпсихологи и не все программы киберпсихологии сосредоточены на кибербезопасности. ИТ-директора, которые уже работают с ограниченным бюджетом, могут не иметь средств для финансирования такой должности.

Тем не менее интерес и информация о пересечении психологии и кибербезопасности растут. Пора придерживаться подхода «обучение инструкторов», взаимодействовать с учебными организациями в том числе по управлению человеческими рисками, уделять повышенное внимание психологическим факторам.

Включение психологии в отдел SSI

По мнению экспертов, ИТ-директора могут научиться включать психологию в свои программы обеспечения безопасности, чтобы повысить эффективность своей работы. Для начала рекомендуется ИТ-директорам больше общаться с персоналом. Они должны спрашивать сотрудников, где они сталкиваются с проверками безопасности, почему они обходят политики безопасности, почему они перешли по ссылке на фиктивную (или реальную) фишинговую аферу или что побудило бы их больше заботиться о безопасности. Затем они должны заняться остальными человеческими аспектами.

ИТ-директора также должны дать сотрудникам возможность решать свои проблемы и четко объяснить им, как они влияют на безопасность. Этот цикл обратной связи действительно важен. Сотрудники хотят знать, почему они это делают. Что они от этого выиграют? Помогают ли они своей организации? Эффективно ли то, что они делают?»

ИТ-директора могут сотрудничать со своими маркетинговыми отделами, чтобы изучить методы влияния на поведение. И точно так же, как маркетинг персонализирует сообщения, которые он отправляет своей аудитории, отделы SSI могут персонализировать осведомленность и учебный процесс в области безопасности.

Решение проблем, создающих «состояние психологической разминки»

ИТ-директора также могут сотрудничать со своими коллегами из высшего руководства для решения культурных проблем, которые способствуют возникновению состояний психологического возбуждения. Рабочее место, где сотрудники постоянно обеспокоены или необоснованно заняты, дает хакерам еще одно дополнительное преимущество.

Киберпреступники — мастера психологических манипуляций

Исследования подчеркивают важность психологического фактора в успешном проведении компьютерных атак. Человеческий фактор по-прежнему является слабым местом в кибербезопасности. Компании во всех отраслях промышленности, любого размера и региона мира находятся в опасности из-за социального фактора. 92% сотрудников не могут обнаружить наиболее распространенные и часто используемые попытки фишинга (фишинга).

Необходимо анализировать арсенал рычагов влияния, которые в настоящее время используются хакерами в цифровом мире для манипулирования сотрудниками с целью заставить их совершать действия, противоречащие их собственным интересам. Важно понимать, что киберпреступники часто оказываются хорошими психологами и что человеческий фактор часто используется в качестве отправной точки для кибератак. Хакеры, в частности, играют на соблазнении, уважении к авторитету, социальном конформизме и необходимости вернуть услугу. Они также полагаются на лояльность или страх упустить возможность.

В то время как общая стоимость киберпреступности оценивается в 445 миллиардов долларов в год, компаниям рекомендуется обучать своих сотрудников этим рычагам влияния, которые формируют «социальную инженерию» киберпреступников.

В то время как две трети электронных писем, отправляемых по всему миру, представляют собой спам с целью вымогательства информации или денег, к концу 2024 года выявлено более 30 миллионов подозрительных веб-адресов, что является «резким увеличением», что объясняется использованием коротких или фишинговых веб-адресов (URL).Эти URL-адреса часто подделываются, чтобы скрыть истинное место назначения ссылки, и используются в электронных письмах для обмана сотрудников. Эта тенденция вызывает особую тревогу, поскольку 18% пользователей, на которых направлено фишинговое электронное письмо, в конечном итоге становятся его жертвами после перехода по мошеннической ссылке.

Психология киберпреступности и способы вмешательства

Необходимо понять влияние технологических инноваций на появление новых форм преступлений;

Знание основных формы киберпреступности и способы их организации;

— Выявление психологических механизмов, способствующих совершению определенных киберпреступлений и манипулированию жертвами;

— Определение эффективных стратегий предотвращения преступлений, связанных с новыми технологиями, и борьбы с ними, особенно те, которые основаны на осведомленность общественности и поведенческие подходы.

— Технологические инновации и преступность

— Криминогенные свойства интернета

— Присвоение правонарушителями новых технологий

— Типология киберпреступности

— Компьютерное пиратство

— Профиль, мотивы и навыки хакеров

— Социальная организация хакерских сетей :

— разделение труда и доверие

— Тематические исследования

— Мошенничество в интернете и кража личных данных

— Схемы кибермошенничества

— Социальная инженерия и манипулирование жертвами: вызывать ошибки в суждениях

— Порнография и сексуальное насилие онлайн

— Профиль преступников и жертв

— Процессы Приманки и динамика отношений

— Траектории от действия к действию: анализ доминирующих сценариев

— Эффективные стратегии профилактики и реагирования

— Разрабатывать и распространять эффективные информационно-просветительские программы

— Предупреждать без тревоги и оснащать для изменения поведения

— Внедрить игру в программы по борьбе с киберпреступностью

— Использовать методы поведенческой экономики и» подталкивания»

В 2024 году киберпреступники скомпрометировали более 30 миллиардов данных по всему миру. Киберпреступники или хакеры изменили свое поведение. Раньше в основном речь шла о том, чтобы показать, что они способны взломать систему, так что в основном это было связано с эго. Сегодня все намного сложнее, как и намерения, скрывающиеся за их действиями.

Различные типы атак — это массовые атаки и целевые атаки.

Массовые атаки направлены на получение данных как можно большего числа людей. Как правило, киберпреступники используют эту технику для отмывания денег. Это потому, что они получают банковские данные своих жертв. Затем они переводят небольшие суммы, чтобы не вызывать подозрений у своих жертв. Например, фишинг — это наиболее распространенный метод массовой атаки.

Целевые атаки, направленные на определенную структуру и с определенной целью.

Хакеры могут использовать вас или вашу компанию, чтобы рикошетом проникнуть в другую. Вместо того, чтобы пытаться взломать крупную, хорошо защищенную корпорацию в прямом эфире, хакеры могут выбрать взлом одного из своих, возможно, менее защищенных субподрядчиков, поскольку они знают, что эти субподрядчики имеют доступ к крупной корпорации. Программы-вымогатели (блокировка данных с целью получения выкупа) — наиболее частый случай.

Рассмотрим основные мотивы, побуждающие хакеров к действию

1. Деньги

Самая очевидная причина — деньги. Хакеры атакуют компании и требуют выкуп за восстановление их данных. Кроме того, киберпреступники могут заниматься отмыванием денег, получая банковские данные своих жертв.

Хакеры в белых шляпах тоже пользуются этим. Компании платят им за проникновение в их компьютерные системы и устранение уязвимостей.

2. Кража данных

Кража данных в компании позволяет конкурирующей компании иметь компрометирующие данные. Этими данными может быть клиентский портфель, стратегическое направление компании. Это может пойти дальше кражи личных данных, шпионажа.

3. Политика

Хакеры могут атаковать структуру не с целью получения денег, а по личным причинам. Если взять пример взлома Эшли Мэдисон, хакеры располагали информацией о 32 миллионах пользователей; но перед публикацией они оставили сообщение, в котором поделились своим мнением о компании и объяснили, в чем она аморальна.

4. Известность

Хакеры — это своего рода сообщество, в котором известность имеет определенное значение. Хакерские группы увековечивают взломы, чтобы укрепить свою известность. Хакеры-одиночки прибегают к взлому, чтобы заявить о себе (иногда в качестве «вступительного экзамена») и, в частности, чтобы иметь возможность интегрироваться в более известные группы.

Самые разные и разнообразные причины побуждают хакеров к действию. Самое главное — всегда сохранять бдительность. Независимо от причины или мотивации киберпреступника, когда он находится в вашей системе, уже слишком поздно.

Психологическое и финансовое влияние виктимизации на киберпреступность

Жертвами киберпреступности становится все больше и больше людей, но лишь немногие исследования посвящены изучению последствий виктимизации. Несколько исследований, посвященных онлайн-виктимизации, демонстрируют, что последствия могут быть серьезными и аналогичными последствиям в автономном режиме, начиная от финансовых и психологических последствий. Однако эти исследования касаются только определенных преступлений, которые не позволяют получить общее представление о проблеме, и касаются только финансовых последствий, затмевая психологические последствия

Представляют интерес психологические и финансовые последствия виктимизации в связи с пиратством, финансовыми преступлениями и последствиями для личности. При этом исследование позволяет не только понять последствия виктимизации, но также применить теоретическую основу для понимания виктимизации к киберпреступности. Изучается несколько гипотез:

1) психологическое воздействие преступлений на личность было бы более значительным, чем при совершении других преступлений.

2) психологическое воздействие было бы более значительным, если бы преступник был известен жертве

3) психологическое воздействие было бы более значительным, если бы жертва неоднократно общалась с правонарушителем до совершения преступления.

4) психологическое воздействие на жертв, потерявших деньги, меньше, если им выплачивается компенсация.

Эти типы преступлений оказывают различное воздействие на жертв, и необходимо различать влияние на эмоциональное благополучие и влияние на чувство безопасности, связанное с киберпреступностью (убеждения человека в том, что он в безопасности в цифровой среде). Теория нарушенных презумпций подходит для разработки гипотез о последствиях виктимизации.

Психологические последствия различны для всех типов преступлений. Они важнее эмоционального благополучия для преступлений против личности, но менее важны для чувства безопасности. Влияние на эмоциональное благополучие наиболее заметно, когда преступник известен, но интенсивность взаимодействий оказывает незначительное влияние.

Жертвы, получившие компенсацию, сообщали о меньшем психологическом воздействии на благополучие, чем те, кто этого не сделал, потому что первые чувствовали, что их признают жертвами, а не обвиняют в своей виктимизации.

Ожидается, что результаты этого исследования позволят улучшить реагирование и поддержку жертв киберпреступность. Различные последствия в зависимости от преступлений могут позволить определить приоритеты реагирования, оказываемого жертвам.

Заключение

Для предотвращения атак и защиты сотрудников компаниям крайне важно обучать своих сотрудников кибербезопасности в дополнение к мерам, принимаемым на оперативном и техническом уровнях.

ИТ-директорам резонно шире взглянуть на предмет, применяя психологию и поведенческие науки, чтобы влиять не только на отдельных работников, но и на организационное поведение в целом. Речь идет о создании среды, в которой люди проявляют сильное защитное поведение. Чтобы обезопасить организации, мы должны обезопасить людей. А чтобы обезопасить людей, мы должны изменить их поведение. А чтобы изменить их поведение, мы должны как мотивировать их, так и дать им возможность измениться. Именно здесь в игру вступают когнитивные науки.

Целесообразно включать психологию в программу безопасности своей организации. Необходимо стремиться анализировать и прогнозировать взаимодействия, мотивы и уязвимости человека, которые являются важными элементами для защиты от киберугроз и разработки эффективных мер безопасности. Это помогает разрабатывать тренинги, инструктажи, коуч-сессии и мастер-классы по повышению осведомленности, которые быстро находят отклик у людей и помогают им лучше понять, почему они должны участвовать в программе киберзащиты компании.

— GENERATIVE AI

Генеративный ИИ — это специализированное подразделение искусственного интеллекта, которое занимается созданием нового контента или данных на основе заданных входных данных. Он часто использует сложные методы, такие как глубокое обучение и нейронные сети. Обучение этим генеративным моделям позволяет им создавать широкий спектр выходных данных, таких как текст, изображения, музыка и даже видео. Генеративный искусственный интеллект — это революционная технология, у которой есть множество реальных примеров применения. Среди них — автоматическая генерация текстов, изображений и видео. Например, генеративный ИИ можно использовать для создания сообщений в блогах, рекламных роликов или даже виртуальных персонажей в видеоиграх. Эта технология открывает безграничные возможности и открывает новые перспективы во многих областях, таких как маркетинг, художественное творчество и производство контента. Генеративный ИИ используется в различных отраслях для создания оригинального персонализированного контента. В области музыки артисты используют генеративный ИИ для написания новых песен. В рекламной индустрии он используется для создания контента и целевой рекламы. В индустрии видеоигр генеративный ИИ используется для создания неигровых персонажей и реалистичных виртуальных миров. В сфере моды он используется для разработки новых коллекций и прогнозирования тенденций. Благодаря своим творческим способностям генеративный ИИ открывает новые перспективы во многих областях.

Зарождение генеративного ИИ восходит к началу исследований в области искусственного интеллекта в 1950-х и 1960-х годах, что ознаменовало первое исследование использования машин для создания нового контента. Ранние модели генеративного ИИ были в основном связаны с элементарными задачами, такими как выявление закономерностей и принятие решений на основе заранее установленных правил.

В период 1980-х и 1990-х годов произошел сдвиг в сторону более продвинутых исследований в области генеративного ИИ с появлением вероятностных моделей, таких как скрытые марковские модели и байесовские сети. Эти модели наделили системы искусственного интеллекта способностью принимать сложные решения и выдавать более широкий спектр результатов. Однако настоящая революция в области генеративного ИИ произошла с появлением алгоритмов глубокого обучения и нейронных сетей в 2010-х годах. Модели глубокого обучения, а именно генеративные антагонистические сети (GANs) и вариационные автоэнкодеры (VAEs), дали системам искусственного интеллекта возможность создавать очень сложные и реалистичные выходные данные, такие как фотореалистичные изображения и текст на естественном языке.

Задача оценки генеративного ИИ представляет собой постоянную проблему из-за присущей ему сложности объективной количественной оценки качества и оригинальности генерируемых результатов. Несмотря на это, было разработано несколько оценочных показателей и методов, включая оценки человека, количественные показатели, такие как недоумение и начальная оценка, а также показатели восприятия, основанные на пользовательском опыте и предпочтениях.