Идентификация и обеспечение права собственности на активы может быть непростой задачей. Помимо многофакторной аутентификации, условный и привилегированный доступ могут помочь организациям укрепить свою защиту. Однако внедрение технологий искусственного интеллекта часто добавляет кошмарную сложность.
«Использование технологий ИИ стало огромной проблемой для организаций, поскольку управление политиками, управление соответствием требованиям и безопасность затрагивают каждое приложение и каждую систему», — говорит Нареш Персод, руководитель отдела цифровой идентификации и ИИ-стратегий в кибербезопасности Deloitte.
Промышленные и финансовые клиенты Deloitte экономят время с помощью продукта консалтинговой компании в области идентификации
Недавно Deloitte работала с крупным промышленным клиентом, выявив, что в существующей системе владельцы учетных записей иногда были неопределены. При обнаружении события на конечной точке было трудно отследить, кто владеет целевой учетной записью и существует ли она под несколькими именами.
«С помощью систем управления идентификацией мы можем связать имя пользователя этой учетной записи и в то же время определить, была ли учетная запись сохранена в системе управления привилегированным доступом», — объясняет Персод.
Система также определяет любые другие учетные записи, связанные с пользователем, чтобы их также можно было проверить на наличие признаков вторжения. Персод называет это «радиусом поражения».
«Если я скомпрометирую привилегированную учетную запись, я могу использовать ее для сброса пароля других учетных записей», — говорит он. «Немедленное определение радиуса поражения, принятие соответствующего решения и включение этой информации в оповещение — это дает аналитику в центре безопасности гораздо лучшую телеметрию, чем у него была раньше».
Система помогла соединить части головоломки, которые в противном случае пришлось бы собирать вручную. Аналитику безопасности, который выявил проблему, пришлось бы связаться с администратором системы идентификации — неэффективный процесс даже при самой отлаженной работе. Определение точек контакта и автоматизация процесса связи привели к гораздо более эффективному реагированию.
Время часто тратится на попытки сопоставить данные, связанные с инцидентом, с фреймворком MITRE ATT&CK, например. Отраслевой анализ предполагает, что это может занять до 30 минут. «С помощью ИИ аналитик может значительно сократить это время на 70–80%», — говорит Персод.
Персод утверждает, что решение Deloitte позволило упростить документацию. Оно создало панель мониторинга, которая идентифицировала связанные учетные записи, не прошедшие проверку, и позволила более тщательно проверять привилегированные учетные записи. Непроверенные учетные записи могли быть быстро проверены, а любые уязвимости в привилегированных учетных записях могли быть выявлены и устранены. Это обеспечило более высокий уровень точности в методах обеспечения безопасности, которые клиент использует сейчас, по сравнению с прошлым.
Deloitte также работала с клиентом из сферы финансовых услуг, у которого была аналогичная проблема с видимостью.
«Многим организациям сложно получить полную картину своих активов и того, какие средства контроля применяются к этим активам», — говорит Персод. Он объясняет, что решение Deloitte в области идентификации помогло клиенту связать пользователей с используемыми ими активами. По мере обнаружения этих активов они смогли более точно настроить меры безопасности, применяемые к каждому из них.
«Если система будет обрабатывать финансовые данные и другую конфиденциальную информацию, нам необходимо внедрить правильные средства контроля на стороне идентификации», — говорит он. «Нам удалось объединить эти два аспекта, сопоставив обнаружение активов с обнаружением идентификации и согласовав это с элементами управления из системы управления ИТ-активами».
В результате пользователи смогли быстрее интегрировать приложения.
Как apexanalytix использует Microsoft Azure для управления безопасностью идентификации
«Защита идентификации — один из критически важных элементов для любой организации в плане защиты цифровых активов», — говорит Вишал Гровер, ИТ-директор поставщика платформы управления цепочками поставок apexanalytix. «Но важно поддерживать баланс между ограничениями и бизнес-требованиями».
Apexanalytics использует продукты Microsoft, такие как Defender, более десяти лет. «Изначально мы в основном использовали его для антивирусной защиты. Затем появилась расширенная защита от угроз. Затем защита идентификации. Мы продолжали добавлять больше средств контроля и проверок для укрепления общей безопасности», — рассказывает он.
Компания была особенно обеспокоена возросшим риском для идентификации по мере расширения своего международного присутствия — в частности, открытия офисов в Гонконге в 2016 году и Саудовской Аравии в 2024 году. Поскольку офисы взаимодействуют, а сотрудники путешествуют в другие места, крайне важно, чтобы любой доступ к ее системам был проверен на законность.
Их команда безопасности развернула Azure Active Directory (AAD) для проверки географических границ — мест, из которых сотрудники могут разумно ожидать доступа к своим системам. Например, если сотрудник, базирующийся в США, который редко путешествует, пытается войти в систему из удаленного места, где он, скорее всего, не находится, немедленно срабатывает красный флажок. Если физическое присутствие пользователя в этом месте не может быть подтверждено, его учетные данные, вероятно, были скомпрометированы.
«С точки зрения пользователя, в любое время, когда кто-то путешествует за пределы своего основного местоположения, ему необходимо связаться с ИТ-отделом и службой безопасности, чтобы указать свое конкретное местоположение», — отмечает Гровер. Внедрение этих политик требует разумных корректировок в поведении пользователей и политике компании. Но награда существенна.
«Если посмотреть с точки зрения более широкого управления рисками, это стало основой нашей модели безопасности», — говорит он. Возможность просто отслеживать местоположение сотрудников и соответствующим образом оценивать риски является значительным достижением в мониторинге рисков для компании, расширяющей свое международное присутствие. Компания ищет случаи «невозможных путешествий», например, если сотрудник вошел в систему в одном месте, а затем в другом удаленном месте, куда он не мог добраться в указанный период, срабатывает оповещение.
Аналитики безопасности также используют программное обеспечение для сканирования рискованных входов в систему. Если пользователь входит с IP-адреса, внесенного в черный список, срабатывает оповещение.
Они все больше полагаются на политики условного доступа, основанные на мониторинге поведения пользователей. Если пользователь обычно проводит определенное среднее время в определенных приложениях, а затем радикально меняет свое поведение, эта активность помечается и расследуется.
Компания продолжает оценивать свои политики не реже одного раза в квартал, чтобы убедиться, что они соответствуют ее развивающимся бизнес-стратегиям. Гровер уверен, что возможности Azure соответствуют поставленной задаче, но остается бдительным к новым потенциальным уязвимостям, которые потребуют решения.
Автор –
