Предприятия по-прежнему не справляются с управлением идентификацией и доступом (IAM) [в контексте безопасности].

Несмотря на все предупреждения и постоянные сообщения о разрушительных кибератаках, корпоративные пользователи по-прежнему идут на уступки в вопросах управления идентификацией и доступом (IAM).

Почти две трети (63%) руководителей по кибербезопасности признают, что их сотрудники продолжают обходить меры контроля безопасности ради ускорения работы, согласно новому исследованию компании CyberArk. Кроме того, предприятиям сложно выработать политики доступа для новых ИИ-агентов и других агентных инструментов.

Это, по всей видимости, убедительно свидетельствует о том, что контроль над идентификацией и привилегиями является центральным элементом операционных рисков.

«Данные указывают на культурную закономерность, при которой немедленный выигрыш в производительности часто перевешивает долгосрочную позицию безопасности», — заявил Чарльз Чу, генеральный менеджер по ИТ-решениям и решениям для разработчиков в CyberArk. «Очевидно, что безопасность по-прежнему воспринимается как нечто, замедляющее работу людей».

Управление привилегированным доступом неадекватно

CyberArk опросила 500 руководителей, вовлеченных в управление привилегированным доступом (PAM) на должностях, связанных с идентификацией и инфраструктурой, включая DevOps-инженеров, менеджеров по безопасности, архитекторов облачной безопасности, менеджеров баз данных, инженеров по надежности сайтов и программному обеспечению, а также специалистов ИТ-поддержки.

Они сообщают, что в их организациях:

• Только 1% полностью внедрили современную модель привилегированного доступа «точно в срок» (JIT);
• 91% утверждают, что по меньшей мере половина их привилегированного доступа является постоянно активной (стандартная привилегия), предоставляя неограниченный, постоянный доступ к конфиденциальным системам;
• 45% применяют одинаковые меры контроля привилегированного доступа к человеческим и ИИ-идентификаторам;
• 33% не имеют четких политик доступа для ИИ.

Исследование также выявило растущую проблему «теневых привилегий» — неуправляемых, ненужных и неизвестных руководителям по кибербезопасности учетных записей и секретов. CyberArk обнаружила, что 54% организаций выявляют такие типы учетных записей и секретов еженедельно.

Это говорит о том, что владение доступом является «размытым», отметил Чу. «Если никто не чувствует ответственности за постоянную «подрезку» и управление привилегированным доступом, он накапливается естественным образом. В дополнение к этому тот факт, что большинство организаций (88%) управляют несколькими инструментами идентификации, что «создает путаницу в отношении того, кто обладает полномочиями и какая система является источником истины».

Самое рискованное поведение людей

CyberArk выявила несколько наиболее рискованных видов человеческого поведения в управлении доступом, в том числе:

• Копирование учетных данных в личные менеджеры паролей, чат-приложения или электронную почту, потому что «официальный» процесс медленнее.
• Запуск облачных ресурсов или тестовых сред с привилегированным доступом в обход централизованного контроля.
• Использование общих учетных записей администратора или повторное использование схожих паролей/токенов в разных системах и средах.
• Сохранение постоянно активного доступа «на всякий случай», даже если эти повышенные привилегии требуются лишь время от времени.

«Сотрудники обходят меры контроля по вполне человеческим причинам», — признал Чу. «Они находятся под давлением, чтобы действовать быстро, а требуемые от них инструменты безопасности часто неудобны и противоречат тому, как они на самом деле выполняют свою работу».

Это приводит к созданию специальных локальных администраторов и долгосрочных ролей IAM и ключей API, «к которым никто не возвращается».

ИИ лишь усугубляет проблемы. Пользователи вставляют ключи, журналы или конфигурационные файлы в ИИ-инструменты, непреднамеренно раскрывая секреты, отметил Чу. ИИ также может развертывать приложения и изменять системы быстрее, чем существующие средства контроля успевают за этим, поэтому инженеры склонны обходить эти средства. Кроме того, системы и агенты ИИ все чаще действуют от имени пользователей способами, которые еще не полностью видны командам безопасности. Это делает рискованные кратчайшие пути еще более сложными для обнаружения.

«Чистый эффект заключается в том, что разрыв между тем, что гласит политика, и тем, что на самом деле происходит в продакшене, увеличивается», — сказал Чу.

Присвойте ИИ-агентам уникальные идентификаторы

Суть в следующем: ИИ-агенты работают совсем не так, как пользователи-люди. Помимо скорости, они работают непрерывно и затрагивают множество систем и наборов данных в рамках одного рабочего процесса. Они представляют собой уникальный риск, поскольку могут очень быстро выполнять большое количество привилегированных действий.

Учитывая это, командам безопасности следует относиться к ИИ-агентам как к отдельным идентификаторам с собственными средствами контроля доступа, посоветовал Чу. Каждому отдельному агенту должны быть присвоены выделенный идентификатор и учетные данные с жестко ограниченными разрешениями для конкретных систем и наборов данных. Краткосрочные токены должны заменять долгосрочные ключи, а повышенные права должны предоставляться только по мере необходимости и для конкретных задач. Кроме того, все действия, выполняемые ИИ-агентами, должны регистрироваться и быть атрибутируемыми.

Как и в случае с людьми, сокращение постоянного доступа, лучшая видимость и строгий контроль должны «применяться явно и последовательно» к ИИ, отметил Чу.

JIT сложно внедрить

JIT — это метод, который предоставляет определенные разрешения только при необходимости, для конкретной цели и на ограниченный период времени. Когда пользователи или системы запрашивают доступ, они получают набор привилегий с «ограниченным временем действия и областью применения», что позволяет им выполнять требуемую задачу, а затем автоматически «возвращаться к более низкому базовому уровню», — объяснил Чу.

«Каждый шаг регистрируется, чтобы организации могли видеть, кто или что имеет мощный доступ и почему», — сказал он.

Однако JIT по-прежнему трудно реализовать на практике, отметил Чу, что приводит к сильной зависимости от постоянных привилегий, даже несмотря на то, что предприятия полностью осознают, насколько рискованна эта практика.

Виной тому ряд факторов, сказал он: ИТ-команды могут не решаться вносить изменения в устаревшие системы из-за опасений сбоев, а сложные ИТ-среды, включающие локальную инфраструктуру, несколько облаков и SaaS-приложения, могут усложнить внедрение. Некоторые команды также опасаются, что JIT может замедлить реагирование на инциденты или другие рутинные процедуры.

В дополнение к этим проблемам, существующие инструменты кибербезопасности не были разработаны для высокосложных корпоративных сред, сказал Чу. «Эта комбинация указывает на фрагментацию: инструментария много, но не хватает унифицированной видимости и контроля».

Как предприятия могут защитить себя

Сегодняшним предприятиям необходима безопасность, построенная на основе централизованной идентификации, принципа наименьших привилегий и автоматизации, подчеркнул Чу. Это означает надежный единый вход (SSO) с многофакторной аутентификацией (MFA) и контекстными политиками; современное управление секретами для паролей, ключей и токенов как для людей, так и для машин; возможности привилегированного доступа, которые могут выдавать краткосрочный доступ по требованию с полным логированием; и аналитику, которая объединяет активность учетных записей пользователей, служебных учетных записей и ИИ-агентов.

С культурной точки зрения, организациям следует установить более четкое владение управлением идентификацией и привилегиями, общие цели и сообщения сверху вниз о практиках кибербезопасности, сказал он.

Кроме того, что критически важно, организации должны внедрять инструменты, которые легко интегрируются в существующие процессы и рабочие процессы, тем самым уменьшая трение и сокращая обходные пути пользователей. «Ключ к эффективному внедрению — сделать безопасность максимально незаметной для пользователя в процессе его повседневной работы», — утверждал Чу.

Эта статья первоначально была опубликована на Computerworld.