Γιατί το IAM είναι η νέα περίμετρος!

 

 

Παναγιώτης Καλαντζής
Cyber Security & Data Privacy Expert

 

 

Εισαγωγή

Στις συμβατικές, εντός των εγκαταστάσεών του οργανισμού υποδομές πληροφορικής, οι οργανισμοί είχαν υπό τον έλεγχό τους τις πληροφορίες και τους πληροφοριακούς πόρους εντός των ορίων της καλά καθορισμένης περιμέτρου του εταιρικού τους δικτύου. Σε αυτήν τη μορφή, τα εργαλεία ασφαλείας πληροφοριών, όπως τα εικονικά ιδιωτικά δίκτυα (VPN) ήταν ως επί το πλείστων επαρκή για την ασφάλεια των χρηστών και των συσκευών εντός της περιμέτρου. Ωστόσο, με την αύξηση της απομακρυσμένης εργασίας και του cloud computing, οι οργανισμοί αξιοποιούν διάφορες εφαρμογές και υπηρεσίες σε πολλές συσκευές και συνδέονται με εσωτερικούς και εξωτερικούς χρήστες από οπουδήποτε στον κόσμο. Καθώς οι οργανισμοί κατανέμονται όλο και περισσότερο, απομακρύνονται περισσότερο από την παραδοσιακή περίμετρο της επιχείρησης.

Σε αυτό το περιβάλλον, η Διαχείριση Ταυτότητας και Πρόσβασης (Identity and Access Management – IAM) είναι στρατηγικός στόχος για την πλειοψηφία των υπεύθυνων ασφάλειας πληροφοριών των οργανισμών, και η ανάγκη για ισχυρά σχετικά προγράμματα και πλαίσια, είναι πιο σημαντική από ποτέ. Η Διαχείριση Ταυτότητας και Πρόσβασης είναι ο ακρογωνιαίος λίθος στην προσπάθεια να γίνουν οι οργανισμοί ισχυροί, ευέλικτοι και ασφαλείς. Ωστόσο, παρατηρείται μια σύγχυση στην αγορά κατά την εφαρμογή προγραμμάτων Διαχείρισης Ταυτότητας και Πρόσβασης, από τις διαδικασίες μέχρι την απόφαση επένδυσης στην τεχνολογία.

Ταυτόχρονα, τα αποτελέσματα πρόσφατης έρευνας δείχνουν ότι το 70% των υπαλλήλων γραφείου παραδέχτηκε ότι χρησιμοποιούσε τις συσκευές εργασίας του για προσωπικές εργασίες, ενώ το 69% χρησιμοποιούσε προσωπικούς φορητούς υπολογιστές ή εκτυπωτές για εργασία. Επίσης, το 30% των απομακρυσμένων εργαζομένων αφήνουν κάποιον άλλο να χρησιμοποιήσει τη συσκευή εργασίας του. Επιπλέον, τα ποσοστά επιθέσεων στον κυβερνοχώρο έχουν αυξηθεί εκθετικά. Ο μέσος άνθρωπος μπορεί να μην σκέφτεται πολύ την ασφάλεια, αλλά θεωρεί δεδομένη την ύπαρξή της σε κάθε καθημερινή κυβερνοδραστηριότητα. Όλα ακούγονται σαν τον εφιάλτη ενός πολυάσχολου υπεύθυνου ασφάλειας πληροφοριών.

Ορισμός

Πριν αναλύσουμε στο πώς εξελίσσεται η  Διαχείριση Ταυτότητας και Πρόσβασης το 2023, ας ορίσουμε τι είναι ένα πλαίσιο Διαχείρισης Ταυτότητας και Πρόσβασης: με απλά λόγια, ένα πλαίσιο Διαχείρισης Ταυτότητας και Πρόσβασης είναι μια δομή επιχειρηματικών διαδικασιών, πολιτικών και τεχνολογιών που «διευκολύνει τη διαχείριση ηλεκτρονικών ή ψηφιακών ταυτοτήτων». Με ένα πλαίσιο Διαχείρισης Ταυτότητας και Πρόσβασης σε ισχύ, οι επαγγελματίες ασφαλείας μπορούν να ελέγχουν την πρόσβαση των χρηστών σε ευαίσθητες και σημαντικές πληροφορίες εντός των οργανισμών τους.

Οι λύσεις Διαχείρισης Ταυτότητας και Πρόσβασης μπορούν να αναπτυχθούν τόσο εσωτερικά στις εγκαταστάσεις του οργανισμού, όσο και να παρέχονται από τρίτο προμηθευτή μέσω ενός μοντέλου που βασίζεται σε cloud ή να αναπτυχθούν μέσω ενός υβριδικού μοντέλου.

Αρχιτεκτονική λύσεων Διαχείρισης Ταυτότητας και Πρόσβασης

Σε ένα θεμελιώδες επίπεδο οι λύσεις Διαχείρισης Ταυτότητας και Πρόσβασης αποτελούνται από τα ακόλουθα στοιχεία:

  • Διαχείριση κύκλου ζωής – η συλλογή τεχνολογιών και διαδικασιών που διέπουν τη δημιουργία, τη διαχείριση και την αφαίρεση ταυτοτήτων στα συστήματα και τις εφαρμογές της επιχείρησής σας.
  • Έλεγχος ταυτότητας – η τεχνολογία που επικυρώνει έναν χρήστη είναι αυτός που ισχυρίζεται ότι είναι.
  • Διαχείριση πρόσβασης – μια συλλογή τεχνικών τεχνολογίας που ελέγχουν σε τι έχει πρόσβαση ο χρήστης και σε τι μπορεί να έχει πρόσβαση στους πόρους ενός οργανισμού.
  • Διακυβέρνηση – αναφέρεται στην τεχνολογία και τις διαδικασίες που επιτρέπουν σε έναν οργανισμό να ορίζει, να επανεξετάζει, να επιβάλλει και να ελέγχει πολιτικές διαχείρισης πρόσβασης, ενώ παράλληλα αντιστοιχίζει τις λειτουργίες του IAM στις απαιτήσεις συμμόρφωσης και με τη σειρά του, ελέγχει την πρόσβαση των χρηστών για υποστήριξη πρωτοβουλιών συμμόρφωσης, και
  • Προστασία των ευαίσθητων δεδομένων μέσα στο σύστημα και ασφάλεια του ίδιου του συστήματος.

Σε ότι αφορά  τα στοιχεία ενός πλαισίου Διαχείρισης Ταυτότητας και Πρόσβασης, στα οποία καλείται να επενδύσει ο μέσος οργανισμός σήμερα, μπορούμε να τα ομαδοποιήσουμε σε τρεις κατηγορίες:

  • Ταυτότητα ως Υπηρεσία (Identity as a Service – IDaaS): Τα προϊόντα IDaaS συγχρονίζουν ταυτότητες μέσα σε έναν οργανισμό και στις σχέσεις αυτού του οργανισμού, προσφέροντας μια ενιαία «πηγή αλήθειας» για τη διαχείριση ταυτότητας. Αυτές οι πλατφόρμες διαχειρίζονται επίσης το εύρος της πρόσβασης, ρυθμίζοντας όχι μόνο ποιος αποκτά πρόσβαση, αλλά τι και πώς γίνεται πρόσβαση.
  • Διακυβέρνηση και Διαχείριση Ταυτότητας (Identity Governance and Administration – IGA): Οι λύσεις Διακυβέρνησης και Διαχείρισης Ταυτότητας είναι «εργαλεία σχεδιασμένα για τη διαχείριση της ψηφιακής ταυτότητας και των δικαιωμάτων (δικαιώματα πρόσβασης) σε πολλαπλά συστήματα και εφαρμογές.» Καθώς ενοποιούν τους επιχειρηματικούς στόχους του οργανισμού και των στόχων ασφάλειας πληροφοριών, οι λύσεις Διακυβέρνησης και Διαχείρισης Ταυτότητας προσαρμόζουν και στη συνέχεια χαρτογραφούν τη σχέση μεταξύ ταυτότητες, χρήστες, πρόσβαση και δεδομένα.
  • Διαχείριση Προνομιακών Προσβάσεων (Privilege Access Management – PAM): Οι λύσεις Διαχείρισης Προνομιακών Προσβάσεων ανακαλύπτουν, παρακολουθούν και ρυθμίζουν τη δημιουργία, αφαίρεση, αποθήκευση και χρήση προνομιακών διαπιστευτηρίων, διευκολύνοντας την ορατότητα και τον έλεγχο των προνομιακών χρηστών, λογαριασμών, εφαρμογών και συστημάτων. Συγκεντρώνοντας προνομιακά περιβάλλοντα, οι λύσεις Διαχείριση Προνομιακών Προσβάσεων ελαχιστοποιούν τον κίνδυνο κλοπής διαπιστευτηρίων και κατάχρησης προνομίων.

Πλεονεκτήματα Λύσεων Διαχείρισης Ταυτότητας και Πρόσβασης

Τα κύρια κίνητρα υλοποίησης ενός πλαισίου  Διαχείρισης Ταυτότητας και Πρόσβασης είναι τρία: η ενίσχυση της ασφαλείας του οργανισμού, η αύξηση της λειτουργικής αποτελεσματικότητας και η βελτίωση της εμπειρίας του χρήστη. Ταυτόχρονα, μια υλοποίηση ενός τέτοιου πλαισίου, μπορεί να προσφέρει στον οργανισμό τα παρακάτω πλεονεκτήματα.

Μια λύση Διαχείρισης Ταυτότητας και Πρόσβασης προσφέρει στον οργανισμό τον βαθμό εξασφάλισης και εμπιστοσύνης για την απρόσκοπτη λειτουργία του και προστασία των πληροφοριών και πληροφοριακών πόρων στο σημερινό περιβάλλον της αρχιτεκτονικής χωρίς περίμετρο. Η προστασία των εφαρμογών και ψηφιακών στοιχείων σε τέτοιες αρχιτεκτονικές απαιτεί αυστηρή διαχείριση της πρόσβασης σε δεδομένα, εφαρμογές και πληροφοριακούς πόρους. Καθώς οι τύποι των χρησιμοποιούμενων συσκευών και δυνητικών συνδέσεων των χρηστών αυξάνονται σε αριθμό, η ασφάλεια γίνεται πιο περίπλοκη και δυσκίνητη. Ωστόσο, οι υπεύθυνοι ασφάλειας των οργανισμών εξακολουθούν να μπορούν να επιβάλλουν κανόνες ανάλογα με το ποιος, τι, πού και πότε περιβάλλει την πρόσβαση σε ευαίσθητα δεδομένα.

Οι λύσεις Διαχείρισης Ταυτότητας και Πρόσβασης είναι η προαπαιτούμενη συνθήκη για την εύρυθμη λειτουργία λύσεων και αρχιτεκτονικών Μηδενικής Εμπιστοσύνης (Zero Trust), τα οποία απαιτούν την χορήγηση ελάχιστων  προνομίων πρόσβασης, ενώ επαληθεύουν διαρκώς κάθε σύνδεση και τελικό σημείο. Οι λύσεις Διαχείρισης Ταυτότητας και Πρόσβασης αποτελούν ακρογωνιαίο λίθο του νέου αυτού παραδείγματος (paradigm). Για να αντιμετωπίσουν τις τρέχουσες απειλές, οι υπεύθυνοι ασφαλείας πρέπει να ορίσουν μια περίμετρο για κάθε αίτημα πρόσβασης, ανεξάρτητα από το πού προέρχονται. Αυτό είναι το κυρίαρχο στοιχείο για κατανεμημένες ομάδες των οργανισμών που εργάζονται σε όλο τον κόσμο με υπαλλήλους, συνεργάτες και ελεύθερους επαγγελματίες. Και καθώς τα μέλη της ομάδας αλλάζουν ρόλους, τα δικαιώματα πρόσβασης πρέπει να παραχωρούνται ή να αφαιρούνται.

Οι σύγχρονες λύσεις Διαχείρισης Ταυτότητας και Πρόσβασης βασίζονται στη μηχανική μάθηση και την τεχνητή νοημοσύνη για την ανάλυση βασικών παραμέτρων, όπως ο χρήστης, η συσκευή, ο τύπος του προγράμματος περιήγησης και η συμπεριφορά. Αυτό δίνει τη δυνατότητα να εντοπίζονται τάχιστα οι μη κανονικές συμπεριφορές. Το αποτέλεσμα είναι μια διαδικασία ελέγχου ταυτότητας σε πραγματικό χρόνο, με ακρίβεια και με βάση τα συμφραζόμενα σε ολόκληρο το οικοσύστημα του οργανισμού.

Επιπρόσθετα, οι υπεύθυνοι πληροφορικής και ασφάλειας πληροφοριών βλέπουν γρήγορα και πρόσθετα οφέλη που προσφέρουν οι λύσεις Διαχείρισης Ταυτότητας και Πρόσβασης στην απόδοση ενός οργανισμού. Για αρχή, αντί να σπαταλούν πόρους και χρόνο σχετικά με τη μη εξουσιοδοτημένη χρήση συσκευών, οι χρήστες μπορούν να έχουν πρόσβαση σε δίκτυα ανεξάρτητα από την τοποθεσία, την ώρα ή τη συσκευή. Σε πιο σύνθετα περιβάλλοντα, με πολλαπλές εφαρμογές, η εκχώρηση πρόσβασης μέσω της δυνατότητας συνδέσεων Single Sign On (SSO) και ελέγχου ταυτότητας πολλαπλών παραγόντων (Multi Factor Authentication – MFA) προσφέρει αυξημένα επίπεδα ασφάλειας, και βέλτιστες εμπειρίες χρήσης, αυξάνει την παραγωγικότητα και μειώνει την κατανάλωση πόρων πληροφορικής. Συμπληρωματικά, η αυτοματοποιημένη διαχείριση πρόσβασης που προσφέρουν οι λύσεις Διαχείρισης Ταυτότητας και Πρόσβασης μπορεί να απλοποιήσει τις διαδικασίες απόδοσης και ανάκλησης πρόσβασης κατά την πρόσληψη, αποχώρηση ή αλλαγή ρόλου ενός υπάλληλου του οργανισμού, που είναι κρίσιμες ειδικά όταν μιλάμε για απομακρυσμένες ομάδες.

Τέλος, αλλά όχι λιγότερα σημαντικό, οι λύσεις Διαχείρισης Ταυτότητας και Πρόσβασης μπορούν επίσης να βοηθήσουν τους οργανισμούς να απλοποιήσουν και να επιτύχουν την συμμόρφωσή τους με πλήθος κανονιστικά και άλλα πλαίσια.

Μόνο το 2022, γίναμε μάρτυρες της ψήφισης πάνω από 280 νομοσχέδιων ή ψηφισμάτων που αφορούν την ασφάλεια στον κυβερνοχώρο και την προστασία της ιδιωτικότητας. Ακόμα και ο γνωστός σε όλους μας Γενικός Κανονισμός Προστασίας Δεδομένων (General Data Protection Regulation – GDPR) της ευρωπαϊκής ένωσης επιβάλει την Ιδιωτικότητα βάση Σχεδιασμού (Privacy by Design), πρωτεύοντα ρόλο στο οποίο μπορεί να παίξει ένα πλαίσιο Διαχείρισης Ταυτότητας και Πρόσβασης, προσφέροντας την δυνατότητα ενσωμάτωσης ισχυρής ταυτότητας και ασφάλειας πρόσβασης.

Είναι επίσης, σημαντικό να σκεφτόμαστε, ότι πρόσβαση στα δεδομένα και τους πληροφοριακούς πόρους ενός οργανισμού δεν απαιτείται μόνο από τους υπάλληλους. Ο ψηφιακός χώρος έχει αυξηθεί δραματικά  με τον αριθμό των εφαρμογών, των API και των συσκευών Διαδικτύου των Πραγμάτων (Internet of Things – IoT) που έχουν πρόσβαση στο δίκτυο του οργανισμού. Οι λύσεις Διαχείρισης Ταυτότητας και Πρόσβασης έχουν την δυνατότητα να διαχειριστούν αυτές τις συνδέσεις ανάλογα με τις αποκλειστικές πολιτικές πρόσβασης και πρωτοκόλλων του οργανισμού. Μια ιδανική λύση Διαχείρισης Ταυτότητας και Πρόσβασης απευθύνεται σε όλους τους πελάτες, τους συνεργάτες, τους υπαλλήλους και τους υπεργολάβους. Ανταποκρίνεται επίσης στα συνεχώς αυξανόμενα αιτήματα των συστημικών συνδέσεων, όντας όχι απλώς μια άμυνα, αλλά ένας καλύτερος τρόπος διαχείρισης του χώρου εργασίας.

Σκεφτείτε το ταξίδι του πελάτη. Από τον πελάτη έως τον υποψήφιο πελάτη, κάθε αλληλεπίδραση πρέπει να καλλιεργείται για να λαμβάνει υπόψη τις προτιμήσεις των χρηστών και το απόρρητο, παρέχοντας παράλληλα μια εξαιρετική εμπειρία. Εδώ, τα εργαλεία IAM μπορούν να λειτουργούν με διπλή βάρδια για να παρέχουν έλεγχο ταυτότητας πρόσβασης και να συγκεντρώνουν προφίλ χρηστών που βελτιώνουν την ασφάλεια και την εμπειρία χρήστη.

Είτε πρόκειται για υπάλληλο, συνεργάτη ή πελάτη, κάθε άτομο έχει μια ταυτότητα ανεξάρτητα από τη συσκευή ή την πλατφόρμα. Αυτό μπορεί να περιλαμβάνει πρόσβαση από εφαρμογές, μέσα κοινωνικής δικτύωσης, ιστότοπους και οποιοδήποτε άλλο τελικό σημείο. Αυτό όχι μόνο δημιουργεί μια πιο ολιστική εμπειρία χρήστη, αλλά μπορεί επίσης να βοηθήσει στην αποτροπή επιθέσεων τύπου κοινωνικής μηχανικής.

Να είστε χωρίς περίμετρο, να είστε ασφαλείς.

Αν και μπορεί να είναι δελεαστικό να επαναλάβουμε τις άκαμπτες, σύνθετες διαδικασίες ελέγχου ταυτότητας, αυτή η προσέγγιση κάνει περισσότερο κακό παρά καλό μακροπρόθεσμα. Θα μπορούσε κανείς να υποστηρίξει ότι μια στατική λύση εξοικονομεί χρήματα, αλλά το κάνει πραγματικά; Δεν μπορεί να αντιμετωπίσει τις μυριάδες επιθέσεις που συνεχίζουν να εμφανίζονται. Εάν λάβετε υπόψη τα πλεονεκτήματα της επιχείρησης και της συμμόρφωσης, μια λύση που δεν είναι IAM μπορεί να σας αποκλείσει από άλλους τρόπους βελτίωσης των αποτελεσμάτων.

Επίλογος

Υπήρξε μια εποχή που το σύνολο των δεδομένων των οργανισμών βρισκόταν αποκλειστικά εντός των εγκαταστάσεών του και ο έλεγχος των προσβάσεων σε αυτά, όπως και άλλες παράμετροι τις ασφάλειάς τους ήταν απόλυτα και εύκολα ελεγχόμενος. Ακόμη και ένας υπάλληλος που έπρεπε να εργαστεί εξ αποστάσεως θα χρησιμοποιούσε μια λύση απομακρυσμένης πρόσβασης στο φυσικό δίκτυο της εταιρείας. Αυτό ήταν ένα περιβάλλον με πολύ λιγότερες προκλήσεις για την Διαχείριση Ταυτότητας και Πρόσβασης. Όλοι όσοι ήταν σε θέση να έχουν πρόσβαση στα δεδομένα μιας εταιρείας είχαν φυσική παρουσία, οπότε όσο η φυσική ασφάλεια του κτιρίου ήταν ισχυρή, η ασφάλεια στον κυβερνοχώρο θα ήταν επίσης ισχυρή.

Οι σημερινές ψηφιακές επιχειρήσεις δεν λειτουργούν πλέον εντός των ορίων μιας παραδοσιακής περιμέτρου δικτύου και υπάρχει επίσης ένας πολλαπλασιασμός νέων απειλών στον κυβερνοχώρο για προστασία. Οι καιροί έχουν αλλάξει και τώρα η περίμετρος των οργανισμών είναι ρευστή όσον αφορά την ασφάλεια στον κυβερνοχώρο. Οι επιθέσεις μπορούν να προέρχονται σχεδόν από οπουδήποτε, και ένα τείχος προστασίας εσωτερικής εγκατάστασης είναι σπάνια αρκετό για να εξασφαλίσει τις πληροφορίες και τους πληροφοριακούς πόρους του οργανισμού.

Οι οργανισμοί δεν μπορούν να υπερασπιστούν τις απομακρυσμένες λειτουργίες τους, διατηρώντας παράλληλα την επιχειρηματική τους συνέχεια με απαρχαιωμένες προσεγγίσεις και λύσεις ασφάλειας. Η αναγκαιότητα μπορεί να είναι η μητέρα της εφευρετικότητας και επίσης οδηγεί στην αλλαγή. Για να παραμείνουν ανταγωνιστικές το 2023, οι εταιρείες πρέπει να μεταμορφωθούν γρήγορα. Σήμερα, πολλοί από εμάς εργαζόμαστε από το σπίτι. Τα μοντέλα απομακρυσμένης και υβριδικής εργασίας έχουν γίνει το νέο φυσιολογικό, με σημαντική επίπτωση στην Ασφάλεια Πληροφοριών.

Οι σημερινές απαιτήσεις ασφάλειας απαιτούν εξελιγμένες λύσεις  Διαχείρισης Ταυτότητας και Πρόσβασης για τη σωστή διαχείριση και ασφάλεια όλων των ταυτοτήτων και την προστασία των ευαίσθητων πόρων του του οργανισμού, οπουδήποτε αυτοί βρίσκονται.