Nowy perymetr to tożsamość
O specyficznym sposobie zabezpieczenia środowisk hybrydowych, bezpieczeństwie w różnych modelach chmury oraz nowej strategii cyberbezpieczeństwa rozmawiamy z Michałem Ciemięga, Regional Sales Mangerem w CyberArk.
Migracja do chmury, wszystkich jej modeli – od IaaS po SaaS – tworzy nowe wyzwania w zakresie bezpieczeństwa. Co to oznacza dla CSO?
Michał Ciemięga [MC]: Przede wszystkim konieczność przyjęcia nowej strategii bezpieczeństwa. Środowiska hybrydowego, w szczególności takiego, które obejmuje aplikacje klasy SaaS, nie można po prostu otoczyć zaporą ogniową. Chmura powoduje, że dane zostają wyprowadzone poza bezpieczny obszar otoczony ‘murem ochronnym’ – nie tylko do naszego środowiska w chmurze, ale w wielu przypadkach do środowiska zarządzanego przez inną firmę. Zresztą nie tylko migracja danych spowodowała rozszczelnienie perymetru. W dużej mierze dołożyła się pandemia, która spowodowała wyjście użytkowników poza chronione środowisko firmowe. Znaczna część pracowników łączy się dzisiaj z aplikacjami i korzysta z firmowych zasobów spoza wewnętrznej infrastruktury i ten model pracy już znami zostanie. Samo grodzenie się już więc nie wystarczy.
Na czym polega ta nowa strategia?
MC: Naszym zdaniem fundamentem nowej strategii bezpieczeństwa musi być ochrona tożsamości. Dzisiaj większość poważnych ataków bazuje właśnie na wykradzionej tożsamości. Bardzo często jeden zestaw – login i hasło – pasuje do wielu aplikacji i systemów z których korzysta użytkownik. Co istotne, problem nie dotyczy wyłącznie tych uprzywilejowanych, ale wszystkich użytkowników. Sama ochrona tożsamości uprzywilejowanej miała sens kilka lat temu, ale dzisiaj granice pomiędzy użytkownikami się rozmyły i trzeba zabezpieczyć wszystkich. Jeśli przestępca wykradnie dowolną tożsamość, to będzie miał dostęp do środowiska, w którym będzie szukał tego, co go interesuje i posuwał się krok po kroku do swojego celu. Dlatego trzeba przyjąć, że nowym perymetrem w środowiskach hybrydowych czy multi-cloud jest tożsamość.
Jak zatem należy dzisiaj chronić tożsamość?
MC: Na początek musimy wiedzieć czy użytkownik, który korzysta z danych czy aplikacji to faktycznie ten użytkownik, za którego się podaje. Hasło i login są niewystarczające. Konieczne jest silne uwierzytelnianie. Dodanie kolejnego składnika to dobry krok, ale warto go odpowiednio dobrać. W przypadku ludzi optymalna jest biometria. Dzięki temu możemy się upewnić, że po drugiej stronie siedzi człowiek, któremu przyznano dostęp. Jest jedno ‘ale’. We współczesnych środowiskach mamy dodatkowo mnóstwo robotów programowych. Dlatego nie można skupiać się wyłącznie na ludziach.
Jeśli przekażemy hasło i login zewnętrznej firmie czy automatowi, to znowu nie wiemy kto się loguje. Tak jak ludzi najlepiej identyfikować z wykorzystaniem biometrii, robota można identyfikować przy użyciu hashu, choć są także inne metody. W ten sposób wyeliminujemy sytuację, że przekazujemy login i hasło, a później przez pół roku korzysta z tego zestawu zarówno robot, admin i nie wiadomo jeszcze kto. Tymczasem można wykorzystać mechanizm, że robot przy każdym logowaniu, uwierzytelniania się w centralnym systemie zarządzania poświadczeniami i dzięki temu dostaje unikatowe, zmieniające się cyklicznie hasło.
Czy to już wystarczy?
MC: Kiedy wiemy już kto się loguje i do czego, dobrze jest dodać dodatkowe zabezpieczenie dotyczące zakresu przyznawanego dostępu i czasu. Mianowicie dajemy najmniejszy możliwy dostęp i tylko wtedy, kiedy on jest niezbędny – i to niezależnie czy mówimy o ludziach czy robotach.
W większości przypadków użytkownicy potrzebują do wykonywania swoich obowiązków dostępu wyłącznie do określonych funkcji i to w godzinach pracy biurowej, np. od 9 do 17. Bardzo często jest tak, że administratorzy systemów operacyjnych nie potrzebują pełnego dostępu administracyjnego, a i tak go otrzymują. Przez to wielu użytkowników może zrobić o wiele więcej niż to wynika z zakresu ich obowiązków.
W to wszystko wplata się model Zero Trust, czyli założenie, że już zostaliśmy zaatakowani i przestępca ma dostęp do naszego środowiska. Warto w tym kontekście zadać sobie pytanie: dlaczego ufamy swoim pracownikom? Dotyczy to zwłaszcza dużych firm, zatrudniających kilkaset czy kilka tysięcy osób. Czy mamy pewność, że choćby jeden spośród aktualnych pracowników czy osób zatrudnianych nie ma złych zamiarów? Czasem przemiana z dobrego w złego użytkownika następuje w bardzo krótkim czasie – decydują pieniądze albo emocje. Dlatego myśląc o atakach zewnętrznych, przygotujmy się również na ataki wewnętrzne. Ufajmy użytkownikom, ale dawajmy im ograniczony dostęp, kontrolujmy go i monitorujmy to, co robią.
Tu pojawia się jednak problem: jak kontrolować i monitorować to, co robią setki czy tysiące użytkowników…
MC: Oczywiście, człowiek tego nie jest w stanie ogarnąć. Nawet armia ludzi. Potrzebne są automaty, które będą sprawdzać, czy użytkownicy nie robią czegoś, co wykracza poza ustaloną politykę bezpieczeństwa albo ich zachowanie zaczyna odbiegać od normy – technologie User Behavior Analytics stają się coraz bardziej popularne. Automat w przypadku wykrycia nieprawidłowości może podnieść alarm albo zablokować sesję.
Co jeszcze należy wziąć pod uwagę?
MC: Dla niektórych organizacji szczególne znaczenie ma wypełnianie ustalonych norm w kontekście audytów. W rozproszonych środowiskach kwestia mamy coraz więcej danych, aplikacji, automatów. Dlatego potrzebny jest jeden, centralny system, który pozwoli generować raporty potrzebne dla audytorów. Każda firma, która zapewni już odpowiedni poziom bezpieczeństwa, zaczyna myśleć o kosztach. Jeśli możemy szybko, kilkoma kliknięciami wygenerować raporty potwierdzające, że spełniamy wymogi, zamiast robić to ręcznie, to mamy dużą oszczędność.
W tym momencie część firm powie: fajnie jest mieć wszystko w jednym miejscu, ale boimy się vendor lockingu. Naszym zdaniem, jeśli ktoś decyduje się na wdrożenie systemu klasy Privileged Access Management, to w jakiś sposób, chcąc nie chcąć i tak wiąże się z jednym dostawcą. Lepiej więc rozwinąć ochronę tożsamości i mieć łatwiejsze raportowanie, niż walczyć z vendor lockingiem, bo konsekwencją jest walka z wieloma innymi kwestiami. W każdym razie, naszym zdaniem, warto to przemyśleć i zastanowić się co jest lepsze zarówno z punktu widzenia bezpieczeństwa jak i z czystko ekonomicznych pobudek, bo wdrożenie jednej platformy adresującej wiele obszarów w większości przypadków jest po prostu tańsze niż utrzymywanie kilku różnych rozwiązań.
Wszystko składa się w jedną spójną całość, ale pojawia się inny problem: czy firmy posiadają odpowiednie kompetencje i doświadczenie, żeby to wszystko zrealizować?
MC: To oczywiście poważne wyzwanie. Ze naszej strony mogę zaproponować darmową usługę dla klientów, która polega na wsparciu w przygotowaniu długofalowego programu ochrony tożsamości. Nie sprzedajemy tej usługi, ani nie zobowiązujemy klientów, którzy z niej korzystają do późniejszego zakupu naszych rozwiązań. Powstająca w jej wyniku roadmapa nie jest oparta na żadnych konkretnych produktach.
CyberArk ma ponad dwie dekady doświadczeń w tym obszarze. Chętnie dzielimy się nimi z klientami, zwłaszcza, że wdrożenia systemów klasy Privileged Access Management, które nie są oparte o plan przygotowany przez osoby posiadające odpowiednią wiedzę i kompetencje, często nie przynoszą oczekiwanych rezultatów. Dlatego pomagamy klientom tworzyć plan na podstawie naszych doświadczeń, najlepszych praktyk, specyfiki środowiska i priorytetów klienta.
Dotychczas pomogliśmy przygotować takie roadmapy kilkuset klientom w regionie i żaden z nich nie powiedział, że był to stracony czas. Dlatego dla wszystkich firm, które nie czują się na siłach samodzielnie mierzyć się z przygotowaniem nowej strategii bezpieczeństwa, może to być najlepszy pierwszy krok. Jeżeli zaś chodzi o te firmy, które uważają, że posiadają odpowiednie kompetencje, żeby taki długofalowy plan stworzyć samodzielnie – zaciągnięcie dodatkowej, zewnętrznej opinii pozwoli im zweryfikować swoje założenia.