Защита айдентити, или Виртуальное бюро пропусков

Проблемами ключей не замедлили воспользоваться хакеры. Зачем штурмовать забор, бить окна или проламывать стены, если проще подобрать плохо лежащий ключ и с комфортом войти в дверь. «Злоумышленники выбрали, по их мнению, самый слабый элемент в защите – айдентити, и сейчас усиленно его атакуют», – заявил на открытии конференции «Айдентити Конф 2024» директор по развитию продуктов компании «Индид» Андрей Лаптев. Заодно он и расшифровал вводимый в оборот новый англицизм identity: «Айдентити – информация, позволяющая идентифицировать человека или устройство в корпоративной системе. Включает учетные записи, пароли, права, роли, а также исторические данные об активности». 

Хакерские атаки стали серьезным вызовом для бизнеса. Согласно сведениям Роскомнадзора, в 2023 г. произошло 168 утечек и в открытый доступ попало 300 млн записей. Информационно-аналитический центр InfoWatch насчитал 656 случаев утечек и 1,12 млрд записей. Многие утечки связаны с плохой организацией защиты, причем проблемы усугубляются. Согласно исследованию, проведенному Positive Technologies, первые два квартала 2024 г. показали аномальный рост числа утечек, связанных с кражей учетных данных, в организациях по всему миру. Их доля резко увеличилась в I квартале, а по итогам II квартала достигла рекордного уровня в 24% (см. рисунок). Иными словами, почти каждая четвертая утечка конфиденциальной информации – это раскрытие учетных данных.

Самое слабое звено защиты – человек, а самый простой способ добраться до его айдентити – социальная инженерия, например, фишинг, когда злоумышленники действуют от имени организаций или их представителей, которым люди склонны доверять. Уже мало кого удивляют телефонные звонки от мнимых представителей «Центробанка» или «прокуратуры», пытающихся получить конфиденциальные данные или открыть к ним доступ. 

Люди не склонны усложнять себе жизнь и придумывать сложные пароли, чем также пользуются злоумышленники, применяя атаки путем перебора паролей (brute force), начиная с самых популярных вариантов из справочников.

Более сложный способ добраться до айдентити – программы-шпионы, которые могут появиться на компьютере пользователя после установки зараженной программы, перехода по ссылке в фишинговом письме или хакерской атаки с использованием уязвимостей в программном обеспечении. 

В числе возможных причин утечек – потери внешних дисков и ноутбуков с учетными записями. Не стоит забывать об обиженных сотрудниках, которые могут умышленно вредить компании, сливая в сеть айдентити ее сотрудников. Бывают и случайные утечки: например, просьба временно подменить сотрудника на работе может сопровождаться несанкционированной передачей нужных для этого учетных записей. И наконец – к счастью, уже редко, – некоторые все еще крепят к монитору скотчем бумажку с логином и паролем.

Бизнес начал серьезно заниматься кибербезопасностью. Практически стандартом стало применение многофакторной (MFA) – на практике двухфакторной (2FA) – идентификации, когда к стандартному первому фактору (логину и паролю) добавляется второй – код из SMS, подтверждение через push на смартфоне, аппаратный ключ или отпечаток пальца. 

Это нужно, важно, но недостаточно, особенно если не контролировать выдачу и ликвидацию ключей. Из-за этого и возникают нередкие ситуации, когда причиной инцидента становится бывший сотрудник компании, не работающий в ней уже лет десять, но по-прежнему имеющий доступ к инфраструктуре.

Компаниям, особенно с большой распределенной структурой, нужно навести порядок в управлении ключами, в чем помогают средства автоматизации, объединяемые термином IAM (Identity and Access Management). IAM – это набор технологий и программных продуктов, обеспечивающих управление жизненным циклом учетных записей и доступом к различным системам в компании. К ним относятся и системы IdM (управление идентификацией), отвечающие за создание, изменение и удаление учетных записей, а также управление атрибутами пользователей. Для отслеживания и записи действий пользователей с высоким уровнем привилегий применяются системы PAM (Privileged Access Management). 

Системы автоматизации должны быть интегрированы с программным обеспечением отдела кадров, чтобы своевременно отслеживать увольнения и изменения должностных обязанностей сотрудников. Важно внедрение ролевой модели, когда права назначаются не под конкретного сотрудника, а на основании ролей, которые он выполняет в организации. При этом используется принцип выдачи минимальных прав – только тех, которые требуются для выполнения должностных обязанностей. 

Нельзя забывать о своевременном обновлении используемых для защиты айдентити ключей и сертификатов. Упрощает контроль технология единого входа (Single Sign-On, SSO) – возможность использовать один идентификатор для доступа ко всем разрешенным ИТ-ресурсам и системам.

Внедрение систем учета и контроля снижает риски, но не защищает от атак с использованием социальной инженерии. Один из сформулированных в дискуссии на конференции тезисов – пора переходить от реактивной защиты идентификационных данных к проактивной. Соучредитель Octopus Identity Яков Фишелев проиллюстрировал проактивную защиту аналогией с системой контроля электросамокатов: «Чтобы проактивно уменьшить количество связанных с ними нарушений, можно создать карту с навигацией, которая будет показывать, куда и с какой скоростью на самокате ехать дозволено, а куда и как быстро – запрещено. Если применить эту аналогию к управлению айдентити, то можно аналогичным образом создать правила и матрицы доступа ко всем системам, а также использовать поведенческую аналитику. Эту задачу эффективно решает технология Identity Threat Detection and Response (ITDR)».

Эксперты отмечают, что стоит сместить фокус с защиты периметра на защиту айдентити, причем с анализом аномалий в поведении сотрудника – попыток входа в систему с новых локаций, новых устройств, изменения характера и стиля работы, стремления получить несанкционированный доступ. В случае больших объемов данных для их обработки можно использовать искусственный интеллект, помогающий выявить отклонения.

Не следует забывать и о традиционных решениях – тот же периметр безопасности разумно выстраивать для защиты наиболее чувствительной информации. Но при этом нужно использовать и решения, отвечающие за защиту отдельных аспектов айдентити, включая IdM, РАМ, ITDR и управление цифровыми сертификатами в комплексе, с единой моделью для всех рисков.

Инструменты для хакеров сегодня легко доступны, этапы атаки выстроены, угрозы реальны. И только включающий автоматизированные процедуры комплексный подход может снизить риски до приемлемого уровня.