Paweł Łąka

Head of Security Solutions

Nie masz centralnego systemu zarządzania tożsamością? Zagrożenia związane z brakiem IAM

Profesjonalne i prawidłowe zarządzanie tożsamością (IAM, ang. Identity & Access Management) oznacza większą kontrolę dostępu użytkowników, co przekłada się na mniejsze ryzyko zewnętrznych, ale też wewnętrznych naruszeń. Jest to szczególnie ważne w dużych firmach posiadających zróżnicowaną architekturę.

Z jakimi zagrożeniami wiąże się brak centralnego systemu IAM?

Bardzo trudny audyt

Brak centralnego systemu odpowiadającego za zarządzanie tożsamością powoduje problemy związane z kontrolą danych. W sytuacji, gdy dane na temat ról, grup i uprawnień implementowane są niezależnie w różnych systemach, nie ma praktycznie szans na skuteczną ich weryfikację i kontrolę.

Wówczas działy bezpieczeństwa i ochrony danych nie są w stanie szybko i sprawnie zweryfikować wszystkich aplikacji i systemów. Twórcy i administratorzy takich systemów, bez zdefiniowanego procesu często udzielają dostępu do poufnych informacji i danych firmowych. Audyt bezpieczeństwa danych staje się wtedy wyjątkowo trudny. Weryfikacja dostępowa pojedynczej encji użytkownika może wymagać analizy bardzo wielu systemów i ich wewnętrznych implementacji oraz integracji z bazami danych.

Uciążliwe zarządzanie - mało efektywna praca i duże koszty

Podobny problem dotyczy nie tylko kontroli i weryfikacji, ale także samego zarządzania cyklem życia tożsamości. Nowi pracownicy są zatrudniani, istniejący kończą współpracę czy zmieniają zakres obowiązków… Zmiany są ciągłe, a każda z nich wymaga nadawania i odbierania uprawnień.

Jeśli nie wykorzystujemy do tego celu scentralizowanych narzędzi informatycznych, procesy związane z cyklem życia tożsamości takiego pracownika w bazie danych trwają dłużej. Brak automatycznej synchronizacji danych prowadzi do konieczności prowadzenia ciągłej analizy i weryfikacji, a także wprowadzanie ręcznie operacji typu dodaj/usuń/modyfikuj.

W dużych, przepełnionych procedurami korporacjach, bez odpowiednio zbudowanego IAM’a zdarza się że nowo zatrudniony pracownik czeka tygodniami na otrzymanie dostępów do aplikacji. A nierzadko są to aplikacje będące narzędziami jego codziennej pracy. Najczęściej wynika to z faktu, że trzeba nowej osobie nadać uprawnienia osobno w każdej aplikacji i zgodnie z osobnymi procedurami akceptacji. Jest to strata czasu zarówno dla administratorów systemów, działów service Desk oraz samych pracowników którzy nie mogą wykonywać swojej pracy.

Analogiczny problem występuje w przypadku usuwania dostępów po odejściu pracownika z firmy. Z oczywistych względów brakuje wtedy jednak głównego zainteresowanego, który pilnuje tematu, więc najczęściej dostępy pozostają aktywne – to poważne naruszenie zasad bezpieczeństwa! Jest to tym bardziej ryzykowne, że odejścia pracowników odbywają się często w burzliwej atmosferze. Brak ewidencji wszystkich dostępów takiego pracownika niezwykle utrudnia ich wyłączenie.

Bezpieczeństwo danych

Architekci systemów zwykle projektują aplikacje z uwzględnieniem wysokiego poziomu bezpieczeństwa. Dodatkowo, w przypadku braku centralnego systemu do zarządzania tożsamościami, zespoły projektowe zmuszone są dodawać tego typu funkcjonalności do nowo tworzonych systemów. Niestety, im więcej różnych głównych źródeł danych, tym wyższe ryzyko związane z ich bezpiecznym przechowywaniem i utrzymywaniem.

Co gorsza, zdarza się że terminy i koszty projektu są ograniczone, więc zespół skupia się na funkcjonalnościach związanych z głównym celem biznesowym danego systemu, przez co nie przykłada wystarczającego wysiłku do aspektów bezpieczeństwa.

Logowanie do systemów

Często zarządzanie tożsamościami zaimplementowane jest jako jeden monolityczny system SSO. Jeden system SSO, który odpowiada za tak dużo ważnych funkcjonalności naturalnie staje się SPOF (ang. Single Point of Failure), który trudniej przywrócić w razie awarii.

Nieprawidłowe przydzielenie tożsamości do aplikacji, brak zdefiniowanych ról czy nieodpowiednio pogrupowane tożsamości powodują, że użytkownicy mają dostęp do zbyt małej lub zbyt obszernej ilości danych. Taka sytuacja może uniemożliwić pracę użytkownika i w konsekwencji blokować biznes. W przypadku braku odpowiednich ról administrator często zmuszony jest nadać zbyt szeroki dostęp do aplikacji lub nie nadawać go wcale. Wydzielony, scentralizowany system IAM pozwala na bardziej efektywne zarządzanie dostępami do zasobów.

Dodatkowo systemy SSO powinny odpowiadać za komunikację z aplikacjami klienckimi, i utrzymywać sesje. To systemy IAM odpowiadają za poprawne zarządzanie dostępami.

Złośliwość pracowników

Wedle CA 90% organizacji czuje się podatne na ataki wewnętrzne. Nowe badania nad bezpieczeństwem ujawniły, że blisko trzy czwarte incydentów wynika z zagrożeń wewnętrznych.

Najważniejszą i najczęstszą przyczyną tego stanu jest problem z nadmiernymi uprawnieniami dostępu pracowników, nadanymi dla zbyt wielu aplikacji. Dlatego, pomimo inwestowania w systemy chroniące firmowe sieci przed atakami z zewnątrz, nadal dochodzi do bardzo poważnych naruszeń i wycieków danych. Niestety, odpowiednie umowy czy szkolenia dla pracowników nie wystarczą aby się przed tym uchronić. Firma potrzebuje odpowiedniej kontroli nad dostępami pracowników, zarówno wewnętrznych i zewnętrznych, uniemożliwiającej poważne incydenty bezpieczeństwa czy wycieki danych.

Zrestartuj mi hasło, proszę!

Hasło wygasło? Konto zostało zablokowane? Lub, co zdarza się wciąż nad wyraz często, pracownik zapomniał hasła? Zwykle takie scenariusze prowadzą do telefonów do serwisu i absorbowania tego zespołu. Brak centralnego systemu zarządzającego hasłami statycznymi skutecznie uniemożliwia samoobsługowe rozwiązanie tego typu problemów.

Zarządzanie tożsamością może zmniejszyć liczbę wywołań pomocy technicznej do zespołów wsparcia IT dotyczących przywracania hasła. Systemy zarządzania tożsamością umożliwiają administratorom automatyzację takich czasochłonnych i w efekcie kosztownych zadań. Brak odpowiedniego zarządzania hasłami wymaga dodatkowej pracy operacyjnej.

Wnioski

Coraz mniej firm stawia na duże monolityczne systemy z ogromną liczbą funkcjonalności. W dzisiejszych czasach buduje się aplikacje do spełniania konkretnych funkcjonalności. Jednocześnie zarządy firm zdają sobie sprawę, że w tematach związanych z bezpieczeństwem nie opłaca się ryzykować. Tym bardziej jeśli chodzi o dostępy do wrażliwych danych.

Dlatego coraz częściej podejmowane są decyzje o wdrażaniu rozwiązań typu IAM, pozwalających uniknąć problemów.