Serie cybersecurity (9/10):
Cine sunteți și ce doriți?” : Despre rolul IAM în securitatea cibernetică

Dacă aveți nevoie să accesați multiple servicii și platforme online cu un singur set de credențiale; și aveți nevoie să protejați datele personale / profesionale de hackeri; și aveți nevoie să respectați reglementările privind confidențialitatea și securitatea datelor… atunci probabil aveți nevoie de un sistem de gestionarea identității și a accesului (IAM/Identity and Access Management).

IAM este procesul de identificare, autentificare, autorizare și gestionare a utilizatorilor și a drepturilor de acces: numai persoanele potrivite au acces corect la resursele potrivite, la momentul potrivit și pentru motivele potrivite. Implementat corect, IAM poate aduce organizației dvs. multe beneficii: îmbunătățirea securității, eficienței și conformității operațiunilor sale.

%
impactul IAM asupra riscului de breșe de securitate (Sursa: IBM)
%
impactul IAM asupra costurilor breșelor de securitate (Sursa: IBM)
%
impactul IAM timpului de rezolvare a breșelor de securitate (Sursa: IBM)
În acest articol:
  1. Concepte de bază ale IAM
  2. Componentele de bază ale IAM
  3. Framework-uri IAM
  4. Beneficiile și provocările IAM
  5. Studii de caz
  6. Recomandări privind IAM

Concepte de bază ale IAM

IAM se bazează pe trei concepte de bază: gestionarea ciclului de viață al identității, controlul accesului și agregarea identităților. Aceste concepte definesc modul în care utilizatorii sunt identificați, autentificați, autorizați și gestionați pe parcursul interacțiunilor lor cu resursele.

Gestionarea ciclului de viață al identității

Gestionarea ciclului de viață al identității este procesul de creare, actualizare și ștergere a identităților utilizatorilor și a atributelor acestora (de ex. numele, adresa de e-mail, rolul etc.). Acest proces asigură că identitățile utilizatorilor sunt exacte, coerente și sigure în diferite sisteme și aplicații. Pentru aceasta, este nevoie ca atribuirea și revocarea drepturilor de acces ale utilizatorilor la resurse să fie realizate pe baza atributelor acestora și a nevoilor de business. Vorbim deci despre nașterea, creșterea și eliminarea identității dvs. digitale; dar și despre modul în care identitatea se modifică/evoluează în timp.

Controlul accesului

este procesul prin care se acordă (sau se refuză) accesul utilizatorilor la resurse pe baza identității și a drepturilor de acces. Utilizatorii pot accesa numai resursele pe care sunt autorizați să le acceseze, iar resursele sunt protejate împotriva accesului neautorizat. Controlul accesului implică aplicarea unor politici și reguli care definesc condițiile și limitările de acces al utilizatorilor (de ex. timpul, locația, dispozitivul etc.). Este practic lacătul și cheia resurselor dvs. digitale, dar regulile care determină cine poate intra și ieși din ele.

Agregarea identităților

este procesul de conectare și partajare a identităților utilizatorilor și a drepturilor de acces între diferite sisteme și aplicații, fără a le cere utilizatorilor să creeze și să gestioneze mai multe conturi și parole. Agregarea permite utilizatorilor să acceseze mai multe resurse cu o singură autentificare (SSO) și oferă o experiență de utilizare continuă și sigură. Pentru aceasta, este nevoie de stabilirea încrederii și interoperabilității între diferite sisteme și aplicații, prin standarde și protocoale comune. Analogia potrivită: agregarea identităților este pașaportul și viza călătoriilor dvs. digitale, și modul în care acestea vă permit să vizitați și să explorați diferite destinații.

Componentele de bază ale IAM

IAM este format din câteva componente principale:

Directoare

Baze de date care stochează și organizează identitățile utilizatorilor și atributele acestora (numele, e-mailul, rolul etc.). Oferă o sursă centralizată și coerentă de informații despre utilizatori pentru diferite sisteme și aplicații. De asemenea, permit căutarea, interogarea și actualizarea identităților utilizatorilor și a atributelor.

Exemplu de director: Active Directory, un serviciu Microsoft care gestionează identitățile utilizatorilor și drepturile de acces pentru rețelele și aplicațiile bazate pe Windows.

Arhive de identități

Stochează și gestionează datele de identificare ale utilizatorilor (parolele, token-urile, certificatele etc.). Oferă o modalitate sigură și fiabilă de verificare a identităților utilizatorilor și de autentificare a accesului utilizatorilor la resurse. Arhivele de de identități permit generarea, emiterea și revocarea acreditărilor utilizatorilor.

Exemplu de arhivă de identități: LDAP este un protocol care permite accesarea și modificarea acreditărilor utilizatorilor stocate în directoare.

Provizionare

Procesul de creare, actualizare și ștergere a identităților utilizatorilor și a drepturilor de acces ale acestora. Automatizează și simplifică gestionarea ciclului de viață al identității, respectiv asigură sincronizarea și coerența identităților utilizatorilor și a drepturilor de acces. Provizionarea implică auditarea și raportarea identităților utilizatorilor și a drepturilor de acces.

Exemplu de instrument de provizionare: Microsoft Identity Manager, un serviciu care automatizează provizionarea / deprovizionarea identităților utilizatorilor și a drepturilor de acces pentru rețelele și aplicațiile bazate pe Windows.

Autentificare

Verificarea identităților utilizatorilor și validarea accesului la resurse, pe baza credențialelor. Garantează că utilizatorii sunt cine pretind a fi și că au dreptul de a accesa resursele. Autentificarea implică aplicarea unor metode și factori de autentificare diferiți, precum parolele, tokenurile, elementele biometrice etc.

Exemplu de protocol de autentificare: OAuth, un standard prin care utilizatorii pot să permită aplicațiilor terțe să acceseze resurse, fără a le partaja credențialele.

Framework-uri IAM

Câteva framework-uri IAM definesc modul în care sunt atribuite și aplicate drepturile de acces ale utilizatorilor:

Controlul accesului bazat pe roluri (RBAC/role-based access control)

atribuie drepturile de acces ale utilizatorilor în funcție de rolurile acestora (de ex. angajat, manager, administrator etc.) RBAC simplifică și standardizează procesul de control al accesului, prin gruparea utilizatorilor și a resurselor în roluri și permisiuni predefinite. Este aplicat principiul celui mai mic privilegiu, acordând utilizatorilor doar drepturile de acces minime de care au nevoie pentru a-și îndeplini sarcinile.

RBAC are unele limitări: este rigid și inflexibil; necesită actualizări manuale și frecvente; și nu ține cont de contextul și de atributele utilizatorilor / resurselor. De exemplu, este posibil ca RBAC să nu fie capabil să gestioneze scenarii dinamice și complexe, precum acordarea de acces temporar sau de urgență sau restricționarea accesului în funcție de timp, locație, dispozitiv etc.

Controlul accesului bazat pe atribute (ABAC/attribute-based access control)

atribuie drepturile de acces ale utilizatorilor pe baza atributelor acestora (de ex. numele, adresa de e-mail, rolul, departamentul etc.). ABAC permite un control mai fin și mai flexibil al accesului, prin utilizarea de politici și reguli care evaluează atributele utilizatorilor / resurselor. Și ABAC funcționează pe baza principiul celui mai mic privilegiu.

Limitările se referă la complexitatea și dificultatea punerii în aplicare; la necesarul de date de înaltă calitate și consecvență; și neluarea în considerare a ierarhiei și relațiilor dintre utilizatori și resurse. De exemplu, este posibil ca ABAC să nu poată gestiona scenarii simple și comune: acordarea accesului pe baza vechimii, sau restricționarea accesului pe baza confidențialității.

Controlul accesului bazat pe reguli/politici (PBAC/policy-based access control)

Atribuie drepturile de acces în baza regulilor privind condițiile și limitărilele de acces ale utilizatorilor. PBAC combină caracteristici ale RBAC și ABAC: atât rolurile, cât și atributele sunt utilizate pentru a determina drepturile de acces ale utilizatorilor. Și PBAC susține principiul celui mai mic privilegiu; dar permite un control al accesului mai adaptabil și mai scalabil, prin utilizarea de reguli ce pot fi actualizate și aplicate dinamic / automat.

Limitările PBAC vin din faptul că depinde și se bazează pe calitatea și acuratețea politicilor și a regulilor; necesită o proiectare și o testare atentă și riguroasă; și nu ține cont de excepțiile și conflictele din cadrul regulilor. De exemplu, PBAC ar putea să nu poată gestiona scenarii neașteptate / ambigue, precum acordarea/restricționarea accesului pe baza unor criterii multiple sau conflictuale.

Beneficiile și provocările IAM

IAM poate aduce multiple beneficii organizației dvs.:

Reduce suprafața de atac și riscul de breșe ale securității datelor

Prin implementarea și gestionarea corespunzătoare a IAM, vă puteți asigura că doar persoanele potrivite au acces la resursele potrivite, la momentul potrivit și din motivele potrivite. Astfel pot fi prevenite accesul neautorizat, utilizarea abuzivă, și scurgerea de date sensibile. Sunt protejate confidențialitatea, integritatea și disponibilitatea resurselor, precum și confidențialitatea și identitatea utilizatorilor.

Conform unui raport IBM: IAM poate contribui la reducerea riscului de încălcare a securității datelor cu 31%, a costurilor încălcărilor de date cu 24% și a timpului de soluționare a încălcărilor de date cu 28%.

Simplifică fluxurile de lucru și procesele de gestionare a utilizatorilor (provizionarea, deprovizionarea, gestionarea parolelor și revizuirea accesului)

Prin automatizarea și simplificarea acestor sarcini, IAM vă poate economisi timp, bani și resurse. De asemenea, IAM poate îmbunătăți experiența și satisfacția utilizatorilor, permițându-le să acceseze mai multe resurse cu o singură semnătură (SSO) și oferind o navigare continuă și sigură pentru utilizatori.

Conform unui raport Forrester: IAM poate contribui la creșterea productivității organizației cu 40%, a satisfacției clienților cu 35% și a inovării cu 30%.

Contribuie la respectarea standardelor de reglementare și etice privind protecția datelor, confidențialitatea și consimțământul (GDPR, HIPAA și CCPA)

Prin respectarea acestor cadre, IAM poate contribui la evitarea riscurilor juridice și de reputație, precum și la consolidarea încrederii și loialității față de clienți și parteneri.

Conform unui raport Gartner: IAM poate contribui la îmbunătățirea conformității organizației cu 25%, a retenției clienților cu 20% și a valorii brandului cu 15%.


Cu toate acestea, IAM prezintă și provocări care trebuie abordate și depășite:

Gestionarea complexității și diversității identităților utilizatorilor și a drepturilor de acces

în special într-un mediu dinamic și eterogen, în care utilizatorii, resursele și politicile se schimbă frecvent și rapid.

Echilibru între securitatea și conveniența accesului utilizatorilor

mai ales în medii dinamice și/sau bazate pe cloud, în care utilizatorii accesează resursele de pe dispozitive și din locații diferite.

Integrarea și interoperarea diferitelor sisteme și/sau aplicații

cu precădere în medii distribuite și hibride, în care resursele sunt găzduite pe platforme și furnizori diferiți.

Asigurarea calității și acurateței datelor utilizatorilor

pentru organizații mari și diverse, în care datele utilizatorilor sunt colectate / stocate în diferite formate.

Reglementarea și auditarea activităților / performanțelor utilizatorilor

atunci când activitățile și performanțele utilizatorilor trebuie monitorizate / măsurate în raport cu obiectivele de business și/sau cerințele de conformitate.

Studii de caz

Pentru a ilustra impactul IAM, analizăm două exemple ale unor organizații din diferite sectoare de activitate, care au implementat și gestionat cu succes IAM:

Sectorul bancar

Pentru instituțiile care oferă produse și servicii financiare pentru milioane de clienți, IAM ajută la gestionarea identităților și drepturilor de acces ale clienților, angajaților și partenerilor săi, dar și la gestionarea datelor și aplicațiilor. Băncile utilizează IAM pentru a oferi o experiență de utilizare convenabilă și sigură: utilizatorii pot să acceseze mai multe produse și servicii cu o singură autentificare (SSO) și autentificare multifactorială (MFA). Mai ales în domeniul bancar, este important că IAM poate fi utilizat pentru a respecta standardele de reglementare și etice privind protecția datelor, confidențialitatea și consimțământul (de ex. HIPAA și CCPA).

Sursa: MIT.

Industria divertismentului

Serviciiile de streaming care furnizează conținut de divertisment pentru milioane de abonați din întreaga lume se babează pe IAM pentru a gestiona (1) identitățile și drepturile de acces ale clienților, partenerilor și angajaților, precum și (2) conținutul și infrastructura. IAM este utilizat pentru a oferi o experiență de utilizare personalizată și sigură: utilizatorii pot să creeze și să gestioneze mai multe profiluri, preferințe și dispozitive. În plus, IAM optimizează producția și livrarea de conținut, cu ajutorul unor soluții bazate pe cloud și federate (de ex. AWS IAM, SAML), care permite accesul transparent și scalabil la resurse și parteneri. Sunt respectate standardele legale și etice de protecție a datelor, confidențialitate și consimțământ (de ex. GDPR), oferind utilizatorilor controlul și transparența datelor și a drepturilor de acces.

Sursa: AWS.

Recomandări privind IAM

Pentru a vă ajuta să implementați și să gestionați IAM în mod sigur și eficient, iată câteva recomandări:

Utilizați un manager de parole

pentru a crea și stoca parole puternice / unice pentru conturile dvs. online și pentru a le accesa cu o singură parolă principală. Astfel puteți evita utilizarea de parole slabe sau refolosite, precum și uitarea / pierderea parolelor.

Folosiți autentificare multi-factorială (MFA)

pentru a adăuga un nivel suplimentar de securitate conturilor dvs. online. MFA ar trebui să vă ceară să furnizați ceva ce știți (cum ar fi o parolă), ceva ce aveți (cum ar fi un token) sau ceva ce sunteți (cum ar fi o amprentă digitală) pentru a vă accesa conturile. Puteți astfel să împiedicați accesul neautorizat, chiar dacă parola dvs. este compromisă.

Folosiți o singură semnătură (SSO)

pentru a accesa mai multe servicii și platforme online cu un singur nume de utilizator și o singură parolă, fără a fi nevoie să creați și să gestionați mai multe conturi și parole. Acest lucru vă poate ajuta să economisiți timp și bătăi de cap și să oferiți o experiență de utilizare continuă și sigură.

***

Conceptul de IAM este strâns legat de detectarea amenințărilor, răspunsul la incidente, SSO și MFA, pe care le-am abordat în articolele anterioare. Implementând și gestionând IAM în mod corespunzător, puteți spori securitatea, eficiența și conformitatea organizației dvs. și vă puteți proteja datele și activele împotriva amenințărilor cibernetice.

***

La infinilink, credem că securitatea cibernetică este un efort continuu, iar menținerea vigilenței este esențială pentru a fi în fața amenințărilor cibernetice. Urmând câțiva pași relativ simpli, și menținând o atitudine activă în materie de securitate, puteți reduce semnificativ riscul de a cădea victimă atacurilor cibernetice.

Pentru orice informații suplimentare privind securitatea cibernetică și serviciile de cybersecurity ale infinilink, vă rugăm să ne contactați sau să accesați pagina web dedicată serviciilor cybersecurity.

Articole similare

Scroll to Top