Řízení přístupu a identit: nové trendy

ITBiz.cz , 17. červenec 2018 08:15 0 komentářů
Řízení přístupu a identit: nové trendy

Oblast v češtině poněkud kostrbatě označovaná nejčastěji jako „řízení přístupu a správa identit“ (IAM, identity and access management) prochází řadou změn, a nejde přitom jen o GDPR. Ve skutečnosti důležitější než legislativa jsou zde technologické posuny, které mění relativní smysl jednotlivých strategií používaných v této oblasti.

Sara Peters v této souvislosti na DarkReading zmiňuje následující trendy.

Při řízení přístupu se běžně kombinuje více kanálů: někdy se třeba rozlišují podle toho, co uživatel ví (heslo), co má (konkrétní zařízení) a kým je (biometrie). Ovšem autentizace na základě toho, co uživatel ví, je podle Petersové dnes víceméně mrtvá. Útočníci mají mnohdy o detailech ze života člověka úplnější informace než on sám (datum narození matky apod.). Dříve nebo později budou muset provozovatelé on-line služeb přestat s obnovováním hesla na základě zodpovídání otázek.

Dalším trendem je pochopitelně rozšíření systémů směrem do cloudu. S problémem identit/přístupu se již potýkají cloudové služby, ale zde je míněno to, že do cloudu se přesouvá i samotný podnikový informační systém včetně třeba ERP pro řízení výroby. A jak naopak zabezpečit systémy SCADA/ICS, které ani nemusí být primárně ani vzdáleně přístupné? Firmy i uživatelé/zaměstnanci by samozřejmě preferovali systém jediný. K tomu se přidává, že firmy užívají cloudové služby řady různých dodavatelů a poměrně často mezi nimi přecházejí. Systémy IAM v organizacích se stávají složité a roztříštěné.

S cloudem souvisí i přístup IdaaS (identita jako služba). Mohou si podniky dovolit předat řešení IAM třetí straně? Nedávno takovou službu začal nabízet Google, když tímto způsobem dokáže spravovat např. i přístupy do systémů Salesforce či SAP nebo firemní mobilní zařízení (včetně iOS). Konkrétní definice bezpečnostních politik (jaké vyžadovat vícefaktorové ověřování apod.) přitom zůstává v rukou správců. Významný fakt je i to, že biometrie se konečně rozšířila, takže ji podporuje např. většina mobilních zařízení. Díky tomu lze tyto metody nasazovat plošně a udělat z nich základ celé architektury – namísto hesel (poznámka: pravda ovšem je, že soumrak hesel byl již prorokován mnohokrát…). Biometrický standard/protokoly FIDO (Fast IDentity Online) už podporuje i konsorcium W3C nebo Windows 10, takže by je mohly začít využívat i webové servery. Biometrie by přitom neměla být pouze otázkou přihlašování do systémů, ale využít se dá při detekci jakékoliv nezvyklé podezřelé aktivity („adaptivní autentizace“, průběžné ověřování). Ve vývoji jsou zde systémy, jejichž cílem je uživatele příliš neobtěžovat – například místo skenování sítnice může být autentizace provedena automaticky podle toho, jak člověk telefon drží, jak píše apod.

Dále se objevují řešení speciálně navržená pro správu privilegovaných uživatelů, což může pomoci mj. proti aktivitám insiderů. Vedle toho se vyplatí speciálně sledovat i mrtvé duše (neaktivní uživatele, které ale nikdo nevymazal). Systémy řízení přístupu jsou stále zaměřeny hlavně na aplikace (kdo co smí spustit). Nicméně tento přístup je již nedostatečný. Citlivá data jsou stále častěji nestrukturovaná, takže přístup k nim nelze definovat na základě konkrétních aplikací. Bezpečnost na bázi dat je cílem, ale vyjma specializovaných systémů DLP ji jiná řešení zatím příliš nepodporují a nasazení DLP do zbytku infrastruktury představuje často obtížný úkol.

Nakonec se řízení identit netýká jen lidí. Řídit je třeba přístupy zařízení IoT (i když většinou slouží pro generování dat, některá tato zařízení by také měla mít sama k datům přístup), ale i softwarové roboty, jejichž činnost ovšem díky AI připomíná reálné uživatele, je třeba u nich stejně tak dokázat detekovat podezřelé chování apod. V rámci IAM lze využít blockchain – i když se zdá, že tato technologie vstupuje zrovna do fáze „overhyped“ a podniky pro ni často nedokáží najít využití.

Zdroj: DarkReading.com a další


Komentáře

RSS 

Komentujeme

Když obrázek není tím, čím se zdá být

Pavel Houser , 10. listopad 2018 06:30
Pavel Houser

Problematika falešných zpráva je dnes módní záležitostí. Následující výzkum se zaměřuje na jeden spe...

Více







RSS 

Zprávičky

Podle Check Pointu malware těžící kryptoměny dominuje dál

Pavel Houser , 17. listopad 2018 08:00

Objevena byla rozsáhlá kampaň šířící RAT malware FlawedAmmyy....

Více 0 komentářů

Samsung Exynos 9 řady 9820 pro umělou inteligenci v mobilech

Pavel Houser , 16. listopad 2018 12:46

Jádro čtvrté generace a modem LTE Advanced Pro s rychlostí 2,0 Gb/s mají vylepšit rozšířenou a virtu...

Více 0 komentářů

BlackBerry koupí za 1,4 miliardy USD Cylance

ČTK , 16. listopad 2018 12:40

Cylance vyvíjí produkty na bázi umělé inteligence, které mají zabránit kybernetickým útokům....

Více 0 komentářů

Starší zprávičky

Uber ve čtvrtletí prohloubil ztrátu na 1,07 miliardy USD

ČTK , 16. listopad 2018 08:00

Uber zvažuje, že posune primární nabídku akcií z druhé poloviny příštího roku na první polovinu....

Více 0 komentářů

Novým generálním ředitelem Autocontu je bývalý šéf Oracle Sameš

ČTK , 15. listopad 2018 12:44

Autocont se zaměřuje na poskytování komplexních IT řešení a služeb pro firmy a státní správu....

Více 0 komentářů

Lagardeová: Centrální banky by měly vydávat digitální měny

ČTK , 15. listopad 2018 08:00

Některé centrální banky, včetně švédské, kanadské a čínské, již uvažují o emisích digitálních měn ve...

Více 0 komentářů

Rostly ceny smartphonů, počítačů i tiskáren

Pavel Houser , 14. listopad 2018 11:53

Trh s technickým spotřebním zbožím zaznamenal podle statistik GfK v České republice ve 3. čtvrtletí ...

Více 0 komentářů