Řízení přístupu a identit: nové trendy
Oblast v češtině poněkud kostrbatě označovaná nejčastěji jako „řízení přístupu a správa identit“ (IAM, identity and access management) prochází řadou změn, a nejde přitom jen o GDPR. Ve skutečnosti důležitější než legislativa jsou zde technologické posuny, které mění relativní smysl jednotlivých strategií používaných v této oblasti.
Sara Peters v této souvislosti na DarkReading zmiňuje následující trendy.
Při řízení přístupu se běžně kombinuje více kanálů: někdy se třeba rozlišují podle toho, co uživatel ví (heslo), co má (konkrétní zařízení) a kým je (biometrie). Ovšem autentizace na základě toho, co uživatel ví, je podle Petersové dnes víceméně mrtvá. Útočníci mají mnohdy o detailech ze života člověka úplnější informace než on sám (datum narození matky apod.). Dříve nebo později budou muset provozovatelé on-line služeb přestat s obnovováním hesla na základě zodpovídání otázek.
Dalším trendem je pochopitelně rozšíření systémů směrem do cloudu. S problémem identit/přístupu se již potýkají cloudové služby, ale zde je míněno to, že do cloudu se přesouvá i samotný podnikový informační systém včetně třeba ERP pro řízení výroby. A jak naopak zabezpečit systémy SCADA/ICS, které ani nemusí být primárně ani vzdáleně přístupné? Firmy i uživatelé/zaměstnanci by samozřejmě preferovali systém jediný. K tomu se přidává, že firmy užívají cloudové služby řady různých dodavatelů a poměrně často mezi nimi přecházejí. Systémy IAM v organizacích se stávají složité a roztříštěné.
S cloudem souvisí i přístup IdaaS (identita jako služba). Mohou si podniky dovolit předat řešení IAM třetí straně? Nedávno takovou službu začal nabízet Google, když tímto způsobem dokáže spravovat např. i přístupy do systémů Salesforce či SAP nebo firemní mobilní zařízení (včetně iOS). Konkrétní definice bezpečnostních politik (jaké vyžadovat vícefaktorové ověřování apod.) přitom zůstává v rukou správců. Významný fakt je i to, že biometrie se konečně rozšířila, takže ji podporuje např. většina mobilních zařízení. Díky tomu lze tyto metody nasazovat plošně a udělat z nich základ celé architektury – namísto hesel (poznámka: pravda ovšem je, že soumrak hesel byl již prorokován mnohokrát…). Biometrický standard/protokoly FIDO (Fast IDentity Online) už podporuje i konsorcium W3C nebo Windows 10, takže by je mohly začít využívat i webové servery. Biometrie by přitom neměla být pouze otázkou přihlašování do systémů, ale využít se dá při detekci jakékoliv nezvyklé podezřelé aktivity („adaptivní autentizace“, průběžné ověřování). Ve vývoji jsou zde systémy, jejichž cílem je uživatele příliš neobtěžovat – například místo skenování sítnice může být autentizace provedena automaticky podle toho, jak člověk telefon drží, jak píše apod.
Dále se objevují řešení speciálně navržená pro správu privilegovaných uživatelů, což může pomoci mj. proti aktivitám insiderů. Vedle toho se vyplatí speciálně sledovat i mrtvé duše (neaktivní uživatele, které ale nikdo nevymazal). Systémy řízení přístupu jsou stále zaměřeny hlavně na aplikace (kdo co smí spustit). Nicméně tento přístup je již nedostatečný. Citlivá data jsou stále častěji nestrukturovaná, takže přístup k nim nelze definovat na základě konkrétních aplikací. Bezpečnost na bázi dat je cílem, ale vyjma specializovaných systémů DLP ji jiná řešení zatím příliš nepodporují a nasazení DLP do zbytku infrastruktury představuje často obtížný úkol.
Nakonec se řízení identit netýká jen lidí. Řídit je třeba přístupy zařízení IoT (i když většinou slouží pro generování dat, některá tato zařízení by také měla mít sama k datům přístup), ale i softwarové roboty, jejichž činnost ovšem díky AI připomíná reálné uživatele, je třeba u nich stejně tak dokázat detekovat podezřelé chování apod. V rámci IAM lze využít blockchain – i když se zdá, že tato technologie vstupuje zrovna do fáze „overhyped“ a podniky pro ni často nedokáží najít využití.
Zdroj: DarkReading.com a další
