Řízení přístupu a identit: nové trendy

ITBiz.cz , 17. July 2018 08:15 0 komentářů
Řízení přístupu a identit: nové trendy

Oblast v češtině poněkud kostrbatě označovaná nejčastěji jako „řízení přístupu a správa identit“ (IAM, identity and access management) prochází řadou změn, a nejde přitom jen o GDPR. Ve skutečnosti důležitější než legislativa jsou zde technologické posuny, které mění relativní smysl jednotlivých strategií používaných v této oblasti.

Sara Peters v této souvislosti na DarkReading zmiňuje následující trendy.

Při řízení přístupu se běžně kombinuje více kanálů: někdy se třeba rozlišují podle toho, co uživatel ví (heslo), co má (konkrétní zařízení) a kým je (biometrie). Ovšem autentizace na základě toho, co uživatel ví, je podle Petersové dnes víceméně mrtvá. Útočníci mají mnohdy o detailech ze života člověka úplnější informace než on sám (datum narození matky apod.). Dříve nebo později budou muset provozovatelé on-line služeb přestat s obnovováním hesla na základě zodpovídání otázek.

Dalším trendem je pochopitelně rozšíření systémů směrem do cloudu. S problémem identit/přístupu se již potýkají cloudové služby, ale zde je míněno to, že do cloudu se přesouvá i samotný podnikový informační systém včetně třeba ERP pro řízení výroby. A jak naopak zabezpečit systémy SCADA/ICS, které ani nemusí být primárně ani vzdáleně přístupné? Firmy i uživatelé/zaměstnanci by samozřejmě preferovali systém jediný. K tomu se přidává, že firmy užívají cloudové služby řady různých dodavatelů a poměrně často mezi nimi přecházejí. Systémy IAM v organizacích se stávají složité a roztříštěné.

S cloudem souvisí i přístup IdaaS (identita jako služba). Mohou si podniky dovolit předat řešení IAM třetí straně? Nedávno takovou službu začal nabízet Google, když tímto způsobem dokáže spravovat např. i přístupy do systémů Salesforce či SAP nebo firemní mobilní zařízení (včetně iOS). Konkrétní definice bezpečnostních politik (jaké vyžadovat vícefaktorové ověřování apod.) přitom zůstává v rukou správců. Významný fakt je i to, že biometrie se konečně rozšířila, takže ji podporuje např. většina mobilních zařízení. Díky tomu lze tyto metody nasazovat plošně a udělat z nich základ celé architektury – namísto hesel (poznámka: pravda ovšem je, že soumrak hesel byl již prorokován mnohokrát…). Biometrický standard/protokoly FIDO (Fast IDentity Online) už podporuje i konsorcium W3C nebo Windows 10, takže by je mohly začít využívat i webové servery. Biometrie by přitom neměla být pouze otázkou přihlašování do systémů, ale využít se dá při detekci jakékoliv nezvyklé podezřelé aktivity („adaptivní autentizace“, průběžné ověřování). Ve vývoji jsou zde systémy, jejichž cílem je uživatele příliš neobtěžovat – například místo skenování sítnice může být autentizace provedena automaticky podle toho, jak člověk telefon drží, jak píše apod.

Dále se objevují řešení speciálně navržená pro správu privilegovaných uživatelů, což může pomoci mj. proti aktivitám insiderů. Vedle toho se vyplatí speciálně sledovat i mrtvé duše (neaktivní uživatele, které ale nikdo nevymazal). Systémy řízení přístupu jsou stále zaměřeny hlavně na aplikace (kdo co smí spustit). Nicméně tento přístup je již nedostatečný. Citlivá data jsou stále častěji nestrukturovaná, takže přístup k nim nelze definovat na základě konkrétních aplikací. Bezpečnost na bázi dat je cílem, ale vyjma specializovaných systémů DLP ji jiná řešení zatím příliš nepodporují a nasazení DLP do zbytku infrastruktury představuje často obtížný úkol.

Nakonec se řízení identit netýká jen lidí. Řídit je třeba přístupy zařízení IoT (i když většinou slouží pro generování dat, některá tato zařízení by také měla mít sama k datům přístup), ale i softwarové roboty, jejichž činnost ovšem díky AI připomíná reálné uživatele, je třeba u nich stejně tak dokázat detekovat podezřelé chování apod. V rámci IAM lze využít blockchain – i když se zdá, že tato technologie vstupuje zrovna do fáze „overhyped“ a podniky pro ni často nedokáží najít využití.

Zdroj: DarkReading.com a další


Komentáře

RSS 

Komentujeme

Počítačové hry v hlavě – a to dokonce multiplayer

Pavel Houser , 03. August 2019 06:30
Pavel Houser

Tetris v podání vědců z University of Washington připomíná málem telepatii – jeden z hráčů vidí pada...

Více



Kalendář

25. 08.

29. 08.
VMworld US 2019
05. 09.

06. 09.
Technical Computing Camp 2019
06. 09.

11. 09.
IFA 2019
RSS 

Zprávičky

Průzkum: Chytrým mobilem platí již téměř třetina Čechů

ČTK , 20. August 2019 14:40

Podíl Čechů platících svým chytrým mobilem je 31 %, zatímco v roce 2016 to bylo pouze 13 %. ...

Více 0 komentářů

Startup vyvinul pro umělou inteligenci největší čip na světě

ČTK , 20. August 2019 10:24

Nově vyvinutý čip obsahuje 1,2 bilionu tranzistorů....

Více 0 komentářů

Nordic Telecom si stěžuje u ÚOHS

Pavel Houser , 20. August 2019 08:00

Vnitro u zakázky pro záchranné sbory argumentuje utajením a chce uplatnit výjimku ze zákona o zadává...

Více 0 komentářů

Starší zprávičky

Huawei bude moci nakupovat americké součástky o 90 dní déle

ČTK , 19. August 2019 15:33

Ministerstvo obchodu USA také oznámilo, že zařadí na černou listinu zhruba 50 přidružených firem Hua...

Více 0 komentářů

Bezpečnostní rady státu jedná o kybernetickém útoku na ministerstvo zahraničí

ČTK , 19. August 2019 11:36

Ministerstvo zahraničí čelilo kybernetickému útoku v červnu....

Více 0 komentářů

V Irsku končí první šetření velké firmy okolo pravidel GDPR

ČTK , 19. August 2019 08:00

Celý proces zřejmě bude trvat měsíce, protože firma musí dostat čas na to, aby se mohla k vyšetřován...

Více 0 komentářů

Většina uživatelů sociálních sítí v USA by za ně byla ochotna platit

ČTK , 18. August 2019 08:00

Autoři dále spočítali, kolik by platformy vydělaly, pokud by vycházely pouze s příjmy od předplatite...

Více 0 komentářů