ห้าเหตุผลทำไม Silverfort เป็นก้าวแรกที่สมบูรณ์แบบบนเส้นทาง Zero Trust ของคุณ
เมษายน 21st, 2023 ดอน ฮอฟฟ์แมน
เดิมที Zero Trust มักจะถูกนึกถึงในบริบทของเครือข่าย โดยการดำเนินการถือเป็นโครงการที่เน้นการอัปเกรดและแบ่งส่วนโครงสร้างพื้นฐานดั้งเดิมเป็นหลัก ตราบเท่าที่มีการควบคุมการเข้าถึงทรัพย์สินทางกายภาพทั้งหมด แนวคิดดังกล่าวก็ดำเนินต่อไป ซึ่งอาจทำหน้าที่เป็นพร็อกซีสำหรับการขยายความไว้วางใจในรูปแบบของการเข้าถึงไปยังผู้ใช้ แต่กระบวนทัศน์นี้ได้รับการพิสูจน์แล้วว่ามีข้อบกพร่อง โดยเฉพาะอย่างยิ่งกับการสลายตัวของขอบเขตแบบดั้งเดิม และส่งผลให้ผู้ใช้เข้าถึงทรัพยากรจากภายนอกเครือข่ายขององค์กรเพิ่มขึ้นอย่างรวดเร็ว
เนื่องจากการเข้าถึงทรัพยากรจะขึ้นอยู่กับการรับรองความถูกต้องของผู้ใช้ จึงเป็นจุดเริ่มต้น ความน่าเชื่อถือเป็นศูนย์ การเดินทางมีตัวตน แต่ด้วยการโจมตีตามข้อมูลระบุตัวตน เช่น แรนซัมแวร์ที่เพิ่มขึ้น ปัญหาก็คือการค้นหาว่าจะเริ่มจากตรงไหน รวมถึงวิธีที่ผลิตภัณฑ์รักษาความปลอดภัยที่มีอยู่สามารถมีส่วนร่วมได้ เช่นเดียวกับการกำหนดบทบาทของผลิตภัณฑ์ PAM และ ไอ้เวรตะไล วิธีแก้ปัญหาควรเล่น
ในโพสต์นี้ เราจะแนะนำเหตุผล XNUMX ประการว่าทำไม Silverfort ปึกแผ่น การป้องกันตัวตน แพลตฟอร์มสามารถมอบก้าวแรกที่ดีเยี่ยมในการพัฒนาโครงการริเริ่ม Zero Trust ที่มุ่งเน้นด้านอัตลักษณ์ จากวิสัยทัศน์ที่เป็นนามธรรมไปสู่ความเป็นจริงที่เป็นรูปธรรม
สารบัญ
เหตุผลที่ # 1: Silverfort สามารถให้การมองเห็นแบบรวมศูนย์ในทุกคำขอการรับรองความถูกต้องและการเข้าถึง
เนื่องจากในปัจจุบันองค์กรส่วนใหญ่ดำเนินงานในสภาพแวดล้อมแบบไฮบริด ซึ่งหมายความว่ามักจะมีผู้ให้บริการข้อมูลประจำตัวชุดหนึ่งที่จัดการทรัพยากรบนคลาวด์ (แอป SaaS ปริมาณงานบนคลาวด์ ฯลฯ) และผู้ให้บริการรายอื่นที่จัดการสินทรัพย์ภายในองค์กร เช่น เซิร์ฟเวอร์ เวิร์กสเตชัน และดั้งเดิม แอพ ในบางกรณี อาจมีผลิตภัณฑ์เพิ่มเติมที่เกี่ยวข้องกับการจัดการข้อมูลประจำตัวและการเข้าถึง เช่น สิทธิ์การเข้าถึงการจัดการ โซลูชั่น (PAM)
ผลลัพธ์ก็คือกิจกรรมของผู้ใช้มีการกระจายอย่างกว้างขวางในหลายพื้นที่ โดยไม่มีวิธีง่ายๆ ในการรวบรวมข้อมูลทั้งหมดนี้มาไว้ในจุดศูนย์กลางที่เดียว สิ่งที่ซับซ้อนยิ่งขึ้นคือปัญหาประเภทผู้ใช้ เนื่องจากผู้ใช้มาตรฐาน ผู้ใช้ที่มีสิทธิพิเศษ ผู้ใช้บุคคลที่สาม และผู้ใช้ที่ไม่ใช่มนุษย์ (เรียกอีกอย่างว่าบัญชีแบบเครื่องต่อเครื่องหรือ บัญชีบริการ) แต่ละรายการมาพร้อมกับความท้าทายเฉพาะด้านเกี่ยวกับการมองเห็นและการตรวจสอบ
Silverfort แก้ปัญหาความท้าทายนี้เนื่องจากมีการผสานรวมแบบเนทีฟกับผู้ให้บริการข้อมูลประจำตัวทุกราย ทำให้สามารถบันทึกคำขอการตรวจสอบสิทธิ์ทุกรายการที่เกิดขึ้นในสภาพแวดล้อม และด้วยเหตุนี้จึงให้มุมมองที่เป็นหนึ่งเดียวของกิจกรรมเครือข่ายทั้งหมดสำหรับผู้ใช้ทุกคนและทรัพยากรใดๆ
เหตุผลที่ # 2: Silverfort สามารถระบุได้ว่าความพยายามในการเข้าถึงทุกครั้งนั้นไม่เป็นอันตรายหรือเป็นอันตราย
ตามหลักการแล้ว องค์กรควรมีมุมมองที่สมบูรณ์ของพฤติกรรมของผู้ใช้ทั้งหมด และสามารถประเมินบริบทของทุกคำขอก่อนที่จะให้สิทธิ์การเข้าถึง ซึ่งสามารถทำได้โดยใช้การวิเคราะห์ความเสี่ยงร่วมกับการยืนยันตัวตนเพื่อตัดสินใจว่าคำขอแต่ละรายการถูกต้องตามกฎหมายหรือมาจากฝ่ายตรงข้ามโดยใช้ข้อมูลประจำตัวที่ถูกบุกรุก
แต่ลักษณะที่กระจัดกระจายของสภาพแวดล้อมแบบไฮบริดทำให้การรวบรวมและประมวลผลข้อมูลทั้งหมดที่เกี่ยวข้องกับการรับรองความถูกต้องและคำขอการเข้าถึงเป็นอุปสรรคอย่างมาก นอกจากนี้ยังมีความท้าทายในการทำให้คะแนนความเสี่ยงต่างๆ ที่สร้างขึ้นโดยกลไกต่างๆ อยู่ในเกณฑ์มาตรฐาน เช่นเดียวกับข้อเท็จจริงที่ว่ามีโซลูชันน้อยมากที่สามารถวิเคราะห์แพ็กเก็ตการพิสูจน์ตัวตนที่แท้จริงเพื่อตรวจหาความผิดปกติใดๆ ได้
Silverfort แก้ปัญหานี้เนื่องจากความสามารถในการดูกิจกรรมเครือข่ายทั้งหมด ซึ่งหมายความว่าสามารถประเมินบริบททั้งหมดของการรับรองความถูกต้องทุกครั้ง ด้วยข้อมูลจำนวนดังกล่าว Silverfort สามารถสร้างเครื่องมือวิเคราะห์ความเสี่ยงที่มีความซับซ้อนสูงเพื่อกำหนดความถูกต้องของการรับรองความถูกต้องที่เกิดขึ้นภายในสภาพแวดล้อม
เหตุผลที่ # 3: Silverfort สามารถบล็อกการเข้าถึงที่เป็นอันตรายได้แบบเรียลไทม์
หากคำขอการเข้าถึงไม่สามารถเชื่อถือได้ คำขอนั้นควรถูกบล็อก โดยเฉพาะอย่างยิ่ง การบล็อกนี้ควรเกิดขึ้นในแบบเรียลไทม์อันเป็นผลมาจากการควบคุมการเข้าถึงที่ปลอดภัยซึ่งทริกเกอร์โดยนโยบายที่ครอบคลุมผู้ใช้ อินเทอร์เฟซการเข้าถึง และทรัพยากรทุกประเภท
อย่างไรก็ตาม นี่ไม่ใช่งานง่าย โดยเฉพาะอย่างยิ่งสำหรับทรัพยากรภายในองค์กร เนื่องจากโปรโตคอลการตรวจสอบความถูกต้องหลัก (Kerberos และ NTLM) ใช้โดย Active Directory (AD) ไม่สนับสนุน MFA อย่างแท้จริง ด้วยเหตุนี้ จึงไม่มีวิธีการบังคับใช้การป้องกันแบบเรียลไทม์กับทรัพยากรที่จัดการ (ซึ่งรวมถึงแอปพลิเคชันรุ่นเก่า การแชร์ไฟล์ และอินเทอร์เฟซบรรทัดคำสั่ง)
แต่ Silverfort มีความสามารถในการบังคับใช้นโยบายกับทรัพยากรเหล่านี้อย่างแข็งขันเนื่องจากความสามารถในการดูการรับรองความถูกต้องทั้งหมดที่เกิดขึ้นใน AD ด้วยความสามารถ MFA ของแพลตฟอร์มเอง รวมถึงการผสานรวมกับผู้ให้บริการ MFA บุคคลที่สามทุกรายในตลาด (รวมถึง Okta, Duo, Ping, Microsoft Authenticator, HYPR, Yubico และ RSA) Silverfort สามารถบล็อกคำขอการเข้าถึงที่เป็นอันตรายได้แบบเรียลไทม์
เหตุผลที่ # 4: Silverfort สามารถใช้บริบทและการบังคับใช้กับทุกทรัพยากร
เพื่อนำไปปฏิบัติอย่างเต็มที่ เอกลักษณ์ศูนย์ความน่าเชื่อถือ องค์กรต่างๆ จะมีความสามารถในการใช้การวิเคราะห์ความเสี่ยงที่ซับซ้อน และดำเนินการบังคับใช้กับการเข้าถึงทรัพยากรทุกระดับในแต่ละระดับ ซึ่งอาจหมายถึง ตัวอย่างเช่น ความสามารถในการใช้นโยบายกับทรัพยากรแต่ละรายการภายในกลุ่มเครือข่าย แทนที่จะใช้เฉพาะที่เกตเวย์
ความสามารถนี้จะช่วยให้ทีมไอทีสามารถตัดสินใจได้ดีขึ้นมากเกี่ยวกับวิธีที่ดีที่สุดในการปกป้องทรัพยากรขององค์กรจากการบุกรุกหรือการเข้าถึงที่ไม่เหมาะสม ในขณะเดียวกันก็คำนึงถึงปัจจัยสำคัญอื่นๆ เช่น ประสิทธิภาพและประสบการณ์ของผู้ใช้
เพราะ Silverfort ผสานรวมกับทุกผลิตภัณฑ์ในกลุ่มการรักษาความปลอดภัย – รวมถึงเครื่องมือ SIEM ทั้งหมด, โซลูชัน EDR/XDR และซอฟต์แวร์ SOAR – นโยบายการบังคับใช้การเข้าถึงสามารถปรับแต่งได้อย่างละเอียด ปรับเปลี่ยนในระดับละเอียดสำหรับแต่ละทรัพยากร
เหตุผลที่ # 5: Silverfort เสนอการปรับใช้อย่างรวดเร็วและใช้เวลาทันทีในการสร้างมูลค่า
บางทีความท้าทายที่ใหญ่ที่สุดในการนำ Zero Trust ไปใช้ก็คือการค้นหาโซลูชันที่สามารถนำไปปฏิบัติได้อย่างรวดเร็วและคืนคุณค่าให้กับองค์กรได้ทันที โซลูชั่น PAM จัดให้มีชั้นความปลอดภัยที่สำคัญซึ่งรวมถึงการตรวจสอบการเชื่อมต่อของผู้ดูแลระบบ (ผ่านการบันทึกเซสชัน) และชั้นการป้องกันในรูปแบบของห้องนิรภัยสำหรับข้อมูลประจำตัวของผู้ดูแลระบบและการหมุนเวียนรหัสผ่าน อย่างไรก็ตาม เป็นที่ทราบกันว่าโปรแกรม PAM มีการปรับใช้ที่ยาวและซับซ้อน ซึ่งมักจะใช้เวลานานหลายเดือนหรือหลายปี
Silverfortในทางกลับกัน โซลูชันของสามารถนำออกใช้ได้อย่างรวดเร็วโดยการปรับใช้ส่วนใหญ่ใช้เวลาน้อยกว่า 30 วัน ซึ่งหมายความว่าองค์กรสามารถเห็นคุณค่าที่แท้จริงได้ทันที ตัวอย่างเช่น ผ่านการปกป้องบัญชีบริการทั้งหมด เพราะ Silverfort สามารถดูการรับรองความถูกต้องทั้งหมดในสภาพแวดล้อม มันสามารถค้นพบบัญชีแบบเครื่องต่อเครื่องเนื่องจากลักษณะการทำงานที่คาดเดาได้สูง Silverfort จากนั้นสามารถสร้างนโยบายโดยอัตโนมัติเพื่อปกป้องบัญชีเหล่านี้ (มักมีสิทธิพิเศษสูง) จากการบุกรุก การค้นพบและการปกป้องบัญชีบริการนี้เป็นหนึ่งในอุปสรรคที่ใหญ่ที่สุดในการนำ PAM ไปใช้งานให้ประสบความสำเร็จ
เรียนรู้เพิ่มเติมเกี่ยว Silverfort การป้องกันตัวตนแบบครบวงจร
Silverfortโซลูชันของประกอบด้วยเทคโนโลยีที่เป็นนวัตกรรมแบบไม่ใช้เอเจนต์และแบบไม่มีพรอกซีที่ทำงานในแบ็กเอนด์ของที่มีอยู่ AMI โครงสร้างพื้นฐานเพื่อหยุดภัยคุกคามข้อมูลประจำตัวแบบเรียลไทม์ ซึ่งหมายความว่าขณะนี้องค์กรต่างๆ สามารถใช้แนวทาง Zero Trust ที่เน้นข้อมูลประจำตัวได้อย่างมั่นใจ ผ่านการป้องกันพื้นที่ที่มักตกเป็นเป้าหมายของผู้แสดงภัยคุกคามในการละเมิดข้อมูลและ ransomware การโจมตี — ระบบเดิม อินเทอร์เฟซบรรทัดคำสั่ง และบัญชีบริการ
สนใจดูวิธี Silverfort สามารถเร่งการเดินทางของ Identity Zero Trust ของคุณได้หรือไม่ ขอตัวอย่างที่นี่.
