หยุดแสร้งทำเป็นว่าข้อมูลประจำตัวสามารถจัดการได้ด้วยการตรวจสอบการเข้าถึงแบบคงที่และบันทึกที่ล้าสมัยเสียที มันทำไม่ได้หรอก ข้อมูลประจำตัวเป็นแบบไดนามิก กระจายตัว และมักจะมองไม่เห็น นั่นคือสิ่งที่ทำให้มันอันตราย
อัตลักษณ์เป็นระบบเดียวในสแต็กของคุณที่ไม่มีใครอธิบายสิ่งที่เกิดขึ้นได้ มันควบคุมการเข้าถึง บังคับใช้ความปลอดภัย และผลักดันการปฏิบัติตามกฎระเบียบ แต่ถึงอย่างนั้น มันก็ยังคงเป็นชั้นที่ลึกลับที่สุด ใครมีสิทธิ์เข้าถึงอะไรบ้าง? มีการใช้งานข้อมูลประจำตัวใดบ้าง? อะไรที่มีความเสี่ยงหรือตั้งค่าไม่ถูกต้อง? คำถามพื้นฐานเหล่านี้ค่อนข้างยากที่จะตอบ เพราะคำตอบกระจัดกระจายอยู่ในบันทึกการตรวจสอบ เครื่องมือจัดเตรียม และความรู้ของผู้ดูแลระบบ
นี่ไม่ใช่ช่องว่างด้านเครื่องมือ แต่มันคือช่องว่างด้านการมองเห็น อัตลักษณ์เป็นระบบแบบกระจาย และถึงเวลาแล้วที่เราต้องปฏิบัติต่อมันเหมือนเป็นระบบกระจาย
นั่นคือคำสัญญาของ แพลตฟอร์มการมองเห็นตัวตนและข้อมูลเชิงลึก (IVIP)แนวคิดเรื่องการมองเห็นแบบรวมศูนย์ได้ปฏิวัติวิธีที่เราเข้าใจแอปและโครงสร้างพื้นฐาน และแนวคิดนี้สามารถเปลี่ยนแปลงอัตลักษณ์บุคคลได้เช่นเดียวกัน ในโพสต์นี้ เราจะมาวิเคราะห์ว่าสิ่งนี้หมายถึงอะไร เหตุใดจึงสำคัญ และจะทำให้เป็นจริงได้อย่างไร
เหตุใดการระบุตัวตนจึงจำเป็นต้องสามารถสังเกตได้ในขณะนี้
ทศวรรษที่ผ่านมาเป็นเรื่องของการกำกับดูแลอัตลักษณ์ ทศวรรษถัดมาเป็นเรื่องของ ข้อมูลประจำตัว.
เราได้จัดเตรียมระบบอัตโนมัติ ควบคุมการเข้าถึงอย่างเข้มงวด และบังคับใช้นโยบายในระดับที่กว้างขวาง แต่เรายังไม่สามารถตอบคำถามพื้นฐานได้ ระบบการระบุตัวตนมีความซับซ้อนเพิ่มขึ้นอย่างมาก การระบุตัวตนของเครื่อง รวมถึงบัญชีบริการและปัจจุบัน ตัวแทนขับเคลื่อนด้วย AI มีจำนวนมากกว่าผู้ใช้มนุษย์เพิ่มมากขึ้น โดยหลายรายดำเนินการโดยอัตโนมัติ โดยสามารถเข้าถึงระบบและข้อมูลที่มักขาดการกำกับดูแลโดยตรงจากมนุษย์
ในขณะเดียวกัน สภาพแวดล้อมแบบไฮบริดที่ครอบคลุมทั้งคลาวด์ SaaS และโครงสร้างพื้นฐานแบบ on-prem ต่างก็มีทัศนวิสัยที่แตกแยก กระจายข้อมูลประจำตัวไปยังแพลตฟอร์มที่ไม่เชื่อมต่อกัน ยิ่งไปกว่านั้น บทบาทแบบรวมศูนย์ นโยบายที่สืบทอดมา และสิทธิ์แบบซ้อนยังบดบังสิทธิ์ที่แท้จริง ทำให้แทบจะเป็นไปไม่ได้เลยที่จะตอบคำถามพื้นฐานที่ว่า: ใครมีสิทธิ์เข้าถึงอะไร? ความท้าทายที่เพิ่มมากขึ้นเหล่านี้ได้เติบโตเกินกว่ารูปแบบการระบุตัวตนแบบดั้งเดิม ทำให้ความสามารถของ IVIP ไม่เพียงแต่มีประโยชน์แต่ยังมีความจำเป็นอีกด้วย
นอกเหนือจากการอัปเกรดการมองเห็นเพียงอย่างเดียว นี่คือวิธีที่เราสร้างความไว้วางใจในอนาคตที่พฤติกรรมการระบุตัวตนมีความเป็นไดนามิก กระจายตัว และอัตโนมัติมากกว่าที่เคย
IVIP หมายความว่าอย่างไรจริงๆ
การมองเห็นและสติปัญญาไม่ได้หมายถึงการสังเกตเหตุการณ์ต่างๆ แต่หมายถึงการเข้าใจระบบ ในทางทฤษฎีมันตอบว่า: คุณสามารถเข้าใจสถานะภายในของระบบโดยอาศัยเพียงผลลัพธ์จากภายนอกได้หรือไม่ เมื่อคุณนำสิ่งนั้นมาใช้กับตัวตน คำตอบมักจะเป็นไม่
ทีมระบุตัวตนส่วนใหญ่สามารถดูเหตุการณ์การเข้าสู่ระบบได้ พวกเขาสามารถดึงข้อมูลสมาชิกกลุ่มได้ พวกเขาอาจสร้างไฟล์ CSV ของสิทธิ์ต่างๆ ได้ด้วย แต่พวกเขาไม่สามารถตอบคำถามอย่างเช่น:
- ตัวตนมีพฤติกรรมอย่างไร?
- การเข้าถึงมาจากไหน และไปที่ไหน?
- อะไรที่หลุดออกจากบรรทัดฐาน?
- สัญญาณใดที่บ่งชี้ถึงความขัดแย้งระหว่างระบบ?
- ข้อมูลประจำตัวใดบ้างที่ไม่ตรงกับข้อมูลเมตา เจ้าของ หรือวัตถุประสงค์?
นั่นเป็นเพราะข้อมูลประจำตัวนั้นกระจัดกระจายไปทั่วไดเรกทอรี ระบบ IGA เครื่องมือจัดการตั๋ว บันทึก แพลตฟอร์ม HR และคอนโซลคลาวด์ ซึ่งไม่มีระบบใดที่สามารถบอกเล่าเรื่องราวทั้งหมดได้ด้วยตัวเอง
IVIP รวบรวมเรื่องราวดังกล่าวเข้าด้วยกัน มันไม่ใช่แค่การเปิดไฟ แต่มันคือการทำให้ระบบระบุตัวตนสามารถอธิบายได้ นั่นหมายความว่า:
- การสร้างแบบจำลองอัตลักษณ์ในฐานะระบบที่มีชีวิตและไดนามิก
- การสร้าง แผนที่แบบเรียลไทม์ของการมีอยู่ของตัวตน, เกี่ยวข้องและประพฤติตน
- สัญญาณที่ปรากฏ เช่น ข้อผิดพลาดในการจำแนกประเภท ช่องว่างวงจรชีวิต การเปลี่ยนแปลงพฤติกรรม และความไม่ตรงกันของการเป็นเจ้าของ
- ให้ทีมถามคำถามที่พวกเขาไม่รู้ว่าจะถามและยังคงได้รับคำตอบที่มีความหมาย
IVIP เทียบกับการติดตาม
การมองเห็นและการตรวจสอบมักถูกสับสน โดยเฉพาะอย่างยิ่งในเรื่องอัตลักษณ์ ความแตกต่างมีดังนี้:
| การตรวจสอบ | ไอวีไอพี |
| ตรวจสอบกฎเกณฑ์หรือเกณฑ์ที่กำหนดไว้ล่วงหน้า | ช่วยให้สามารถสืบสวนแบบเปิดได้ |
| คำตอบ: “การตั้งค่านี้ถูกกำหนดค่าไว้หรือไม่” | คำตอบ: “เกิดอะไรขึ้นและทำไม?” |
| การแจ้งเตือนเกี่ยวกับเงื่อนไขที่ทราบ | ช่วยตรวจจับ ไม่คาดฝัน |
| ทำงานเมื่อคุณทราบโหมดความล้มเหลว | ใช้งานได้เมื่อคุณ ทำไม่ได้ |
ตัวอย่างเช่น:
- การตรวจสอบถามว่า: ผู้ใช้รายนี้อยู่ในกลุ่มมากเกินไปหรือไม่ MFA ได้ทุกที่ เปิดใช้งาน?
- การมองเห็นและสติปัญญาถามว่า: เหตุใดบัญชีบริการนี้จึงเข้าถึงเวิร์กโหลดใหม่ที่ไม่เคยสัมผัสมาก่อนอย่างกะทันหัน
ความแตกต่างนี้สำคัญ เพราะว่า เมื่ออัตลักษณ์พัฒนาเร็วกว่ากฎเกณฑ์ของเราจะตามทันการเชื่อมโยงชิ้นส่วนต่างๆ เข้าด้วยกันและทำความเข้าใจกับมันกลายเป็นแหล่งข้อมูลที่แท้จริงเพียงแหล่งเดียวของคุณ
เหตุใดจึงสำคัญตอนนี้: ผลที่ตามมาที่แท้จริงหากไม่มีสิ่งนี้
โดยไม่ต้อง IVIP:
- บัญชีที่มีสิทธิพิเศษเกินควรจะถูกซ่อนไว้เพราะไม่มีใครสามารถสร้างแบบจำลองให้กับสิ่งที่ควรมีได้
- จัดประเภทผิด บัญชีบริการ สามารถตรวจสอบสิทธิ์แบบเงียบๆ ข้ามสภาพแวดล้อมได้
- ระบบ HR บอกว่าผู้ใช้ออกไปแล้ว แต่ระบบปลายน้ำยังคงให้สิทธิ์เข้าถึง
- ความคลาดเคลื่อนทางพฤติกรรมในตัวตนที่สำคัญจะไม่ถูกทำเครื่องหมายไว้จนกว่าจะมีบางอย่างเสียหายหรือถูกละเมิด
แล้วสิ่งที่สำคัญล่ะ? เครื่องมืออย่างเช่น สคท, PAM และการจัดการท่าทาง ล้วนอาศัยความสามารถเชิงอัจฉริยะในการทำงาน พวกมันไม่ได้มาแทนที่มัน แต่มันขึ้นอยู่กับมัน
อะไรทำให้อัตลักษณ์อยู่ในมุมมองและบริบท
เราจำเป็นต้องเข้าใจระบบการระบุตัวตนในสามชั้นหลัก:
| ระดับสัญญาณ | คำถามที่มันตอบ |
| 1. สถานะ: บัญชี กลุ่ม บทบาท และข้อมูลเมตาของความเป็นเจ้าของ | มีใครหรือสิ่งใดอยู่? ใครเป็นเจ้าของมัน? |
| 2. โทโพโลยี: การเป็นสมาชิกกลุ่ม การสืบทอดนโยบาย และการเชื่อมโยงระหว่างไดเรกทอรี | การเข้าถึงได้รับการอนุญาต สืบทอด หรือกระจายไปยังสภาพแวดล้อมต่างๆ อย่างไร |
| 3. พฤติกรรม: เหตุการณ์การเข้าสู่ระบบ รูปแบบการใช้สิทธิพิเศษ ความผิดปกติ และ การรับรอง ลอยไป | การใช้ข้อมูลประจำตัวเป็นสิ่งที่ไม่คาดคิด มากเกินไป เสี่ยง หรือผิดปกติหรือไม่ |
ยิ่งคุณสามารถถามและตอบคำถามเฉพาะกิจแบบไดนามิกมากขึ้นในเลเยอร์ต่างๆ เหล่านี้ได้มากเท่าใด ความสามารถในการมองเห็นตัวตนและความสมบูรณ์ของสติปัญญาของคุณก็จะยิ่งสูงขึ้นเท่านั้น
สิ่งที่เกิดขึ้นในทางปฏิบัติ
ในทางปฏิบัติจะมีลักษณะดังนี้:
- การสังเกตการเปลี่ยนแปลงตัวตนจากการรับเข้าเป็นการรับออก และดูว่าการเข้าถึง บทบาท หรือพฤติกรรมใดๆ ยังคงอยู่หรือไม่
- การตรวจจับความผิดปกติในวงจรชีวิตของข้อมูลประจำตัว—บัญชีที่ไม่ปฏิบัติตามรูปแบบการใช้งานที่คาดหวัง หรือบัญชีที่ไม่ได้เชื่อมโยงกับเจ้าของที่ทราบ
- เน้นย้ำถึงการเปลี่ยนแปลงทางสถาปัตยกรรม เช่น แหล่งที่มาของความจริงหลายแหล่งสำหรับการจำแนกประเภทข้อมูลประจำตัว หรือข้อมูลประจำตัวในระบบคลาวด์ที่ไม่มีจุดยึด HR ที่สอดคล้องกัน
นี่ไม่ใช่แค่เรื่องของการทำแผนที่สิทธิ์อนุญาตเท่านั้น แต่มันเกี่ยวกับการทำความเข้าใจอัตลักษณ์ในฐานะระบบที่เคลื่อนไหว มีการเปลี่ยนแปลง เอนโทรปี และบริบทที่ฝังแน่นอยู่ในระบบ มันช่วยให้คุณสร้างแบบจำลองระบบนั้น ตั้งคำถามใหม่ๆ และเข้าแทรกแซงอย่างชาญฉลาดเมื่อมีบางสิ่งที่แตกต่างจากบรรทัดฐานที่คาดหวัง
กรณีการใช้งานจริงของ IVIP
1. การสืบสวนว่ามีการอนุญาตการเข้าถึงอย่างไร
คำถามที่ตอบ: ตัวตนนี้ได้รับการเข้าถึงที่ไม่ควรได้รับได้อย่างไร และทำไมเราถึงไม่พบมันเร็วกว่านี้?
ทีมระบุตัวตนพบว่าผู้ใช้มีสิทธิ์เข้าถึงระดับผู้ดูแลระบบในฐานข้อมูลสำคัญ การตรวจสอบสมาชิกกลุ่มไม่พบสิ่งใดที่น่าตกใจ แต่ด้วยข้อมูลเชิงสัมพันธ์ เส้นทางทั้งหมดจึงถูกเปิดเผย:
- ผู้ใช้ได้รับสิทธิ์การเข้าถึงผ่านโครงสร้างกลุ่มแบบซ้อนกันที่ฝังลึกสามระดับ
- สถานะวงจรชีวิตที่ไม่ตรงกันหมายความว่าผู้ใช้ยังคงมีสิทธิ์ของแผนกก่อนหน้า
- สิทธิ์ดังกล่าวนั้นถูกต้องตามหลักเทคนิค แต่ไม่ได้นำมาใช้ในทางพฤติกรรม สัญลักษณ์คลาสสิกของสิทธิพิเศษที่มากเกินไป.
ทีมงานด้านการระบุตัวตนสามารถติดตามได้ไม่เพียงแค่ว่าใครมีสิทธิ์เข้าถึง แต่ยังสามารถติดตามได้ว่าข้อมูลนั้นถูกสร้างขึ้นมาอย่างไรในแต่ละช่วงเวลา ในระบบ บทบาท และการเปลี่ยนแปลงในวงจรชีวิต
2. การทำความสะอาดตัวตนที่ล้าสมัยหรือไร้ตัวตน
คำถามที่ได้รับคำตอบ: บัญชีใดบ้างที่ไม่ได้ใช้ ไม่ได้เป็นเจ้าของ หรือจัดประเภทไม่ถูกต้อง และสร้างความเสี่ยงที่เงียบงัน?
องค์กรบริการทางการเงินขนาดใหญ่แห่งหนึ่งค้นพบว่าข้อมูลประจำตัวกว่า 20% ขององค์กรไม่ได้แสดงกิจกรรมใดๆ เลยในช่วง 90 วันที่ผ่านมา แต่หลายองค์กรยังคงมีสิทธิ์เข้าถึงระบบการผลิตอยู่
- บางส่วนเป็นบัญชีผู้รับเหมาที่ไม่ได้ถูกยกเลิกหลังจากโครงการเสร็จสิ้น
- คนอื่นๆ เป็นพนักงานที่เปลี่ยนบทบาทแต่ยังคงสิทธิ์การเข้าถึงที่ล้าสมัย
- กำมือหนึ่งมี ตัวตนที่ไม่ใช่มนุษย์ ใช้สำหรับการรวมครั้งเดียวแล้วลืมไป
ด้วยมุมมองและการวิเคราะห์ที่รวบรวมเป็นหนึ่งเดียว อัตลักษณ์เหล่านี้จะไม่ปรากฏเป็นเพียง "สิ่งที่มีอยู่" เท่านั้น แต่จะถูกระบุตำแหน่ง ให้คะแนน และแสดงขึ้นตามพฤติกรรมที่ไม่กระตือรือร้น การจัดประเภทที่ไม่ถูกต้อง และการขาดความเป็นเจ้าของ ซึ่งทำให้ลดความเสี่ยงและกำจัดสิ่งที่ไม่จำเป็นได้อย่างง่ายดาย
3. การตรวจจับความเบี่ยงเบนของพฤติกรรมในสภาพแวดล้อมไฮบริด
คำถามที่ตอบ: ตัวตนใดบ้างที่กำลังกระทำในลักษณะที่ไม่ตรงกับพฤติกรรมหรือสภาพแวดล้อมที่คาดหวัง?
บัญชีบริการที่มักใช้สำหรับการสำรองข้อมูลอัตโนมัติใน AWS จะเริ่มทำการตรวจสอบสิทธิ์ในฐานข้อมูลภายในองค์กรโดยกะทันหันในช่วงนอกเวลาทำการจาก IP แหล่งใหม่
ด้วยเครื่องมือแบบดั้งเดิม กิจกรรมนี้อาจดูถูกต้องตามกฎหมาย เนื่องจากบัญชีสามารถเข้าถึงได้และไม่ได้ถูกบล็อกอย่างชัดเจน
ด้วย IVIP:
- คุณรู้จัก พื้นฐานพฤติกรรมที่คาดหวัง สำหรับบัญชีบริการนั้น
- คุณตรวจพบ การดริฟท์ของสิ่งแวดล้อม จากคลาวด์สู่การเข้าถึงภายในสถานที่ซึ่งไม่เคยเกิดขึ้นมาก่อน
- คุณ การแจ้งเตือน ก่อนที่สิ่งใด ๆ จะถูกดึงออกไป แม้ว่าจะไม่มีการละเมิดนโยบายทางเทคนิคก็ตาม
ความผิดปกติทางพฤติกรรมจะมองเห็นได้ชัดเจนเนื่องจากระบบไม่เพียงแต่เฝ้าสังเกตบางสิ่งที่รู้ว่าไม่ดีเท่านั้น แต่ยังเข้าใจสิ่งที่ ปกติ.
4. ขับเคลื่อนการตรวจสอบการเข้าถึงตามบริบท
คำถามที่ได้รับคำตอบ: ผู้ตรวจสอบสามารถอนุมัติการเข้าถึงด้วยความมั่นใจอย่างแท้จริง ไม่ใช่แค่ประทับตราโดยอิงจากตำแหน่งงานหรือกลุ่มได้อย่างไร
การตรวจสอบการเข้าถึงมักจะเป็นการส่งออกแบบคงที่ ชื่อกลุ่ม ป้ายกำกับบทบาท และวันที่แก้ไขล่าสุด แต่จะเป็นอย่างไรหากผู้ตรวจสอบสามารถเห็น:
- หากเข้าถึงได้ มือสอง ในช่วง 30/60/90 วันที่ผ่านมา?
- หากมีการระบุตัวตน ความผิดปกติทางพฤติกรรมล่าสุด?
- หากทรัพยากรเป็น มีความละเอียดอ่อน และไม่ว่าจะมี การป้องกัน (เช่น MFA) อยู่ในสถานที่ไหน?
การมองเห็นตัวตนและข้อมูลเชิงลึกเปลี่ยนการตรวจสอบสิทธิ์ให้เป็น การสืบสวนที่ขับเคลื่อนด้วยหลักฐานผู้ตรวจสอบสามารถลบหรือคงสิทธิ์การเข้าถึงไว้ได้อย่างมั่นใจโดยขึ้นอยู่กับการใช้งาน บริบท และความเสี่ยง ไม่ใช่การคาดเดา
การเปลี่ยนการมองเห็นและข้อมูลเชิงลึกของข้อมูลประจำตัวให้เป็นการกระทำ
- จัดทำแผนที่สัญญาณของคุณ: ข้อมูลประจำตัวสินค้าคงคลังครอบคลุมทั้งสถานะ โทโพโลยี และพฤติกรรม
- ความต้องการการสังเกตที่บูรณาการได้: ให้ความสำคัญกับผู้จำหน่ายที่เสนอโมเดลการระบุตัวตนที่สามารถสอบถามได้และอุดมไปด้วยบริบท ไม่ใช่การส่งออกแบบแบนราบ
- ฝังเข้าในคู่มือ SOC: พลัง สคท การตรวจจับและการทำงานอัตโนมัติของ SOAR ด้วยบริบทเส้นทางการเข้าถึงแบบสด
- ทำให้ IVIP เป็นกระดานสนทนา: เชื่อมโยงกับการลดความเสี่ยงที่วัดได้ เช่น ผลกระทบจากการละเมิดที่ลดลง การตรวจสอบที่รวดเร็วขึ้น และค่าปรับตามกฎระเบียบที่น้อยลง
บทสรุป: อัตลักษณ์ในฐานะระบบเชิงกลยุทธ์
แนวคิดเรื่องการมองเห็นที่สัมพันธ์กันและอิงบริบทได้เปลี่ยนแปลงวิธีการทำงานของทีมซอฟต์แวร์ ถึงเวลาแล้วที่ทีมระบุตัวตนจะต้องเปลี่ยนแปลงไปในทางเดียวกัน
เมื่อคุณสามารถติดตามเส้นทางการเข้าถึง ตรวจจับการเปลี่ยนแปลงสิทธิ์ และตรวจสอบความถูกต้อง สิทธิพิเศษน้อยที่สุด และตรวจสอบความสมบูรณ์ของข้อมูลประจำตัวอย่างต่อเนื่องในทุกสภาพแวดล้อม ทำให้ข้อมูลประจำตัวหยุดเป็นเพียงกล่องดำและเริ่มกลายมาเป็นทรัพย์สินเชิงกลยุทธ์
หากรายงานบอร์ดฉบับต่อไปของคุณยังคงใช้การตรวจสอบการเข้าถึงแบบคงที่ แสดงว่าเลเยอร์ข้อมูลประจำตัวของคุณไม่สามารถมองเห็นได้และขับเคลื่อนด้วยข้อมูลแบบองค์รวม และหากมองไม่เห็นและนำมารวมกัน แสดงว่าไม่ปลอดภัย เพราะมันไม่ได้รับการทดสอบ
เริ่มต้นโดยการถามว่า: ทีมของคุณสามารถติดตามตัวตน สิทธิพิเศษ และพฤติกรรมต่างๆ ในสภาพแวดล้อมของคุณได้ในตอนนี้หรือไม่? หากยังทำไม่ได้ IVIP ก็ไม่ใช่สิ่งที่ควรมี แต่มันคือสิ่งที่คุณให้ความสำคัญเป็นลำดับถัดไป
เรียนรู้เพิ่มเติมเกี่ยวกับความสำคัญของการรักษาความปลอดภัยข้อมูลประจำตัวที่ครอบคลุมโดย เยี่ยมชมเราที่นี่.
