ถึงเวลาสำหรับการปกป้องข้อมูลประจำตัวแบบครบวงจร

*****โดย Hed Kovetz, CEO และผู้ร่วมก่อตั้ง, Silverfort*****

การโจมตีตามข้อมูลประจำตัวซึ่งใช้ ข้อมูลประจำตัวที่ถูกบุกรุก เพื่อเข้าถึงทรัพยากรขององค์กร เพิ่มปริมาณ ความซับซ้อน และขนาดอย่างต่อเนื่อง อัตราความสำเร็จสูงของการโจมตีเหล่านี้ ในรูปแบบของการยึดครองบัญชี การเข้าถึงระยะไกลที่เป็นอันตราย หรือ การเคลื่อนไหวด้านข้างเปิดเผยจุดอ่อนโดยธรรมชาติที่ยังคงมีอยู่ในปัจจุบัน การป้องกันตัวตน แนวทางแก้ไขและแนวทางปฏิบัติ ในโพสต์นี้ ฉันจะทบทวนเหตุผลของสิ่งนี้และแนะนำแนวคิดใหม่: การป้องกันตัวตนแบบครบวงจร ที่สร้างขึ้นโดยมีวัตถุประสงค์ การป้องกันตัวตนแบบครบวงจร แพลตฟอร์มสามารถปิดช่องว่างการปกป้องข้อมูลประจำตัวที่มีอยู่ และทำให้องค์กรต่างๆ กลับมาเป็นฝ่ายเหนือกว่าจากการโจมตีข้อมูลประจำตัว

การโจมตีตามข้อมูลประจำตัวคืออะไร?

การโจมตีใด ๆ ที่ใช้ข้อมูลประจำตัวที่ถูกบุกรุกเพื่อเข้าถึงทรัพยากรขององค์กร ในระบบคลาวด์หรือภายในองค์กร ถือเป็นการโจมตีตามข้อมูลประจำตัว ให้เป็นไปตาม 'รายงานการสอบสวนการละเมิดข้อมูลของ Verizon ประจำปี 2020' ข้อมูลประจำตัวที่ถูกขโมยหรือถูกบุกรุกมีส่วนเกี่ยวข้องกับการละเมิดข้อมูลมากกว่า 80% และ 77% ของการละเมิดระบบคลาวด์ อย่างไรก็ตาม การโจมตีตามข้อมูลประจำตัวไม่ได้ใช้เพียงเพื่อเข้าถึงเครือข่ายในเบื้องต้นเท่านั้น พวกเขายังใช้สำหรับความก้าวหน้าภายในเครือข่ายด้วย

เครือข่ายไฮบริดระดับองค์กรสมัยใหม่แนะนำมากมาย การโจมตีตัวตน เวกเตอร์ที่ผู้โจมตีกำหนดเป้าหมายในสองขั้นตอนหลัก:

• การเข้าถึงครั้งแรก: การเข้าถึงแอป SaaS และ IaaS ที่เป็นอันตรายในระบบคลาวด์สาธารณะ ตลอดจนเจาะขอบเขตองค์กรผ่านการเชื่อมต่อระยะไกล VPN หรือ RDP ที่ถูกบุกรุก
• การเคลื่อนไหวด้านข้าง: ติดตามการละเมิดครั้งแรกเพื่อก้าวจากสินทรัพย์หนึ่งไปยังอีกสินทรัพย์หนึ่งโดยใช้ข้อมูลประจำตัวที่ถูกบุกรุกเพื่อพัฒนาการโจมตี การเคลื่อนไหวด้านข้าง ประเภทนี้ปรากฏในทั้ง Advanced Persistent Threats (APT) เช่นเดียวกับการแพร่กระจายของมัลแวร์อัตโนมัติหรือแรนซัมแวร์

องค์กรต่างๆ จำเป็นต้องป้องกันการใช้ข้อมูลประจำตัวที่ถูกบุกรุก ไม่เพียงแต่เพื่อละเมิดขอบเขตเท่านั้น แต่ยังต้องป้องกันไม่ให้มีการพยายามใช้ข้อมูลดังกล่าวเพื่อการเคลื่อนไหวด้านข้างอีกด้วย Unified Identity Protection ซึ่งขยายออกไปนอกขอบเขตเพื่อรักษาความปลอดภัยการใช้ข้อมูลรับรองภายในเครือข่ายเอง สามารถทำได้

ช่องว่างของการปกป้องข้อมูลประจำตัวในองค์กรปัจจุบัน

องค์กรในปัจจุบันขาดแคลนทั้งสองอย่าง การตรวจสอบ การรับรองความถูกต้องของผู้ใช้ทำให้เกิดความเสี่ยงหรือไม่ และ การป้องกัน ความพยายามในการตรวจสอบสิทธิ์ที่เป็นอันตราย.

พื้นที่ ช่องว่างการตรวจจับ เกิดจากการที่องค์กรทุกวันนี้ใช้ Identity ที่หลากหลายและ โซลูชันการจัดการการเข้าถึง (IAM) ข้ามเครือข่ายไฮบริด องค์กรทั่วไปใช้ไดเร็กทอรีภายในองค์กรเป็นอย่างน้อย เช่น Active Directory, Cloud IdP สำหรับเว็บแอปพลิเคชันสมัยใหม่, VPN สำหรับการเข้าถึงเครือข่ายระยะไกล และ PAM สำหรับ การจัดการการเข้าถึงแบบมีสิทธิพิเศษ. ไม่มีโซลูชันเดียวที่จะตรวจสอบและวิเคราะห์กิจกรรมการรับรองความถูกต้องของผู้ใช้ทั้งหมดในทุกทรัพยากรและสภาพแวดล้อม สิ่งนี้ช่วยลดความสามารถในการทำความเข้าใจบริบททั้งหมดของความพยายามในการเข้าถึงแต่ละครั้งและระบุความผิดปกติที่อาจบ่งบอกถึงพฤติกรรมที่เสี่ยงหรือการใช้ข้อมูลรับรองที่ถูกบุกรุกในทางที่ผิด

พื้นที่ ช่องว่างในการป้องกัน เป็นผลมาจากความจริงที่ว่าการควบคุมความปลอดภัยของ IAM ที่จำเป็น เช่น Multi-Factor Authentication (MFA) การรับรองความถูกต้องตามความเสี่ยง (RBA) และการบังคับใช้การเข้าถึงแบบมีเงื่อนไข- ไม่ได้ให้ความคุ้มครองทรัพยากรขององค์กรทั้งหมด ทิ้งช่องว่างด้านความปลอดภัยที่สำคัญไว้  ส่งผลให้ทรัพย์สินและทรัพยากรจำนวนมากยังคงไม่ได้รับการป้องกัน รวมถึงแอปที่เป็นกรรมสิทธิ์และผลิตเอง โครงสร้างพื้นฐานด้านไอที ฐานข้อมูล การแชร์ไฟล์ เครื่องมือบรรทัดคำสั่ง ระบบอุตสาหกรรม และทรัพย์สินที่ละเอียดอ่อนอื่นๆ อีกมากมายที่สามารถกลายเป็นเป้าหมายหลักสำหรับผู้โจมตีได้ สินทรัพย์เหล่านี้ยังคงใช้กลไกที่ใช้รหัสผ่านและโปรโตคอลรุ่นเก่าซึ่งไม่สามารถป้องกันได้ด้วยโซลูชันที่ใช้เอเจนต์หรือพร็อกซีในปัจจุบัน เพราะส่วนใหญ่ โซลูชันการรักษาความปลอดภัยของ IAM ไม่สามารถรวมเข้ากับโปรโตคอลเหล่านี้ได้ หรือไม่รองรับโปรโตคอล

เมื่อเราพิจารณาสินทรัพย์ต่างๆ ทั้งหมดในเครือข่ายองค์กรแบบไฮบริด และวิธีที่เป็นไปได้ทั้งหมดในการเข้าถึงสินทรัพย์แต่ละรายการ เห็นได้ชัดว่าการป้องกันเพียงไม่กี่รายการนั้นไม่เพียงพอ ระบบที่ไม่มีการป้องกันใด ๆ จะทำให้เกิดช่องว่างที่สามารถเปิดใช้การละเมิดข้อมูลได้ อย่างไรก็ตาม การปกป้องระบบขององค์กรทั้งหมดทีละระบบโดยใช้ตัวแทนซอฟต์แวร์ พร็อกซี และ SDK นั้นไม่สามารถทำได้จริงอีกต่อไป ซึ่งหมายความว่าปัจจุบันไม่มีโซลูชันการรักษาความปลอดภัยของ IAM วิธีที่มีประสิทธิภาพในการป้องกันการใช้ข้อมูลประจำตัวที่ถูกบุกรุกเพื่อการเข้าถึงที่เป็นอันตรายและการเคลื่อนไหวด้านข้าง.

Unified Identity Protection สามารถจัดการกับช่องว่างเหล่านี้ได้อย่างไร?

Unified Identity Protection รวมเข้าด้วยกัน AMI การควบคุมความปลอดภัยเพื่อเผชิญหน้ากับเวกเตอร์การโจมตีข้อมูลประจำตัวจำนวนมาก และขยายไปยังผู้ใช้ระดับองค์กร สินทรัพย์ และสภาพแวดล้อมทั้งหมด เพื่อจัดการกับเวกเตอร์ภัยคุกคามตามข้อมูลประจำตัวและเอาชนะช่องว่างการตรวจจับและการป้องกันที่อธิบายไว้ในส่วนก่อนหน้า Unified Identity Protection ควรตั้งอยู่บนเสาหลักต่อไปนี้:

1. การตรวจสอบแบบครบวงจรอย่างต่อเนื่องของ คำขอการเข้าถึงทั้งหมด: เพื่อให้มองเห็นได้เต็มที่และเปิดใช้งานได้อย่างแม่นยำ การวิเคราะห์ความเสี่ยงจำเป็นต้องมีการตรวจสอบแบบองค์รวมอย่างต่อเนื่องของคำขอการเข้าถึงทั้งหมดในทุกโปรโตคอลการตรวจสอบสิทธิ์ ทั้งการเข้าถึงแบบผู้ใช้ถึงเครื่องและการเข้าถึงแบบเครื่องต่อเครื่อง และทั่วทั้งทรัพยากรและสภาพแวดล้อมทั้งหมด ซึ่งรวมถึงความพยายามในการเข้าถึงทุกครั้ง ไม่ว่าจะเป็นเอ็นด์พอยต์ ปริมาณงานบนคลาวด์ แอปพลิเคชัน SaaS เซิร์ฟเวอร์ไฟล์ภายในองค์กร แอปพลิเคชันธุรกิจรุ่นเก่า หรือทรัพยากรอื่นๆ ข้อมูลการมอนิเตอร์ทั้งหมดควรถูกรวมเข้าไว้ในที่เก็บข้อมูลแบบรวมเพื่อให้สามารถวิเคราะห์เพิ่มเติมได้ พื้นที่เก็บข้อมูลดังกล่าวสามารถช่วยให้องค์กรต่าง ๆ เอาชนะปัญหาโดยธรรมชาติของไซโล IAM และเปิดใช้งานการตรวจจับและวิเคราะห์ภัยคุกคาม
2. การวิเคราะห์ความเสี่ยงตามเวลาจริงสำหรับการเข้าถึงแต่ละครั้ง:
   ในการตรวจจับและตอบสนองต่อภัยคุกคามอย่างมีประสิทธิภาพ จำเป็นต้องวิเคราะห์คำขอการเข้าถึงแต่ละรายการเพื่อทำความเข้าใจบริบทแบบเรียลไทม์ สิ่งนี้ต้องการความสามารถในการวิเคราะห์พฤติกรรมโดยรวมของผู้ใช้ กล่าวคือ การรับรองความถูกต้องทั้งหมดที่ผู้ใช้ดำเนินการผ่านเครือข่าย คลาวด์ หรือทรัพยากรภายในองค์กร ไม่เพียงแต่ในการเข้าสู่ระบบเครือข่ายครั้งแรก แต่ยังรวมถึงการเข้าสู่ระบบเพิ่มเติมภายในสภาพแวดล้อมเหล่านี้ด้วย บริบทนี้ช่วยให้สามารถวิเคราะห์ความเสี่ยงตามเวลาจริงที่มีความแม่นยำสูง ซึ่งให้บริบทที่จำเป็นในการพิจารณาว่าข้อมูลรับรองที่ให้มาอาจถูกบุกรุกหรือไม่
3. การบังคับใช้ของ การรับรองความถูกต้องแบบปรับตัว และนโยบายการเข้าถึงเกี่ยวกับความพยายามในการเข้าถึงทั้งหมด
   ในการบังคับใช้การป้องกันตามเวลาจริง จำเป็นต้องขยายการควบคุมความปลอดภัย เช่น ไอ้เวรตะไลการตรวจสอบสิทธิ์ตามความเสี่ยงและการเข้าถึงแบบมีเงื่อนไขไปยังทรัพยากรขององค์กรทั้งหมดในทุกสภาพแวดล้อม ดังที่เราได้อธิบายไปก่อนหน้านี้ การนำระบบป้องกันทีละระบบไปใช้จริงนั้นไม่สามารถทำได้จริง นี่เป็นเพราะธรรมชาติแบบไดนามิกของสภาพแวดล้อมสมัยใหม่ ซึ่งจะทำให้กลายเป็นงานที่ไม่มีวันจบสิ้น และความจริงที่ว่าทรัพย์สินจำนวนมากไม่ครอบคลุมโดยโซลูชันการรักษาความปลอดภัย IAM ที่มีอยู่ เพื่อทำให้ทั้งหมดนี้บรรลุผลสำเร็จสำหรับองค์กร ควรใช้การควบคุมเหล่านี้โดยไม่ต้องรวมเข้ากับอุปกรณ์ เซิร์ฟเวอร์ และแอปพลิเคชันต่างๆ แต่ละเครื่องโดยตรง และไม่ต้องมีการเปลี่ยนแปลงสถาปัตยกรรมครั้งใหญ่ จำเป็นต้องมีวิธีการบังคับใช้การป้องกันอย่างราบรื่นในแบบองค์รวมและเป็นหนึ่งเดียว

การรวมการป้องกันข้อมูลประจำตัวแบบรวมเข้ากับโซลูชัน IAM ที่มีอยู่

สิ่งสำคัญคือต้องชี้แจงว่า Unified Identity Protection ไม่ได้แทนที่ที่มีอยู่ โซลูชัน IAM. แต่จะรวมความสามารถด้านความปลอดภัยและขยายความครอบคลุมไปยังสินทรัพย์ทั้งหมด รวมถึงสินทรัพย์ที่ไม่ได้รองรับ เพื่อให้แน่ใจว่าองค์กรสามารถจัดการและปกป้องทรัพยากรขององค์กรทั้งหมดในทุกสภาพแวดล้อมด้วยนโยบายและการมองเห็นที่เป็นหนึ่งเดียว

เกี่ยวกับเรา Silverfortแพลตฟอร์มการป้องกันข้อมูลประจำตัวแบบครบวงจร 

Silverfort ขณะนี้มีแพลตฟอร์ม Unified Identity Protection Platform แรกที่ปิดทั้งช่องว่างการตรวจจับและการป้องกัน และป้องกันการโจมตีข้อมูลประจำตัวที่หลากหลายซึ่งกำหนดเป้าหมายไปยังองค์กรสมัยใหม่ การใช้สถาปัตยกรรมที่ไม่ใช้เอเจนต์และพร็อกซีที่ไม่เหมือนใคร Silverfort ตรวจสอบคำขอการเข้าถึงทั้งหมดของทั้งผู้ใช้และบัญชีบริการในทุกสินทรัพย์และสภาพแวดล้อม ขยายนโยบายการวิเคราะห์ตามความเสี่ยงที่มีความแม่นยำสูง การเข้าถึงแบบมีเงื่อนไข และการตรวจสอบหลายปัจจัยเพื่อครอบคลุมทรัพยากรทั้งหมดในสภาพแวดล้อมแบบไฮบริดขององค์กร เนื่องจากสถาปัตยกรรมแบบไม่ใช้ตัวแทนและไร้พร็อกซี Silverfort ยังสามารถขยายการป้องกันเหล่านี้ไปยังสินทรัพย์ที่ไม่เคยได้รับการปกป้องมาก่อน เพื่อให้แน่ใจว่าไม่มีระบบใดที่ไม่ได้รับการป้องกัน

วิดีโอสั้นๆ นี้จะอธิบายถึงกรณีการใช้งานที่สำคัญ Silverfortที่อยู่ของ Unified Identity Protection Platform:

ต้องการเรียนรู้เพิ่มเติมหรือดูการสาธิตหรือไม่ กำหนดการประชุมกับหนึ่งในผู้เชี่ยวชาญของเรา โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม.