ในช่วงแปดปีที่ผ่านมา ฉันต้องเผชิญกับความท้าทายที่ไม่เหมือนใครในการสร้างและพัฒนาโปรแกรม Identity and Access Management (IAM) ตั้งแต่พื้นฐานให้กับผู้ค้าปลีกข้ามชาติขนาดใหญ่ที่มีสภาพแวดล้อมแบบไฮบริดที่ซับซ้อนอย่างยิ่ง ในวันแรก มีเพียงฉัน แล็ปท็อป และความท้าทายมากมาย ขนาดนั้นมหาศาลมาก มีแอปพลิเคชันธุรกิจหลายพันแอปพลิเคชัน เซิร์ฟเวอร์หลายหมื่นเครื่อง พนักงานเกือบครึ่งล้านคนทั่วโลก และอีกมากมาย พื้นผิวการโจมตี เพื่อรักษาความปลอดภัยด้วยทรัพยากรที่มีจำกัด แม้เราจะพยายามอย่างเต็มที่ แต่เราก็พบความเสี่ยงด้านความปลอดภัยใหม่ๆ อยู่เสมอ ซึ่งเน้นย้ำถึงลักษณะที่เปลี่ยนแปลงตลอดเวลาของเรา ความปลอดภัยของข้อมูลประจำตัว.
สร้างรากฐาน IAM ที่แข็งแกร่ง
การปราศจากกฎระเบียบที่เข้มงวดทำให้ฉันและทีมสามารถออกแบบได้ AMI โปรแกรมที่ปรับให้เหมาะกับความต้องการด้านความปลอดภัยเฉพาะของเรา เรามุ่งมั่นที่จะสร้างรากฐานของโปรแกรม IAM ที่ประสบความสำเร็จ ซึ่งก็คือการจัดการการเข้าถึงที่แข็งแกร่งและอัตโนมัติสูงสำหรับบัญชีหลายล้านบัญชีและสิทธิ์การเข้าถึงของพวกเขาซึ่งมีรากฐานมาจากรายการข้อมูลประจำตัวที่ครอบคลุม เราได้นำระบบลงชื่อเข้าใช้ครั้งเดียว (SSO) ที่ได้รับการปกป้องด้วย การตรวจสอบหลายปัจจัย (MFA) สำหรับแอปพลิเคชันหลายร้อยรายการและพัฒนาเทคโนโลยีสำหรับการรีเซ็ตรหัสผ่านอย่างปลอดภัยซึ่งเชื่อมโยงอย่างลึกซึ้งกับกระบวนการ HR
แม้จะพยายามแล้ว แต่เราก็ยังรู้สึกไม่สบายใจอย่างเต็มที่ ดูเหมือนว่าเราจะพบความเสี่ยงใหม่ๆ เบื้องหลังประตูทุกบานที่เราเปิดออก ความปลอดภัยของข้อมูลประจำตัวดูเหมือนวัฏจักรที่ไม่มีวันจบสิ้นในการอุดช่องโหว่ในขณะที่ช่องโหว่ใหม่ๆ ปรากฏขึ้น เมื่อพิจารณาถึงความซับซ้อนของสภาพแวดล้อมไอทีสมัยใหม่ บัญชีที่ดูเหมือนจะไม่มีอันตรายที่สุดก็อาจกลายเป็นจุดเข้าใช้งานของผู้โจมตีได้
จากประสบการณ์นี้ ฉันได้พัฒนาหลักปฏิบัติหลักหนึ่งขึ้นมา: ความปลอดภัยเป็นเกมของพื้นที่และเวลา เป้าหมายไม่ได้อยู่ที่การนำระบบรักษาความปลอดภัยไปใช้อย่างค่อยเป็นค่อยไป แต่เป็นการลงทุนเชิงกลยุทธ์ในโซลูชันที่บรรเทาความเสี่ยงหลายๆ อย่างในคราวเดียว ช่วยให้ทีมงานด้านความปลอดภัยอยู่เหนือภัยคุกคามโดยไม่ต้องจมอยู่กับความซับซ้อน
การสร้างพื้นที่และเวลา
การปรับปรุงความปลอดภัยแบบเดิมมักเกี่ยวข้องกับขั้นตอนเล็กๆ น้อยๆ ที่แต่ละขั้นตอนต้องใช้เวลาและทรัพยากรจำนวนมาก ในขณะที่แก้ไขปัญหาได้เพียงเล็กน้อยเท่านั้น ตัวอย่างเช่น การใช้ SSO หรือการนำ Identity Governance and Administration (IGA) มาใช้กับแอปพลิเคชันทางธุรกิจ ไม่มีความคิดริเริ่มใดๆ ที่จะลดความเสี่ยงด้านการระบุตัวตนให้อยู่ในระดับที่ยอมรับได้ ในแต่ละกรณี ความคิดริเริ่มเหล่านี้จะถูกนำไปใช้ทีละเล็กทีละน้อยโดยไม่ได้รับผลประโยชน์ในวงกว้างใดๆ และทั้งหมดต้องใช้เวลาและทรัพยากรจำนวนมากในการนำไปใช้
ความท้าทายของฉันคือการค้นหาการลงทุนที่เหมาะสมเพื่อป้องกันไม่ให้ทีมของฉันต้องทำงานที่ซับซ้อน ต้องใช้เทคนิคขั้นสูง และต้องทำงานทีละส่วนอย่างเปิดเผยในขณะที่ต้องทำงานโดยมีความเสี่ยงต่อตัวตนในระดับที่ยอมรับไม่ได้ เราจำเป็นต้องเปลี่ยนโฟกัสจากกรณีการใช้งานแต่ละกรณีและการแก้ไขทีละส่วนไปที่การลงทุนที่สามารถแก้ไขปัญหาเฉพาะเจาะจงได้ พร้อมทั้งให้ขอบเขตการป้องกันและความสามารถในการปรับขนาดที่กว้างขวาง กล่าวอีกนัยหนึ่งก็คือ การลงทุนที่สร้างพื้นที่และเวลาให้กับทีมของเรา
คำถามคือ: เราจะรักษาข้อมูลประจำตัวให้ปลอดภัยได้อย่างรวดเร็วโดยไม่หลงทางไปกับความซับซ้อนได้อย่างไร?
เพื่อตอบคำถามนี้ ฉันคิดว่าคุณต้องใช้ แนวทางสามส่วน เพื่อให้ได้รับการปกป้องความปลอดภัยข้อมูลประจำตัวที่สมบูรณ์ทั่วทั้งองค์กรของคุณ
เกมแห่งเพดานและพื้น: ยกระดับมาตรฐานความปลอดภัย
ในฐานะแฟนกีฬาตัวยง ฉันมักจะเปรียบเทียบระหว่างความมั่นคงของตัวตนกับกีฬาประเภททีม ในด้านกีฬา ความสำเร็จของทีมมักไม่ได้ถูกกำหนดโดยผู้เล่นที่ดีที่สุด แต่ขึ้นอยู่กับผลงานของผู้เล่นที่อ่อนแอที่สุดต่างหาก "เพดาน" ของผู้เล่นแสดงถึงผลงานที่มีศักยภาพสูงสุด ในขณะที่ "พื้น" แสดงถึงผลงานที่แย่ที่สุดของพวกเขา
การรักษาความปลอดภัยข้อมูลประจำตัวปฏิบัติตามหลักการเดียวกัน นั่นคือ องค์กรต้องเพิ่มระดับความปลอดภัยขั้นต่ำก่อนจึงจะตั้งเป้าหมายให้ถึงระดับสูงสุดได้ ดังนั้น แทนที่จะมุ่งเน้นเฉพาะการป้องกันขั้นสูงสำหรับระบบที่เลือกเท่านั้น ลำดับความสำคัญควรเป็นการสร้างความปลอดภัยพื้นฐานที่ครอบคลุมซึ่งจัดการกับเวกเตอร์การโจมตีทั่วไปและความเสี่ยงด้านความปลอดภัย
ในทางปฏิบัติ หมายความว่า ต้องใช้การควบคุมความปลอดภัยที่เข้มงวด และต้องแน่ใจว่าทุกคนปฏิบัติตามแนวปฏิบัติที่ดีที่สุดของ IAM ที่ทันสมัย บัญชีผู้ใช้ และทรัพยากรภายในองค์กร โดยการกำหนดพื้นฐานนี้ องค์กรจะสร้างรากฐานที่ยืดหยุ่นซึ่งช่วยลดภัยคุกคามที่สำคัญที่สุดและลดความเสี่ยงโดยรวม
ผู้นำด้านความปลอดภัยจะสามารถเน้นที่การเพิ่มระดับความปลอดภัยด้วยการป้องกันขั้นสูงได้ก็ต่อเมื่อสร้างมาตรฐานการป้องกันพื้นฐานนี้แล้วเท่านั้น ดังนั้น การลงทุนด้านความปลอดภัยที่มีความเสี่ยงหลายรายการพร้อมกันจึงจะช่วยเพิ่มผลตอบแทนจากการลงทุนได้หลายเท่า
การให้ความสำคัญกับความปลอดภัยพื้นฐานที่ครอบคลุมและใช้ประโยชน์จากการลงทุนที่ให้ประโยชน์หลายประการ องค์กรสามารถสร้างกลยุทธ์ด้านความปลอดภัยที่ครอบคลุมและปรับขนาดได้ แนวทางนี้ช่วยให้มั่นใจได้ว่าบัญชีใดๆ ไม่ว่าจะ "ไม่สำคัญ" เพียงใดก็ไม่สามารถถูกบุกรุกได้ และองค์กรทั้งหมดจะได้รับการปกป้องที่ดีขึ้นจากภัยคุกคามที่เปลี่ยนแปลงไป
การใช้ประโยชน์ให้เป็นประโยชน์ต่อคุณ
การลงทุนในหลักทรัพย์ไม่ได้ให้ผลตอบแทนเท่ากันเสมอไป การควบคุมบางอย่างช่วยแก้ปัญหาเฉพาะหน้าได้ ในขณะที่การควบคุมบางอย่างช่วยสร้างประโยชน์จากการลดความเสี่ยงที่เกี่ยวข้อง การลงทุนที่มีเลเวอเรจสูงจะให้ผลตอบแทนหลายเท่า ทำให้ไม่ต้องรีบแก้ไขปัญหาที่เกี่ยวข้อง
จากประสบการณ์ของฉัน การปกป้องการรับรองความถูกต้องของเซิร์ฟเวอร์ทั้งหมดด้วย MFA หรือการจำกัดการใช้งาน (เช่น การจำกัด บัญชีบริการ ตามแหล่งที่มาและปลายทาง) ช่วยบรรเทาความเสี่ยงที่เกี่ยวข้องกับรหัสผ่านและการจัดการการเข้าถึง รหัสผ่านคุณภาพต่ำ ความไม่แน่นอนเกี่ยวกับที่จัดเก็บหรือเขียนรหัสผ่านของคุณ การขาดการหมุนเวียนสำหรับ ตัวตนที่ไม่ใช่มนุษย์และความกังวลเกี่ยวกับบัญชีที่มีสิทธิพิเศษเกินความจำเป็น ทั้งหมดนี้จะเป็นปัญหาที่เร่งด่วนน้อยกว่าที่จะต้องแก้ไข หากคุณมีการป้องกันการตรวจสอบสิทธิ์ที่เหมาะสม
อีกด้านหนึ่ง การป้องกันไม่ให้มีการจัดเก็บรหัสผ่านอย่างไม่ปลอดภัยเป็นปัญหาที่ค่อยเป็นค่อยไปและยากลำบาก ซึ่งไม่สามารถแก้ไขได้ด้วยวิธีการใดๆ รหัสผ่านอาจพบได้ในไฟล์บนคอมพิวเตอร์ ในบัญชีที่เก็บข้อมูลบนคลาวด์ ในไฟล์ที่แชร์ ฯลฯ การแก้ไขปัญหานี้เพียงอย่างเดียวต้องใช้ความพยายามอย่างมาก และไม่ได้บรรเทาความเสี่ยงอื่นๆ ที่กดดันเท่าๆ กัน แม้ว่าจะจัดเก็บรหัสผ่านไว้อย่างปลอดภัยแล้วก็ตาม แต่รหัสผ่านก็ยังคงมีความเสี่ยงหากมีคุณภาพต่ำ
การค้นหาการลงทุนที่ใช้ประโยชน์จากเลเวอเรจจะช่วยลดความเร่งด่วนของความเสี่ยงด้านเทคนิคที่ต้องดำเนินการ และยังซื้อพื้นที่และเวลาให้กับทีมของคุณในการสร้างเพดานความปลอดภัยอีกด้วย
เรื่องของการป้องกันที่กว้างขวาง
มีเรื่องราวอันโด่งดังจากการฝึกซ้อมของทีมแดงที่แสดงให้เห็นประเด็นสำคัญประการหนึ่ง: เพื่อเจาะเข้าไปในศูนย์ข้อมูลที่มีความปลอดภัยสูง แฮกเกอร์ที่มีจริยธรรมได้พบประตูที่แข็งแรงและควบคุมการเข้าถึงได้ แทนที่จะพยายามเลี่ยงผ่านประตู พวกเขากลับวิ่งผ่านผนังยิปซัมบอร์ดที่อยู่ติดกับประตู
เรื่องนี้ทำให้ฉันคิดได้ว่าผู้โจมตีก็เหมือนกับน้ำ พวกเขาจะหาจุดต่ำสุดได้เสมอ ศัตรูจะหันไปหาสิ่งที่อยู่ต่ำกว่าหากองค์กรจำกัดความพยายามด้านความปลอดภัยให้เหลือเพียงระบบหรือบัญชีจำนวนจำกัด การโจมตีทางไซเบอร์ส่วนใหญ่มักมีแรงจูงใจทางการเงินและแสวงหาโอกาส ไม่ใช่เรื่องส่วนตัว
เมื่อพิจารณาถึงความซับซ้อนและการเชื่อมโยงของระบบในปัจจุบัน เราไม่สามารถสรุปได้ว่าบัญชีใดๆ ไม่ว่าจะดูปลอดภัยเพียงใด จะปลอดภัยหรือมีความสำคัญต่ำเกินไปสำหรับการปกป้อง กุญแจสำคัญของการปรับขนาดคือการประเมินการลงทุนว่าปรับขนาดได้ง่ายเพียงใด
แพลตฟอร์มที่เปิดใช้งานระนาบการควบคุมที่จัดการได้ง่ายนั้นสามารถปรับขนาดได้ดีกว่าการควบคุมแบบกระจายศูนย์ที่เพิ่มขึ้น การควบคุมความปลอดภัยที่เข้มงวดซึ่งไม่สามารถนำไปใช้ในระดับขนาดใหญ่ได้นั้นสร้างรากฐานที่อ่อนแอ เพื่อให้บรรลุถึงความสามารถในการปรับขนาด จำเป็นต้องใช้แนวทางที่ครอบคลุมเพื่อปิดช่องว่างเหล่านี้อย่างมีประสิทธิภาพ
แนวทางที่สมดุลสำหรับการรักษาความปลอดภัยของข้อมูลประจำตัว
ผู้นำด้านการรักษาความปลอดภัยข้อมูลประจำตัวมีบทบาทที่ซับซ้อนและต้องรับผิดชอบสูง การสร้างฐานความปลอดภัยที่กว้างขวางพร้อมทั้งให้ความสำคัญกับการลงทุนเพื่อซื้อพื้นที่และเวลาให้กับทีมของคุณอาจช่วยได้ การสร้างสมดุลระหว่างวิธีคิดนี้กับข้อกำหนดการปฏิบัติตามซึ่งโดยธรรมชาติแล้วสนับสนุนการสร้างเพดานความปลอดภัยที่สูงอย่างเลือกเฟ้น จะช่วยปกป้องสิ่งแวดล้อมของคุณได้มากขึ้น ในความเป็นจริง ฉันเชื่อว่าการสร้างสมดุลนี้เป็นวิธีที่ดีที่สุดในการปกป้องสิ่งแวดล้อมของคุณ เพียง วิธีการที่มีประสิทธิผลในการลดความเสี่ยงในสภาพแวดล้อมในปัจจุบัน
สิ่งสำคัญคือต้องให้ความสำคัญกับการลงทุนที่ให้ประโยชน์ ความครอบคลุมที่กว้างขวาง และการควบคุมแบบรวมศูนย์เพื่อลดความเสี่ยงในระดับขนาดใหญ่ การคำนึงถึงหลักการเหล่านี้จะช่วยให้องค์กรต่างๆ สามารถรักษาความปลอดภัยของข้อมูลประจำตัวได้อย่างมีประสิทธิภาพและก้าวล้ำหน้าภัยคุกคามที่เปลี่ยนแปลงไปโดยไม่ต้องจมอยู่กับความซับซ้อน
สำหรับผู้นำด้านความปลอดภัย ความท้าทายคือการสร้างรากฐานที่แข็งแกร่ง ลงทุนในโซลูชันความปลอดภัยที่ปรับขนาดได้ และตรวจสอบให้แน่ใจว่าความพยายามด้านความปลอดภัยของคุณซื้อเวลาและพื้นที่ที่จำเป็นเพื่อให้ก้าวล้ำหน้าเหนือภูมิทัศน์ของภัยคุกคามด้านข้อมูลประจำตัว
