ความรับผิดชอบร่วมกัน ผลลัพธ์ร่วมกัน: ทีม IAM และ Security ประสานงานกันอย่างไรตั้งแต่ AD ไปจนถึง AI

รูปแบบการเป็นเจ้าของอัตลักษณ์ของ RACI นั้นพังทลายลงอย่างสิ้นเชิง ถึงเวลาที่ต้องเปลี่ยนแปลงแล้ว
Silverfort ภาพ
ภาพประกอบบทความจากบล็อกของ Eric Haller
สารบัญ

แบ่งปันโพสต์นี้:

โลกที่รวมโดเมนแบบดั้งเดิมของ Active Directory (ค.ศ. ) ได้ชนเข้ากับระเบิดของ บริการคลาวด์แอป SaaS, อัตลักษณ์ที่ไม่ใช่มนุษย์ (ประกันสุขภาพแห่งชาติ) และแบบอัตโนมัติ ตัวแทน AIทำให้เกิดพื้นผิวการโจมตีที่กว้างใหญ่ – แต่บ่อยครั้งก็มองไม่เห็น 

สิ่งที่เคยเป็นปราสาทที่มีตั๋ว Kerberos ที่ได้รับการปรับปรุงอย่างดี ตอนนี้กลายเป็นป่าที่ขับเคลื่อนด้วย AI ของการกระจายโทเค็น บัญชีบริการที่จัดเตรียมไว้เกินความจำเป็น และ การเคลื่อนไหวด้านข้าง ที่ความเร็วเครื่อง 

แต่ความจริงก็คือ แม้ว่าสิ่งที่เรียกว่า "อัตลักษณ์" จะพัฒนาไปอย่างต่อเนื่อง แต่หลายองค์กรก็ยังคงเผชิญกับความท้าทายพื้นฐานที่มีมาตั้งแต่ต้นทศวรรษ 2000 นั่นแหละ ฉันกำลังพูดถึงมรดก Active Directory.  

ในขณะที่ CISOs เดินหน้าสนทนาเกี่ยวกับการนำ AI มาใช้อย่างปลอดภัยกับ C-Suite ที่เหลือ CIO และ AMI ทีมงานยังคงดำเนินงานอย่างเงียบๆ ในเบื้องหลัง โดยมุ่งเน้นที่วิธีการรองรับความต้องการทางธุรกิจและความสามารถในการทำงานร่วมกันที่มีอยู่โดยไม่คำนึงว่าโครงสร้างพื้นฐานแบบใดที่ทำให้บริษัทดำเนินต่อไปได้

IAM != ความปลอดภัยของข้อมูลประจำตัว

มีการเข้าใจผิดอย่างชัดเจนว่าวิธีการทำงานของ IAM ในปัจจุบันเป็นแนวทางที่ดีที่สุด (หรือแนวทางเดียว) ในการลดภาระด้านความปลอดภัยเมื่อเกี่ยวข้องกับข้อมูลประจำตัว และตอนนี้เป็นเวลาที่จะต้องให้ CIO และ CISO อยู่บนหน้าเดียวกัน  

การจัดเตรียมสิทธิ์การเข้าถึงไม่ได้หมายถึงการควบคุมความเสี่ยงที่การเข้าถึงจะนำพามาด้วย นี่คือจุดที่อัตลักษณ์และความปลอดภัยมาบรรจบกัน และทำให้เกิดคำถามที่ว่า: “เฮ้ CISO คุณสบายใจกับ CIO ของคุณหรือเปล่า Active Directory “กลยุทธ์ในยุค AI คืออะไร?” 

ฉันจะยกตัวอย่าง: ทีม IAM ซิงค์ AD ในสถานที่กับ Entra ID? เจน โด ฝ่ายการตลาดเปลี่ยนรหัสผ่านของเธอ ซึ่งตอนนี้ นอกจากนี้ จากการจัดเก็บข้อมูลภายในองค์กร ได้ถูกจำลองและจัดเก็บบนคลาวด์ การประมวลผลและความปลอดภัยของข้อมูลมีความแตกต่างกันระหว่างแบบภายในองค์กรและบนคลาวด์ ดังนั้นทีมโครงสร้างพื้นฐานจึงได้ขยายขอบเขตการโจมตีขององค์กร ขณะเดียวกันก็ทำงานตามที่ควรจะเป็น 

ในส่วนที่เหลือของโพสต์นี้ เราจะสำรวจวิวัฒนาการของความเสี่ยงด้านตัวตน เหตุใดจึงเฉพาะเจาะจง ความปลอดภัยของข้อมูลประจำตัว กลยุทธ์ต้องเป็นความพยายามร่วมกันระหว่างทีมไอทีและความปลอดภัย และวิธีการดำเนินการตามขั้นตอนปฏิบัติเพื่อกำหนดเป้าหมายร่วมกันในขณะที่ยังคงรักษาการปฏิบัติตามไว้ 

ตอนนี้ Identity เป็นพื้นผิวการโจมตีอันดับ 1

Active Directory ไม่เคยถูกออกแบบมาโดยคำนึงถึง AI เรามีระบบความไว้วางใจแบบรวมศูนย์ Kerberos การรับรองและนโยบายกลุ่มสามารถกำหนดได้ง่ายเนื่องจากมีขอบเขตที่จำกัด อัตลักษณ์ส่วนใหญ่เป็นมนุษย์ และ การเพิ่มระดับสิทธิ์ ปฏิบัติตามเส้นทางด้านข้างที่คาดเดาได้ (เช่น ส่งแฮช) ความปลอดภัยปฏิบัติตามรูปแบบที่ชัดเจน ได้แก่ การเสริมความแข็งแกร่งให้กับ GPO เครือข่ายระดับ 0 และการป้องกันแบบตั๋วทอง 

แต่แล้วมา การเปลี่ยนแปลงคลาวด์และไฮบริด...

ขอบเขตถูกละลายหายไป ไฮบริดกลายเป็นบรรทัดฐาน เนื่องจากองค์กรต่างๆ ยังคงรักษาระบบ AD ภายในองค์กรสำหรับแอปพลิเคชันที่สำคัญทางธุรกิจและข้อกำหนดการปฏิบัติตามกฎระเบียบ ขณะเดียวกันก็ขยายข้อมูลประจำตัวไปยัง Entra ID or Oktaความพร้อมใช้งานของแอปพลิเคชัน SaaS ส่งผลให้ Shadow IT แพร่หลายมากกว่าที่เคย และตัวตนต่างๆ มากมายก็แพร่หลายออกไปนอกมุมมองของ SOC 

กรอไปข้างหน้าเพื่อ ตัวตนที่ไม่ใช่มนุษย์ และ AI แบบตัวแทน NHIs เช่น บัญชีบริการและคีย์ API ในปัจจุบัน มีจำนวนมากกว่าอัตลักษณ์ของมนุษย์อย่างน้อย 50:1ในขณะที่ตัวแทน AI ได้รับอนุญาตให้เข้าถึงไฟล์ ระบบการเงิน ปฏิทิน และฐานโค้ด โดยทิ้งโทเค็น ข้อมูลรับรอง และบันทึกใหม่ๆ ไว้  

ผลลัพธ์สุดท้ายคืออะไร? ตอนนี้ AD ของคุณเป็นเพียงหนึ่งในศูนย์กลางของระบบที่ขาดการเชื่อมต่อและมีการอนุญาตสิทธิ์เกินขอบเขต ความเสี่ยงด้านการระบุตัวตนมีการเปลี่ยนแปลงอยู่เสมอ คุณจึงไม่สามารถพึ่งพาแบบจำลองที่อิงตามบทบาทแบบคงที่ได้ การละเมิดข้อมูลเช่น SolarWinds ใช้ประโยชน์จากการระบุตัวตนแบบรวมศูนย์และการปลอมแปลงโทเค็น SAML ซึ่งเผยให้เห็นความจริงที่ว่าการระบุตัวตนมักจะเกิดขึ้นอย่างต่อเนื่อง มีการอนุญาตสิทธิ์เกินขอบเขต และมีการควบคุมที่ไม่ดี  

แทนที่จะใช้ "ตัวตน" เป็นแนวทางในการจัดการการเข้าถึงเพียงอย่างเดียว คุณต้องมีการประเมินความปลอดภัยอย่างต่อเนื่อง

“AD ของคุณตอนนี้เป็นเพียงหนึ่งในศูนย์กลางของระบบที่แยกจากกันและมีการอนุญาตมากเกินไป” -Eric Haller ที่ปรึกษา

ภูมิทัศน์ความเสี่ยงมีการเปลี่ยนแปลงอะไรบ้าง?

ด้วย AI และการเปลี่ยนแปลงทางดิจิทัล การใช้ข้อมูลประจำตัวจึงเปลี่ยนแปลงไป กลายเป็นการรวมศูนย์ (คลาวด์) และกลายเป็นการปลอมแปลง (AI) ดังนั้นปัญหาในการมองเห็นและการควบคุมจึงแก้ไขได้ยากขึ้น ภูมิทัศน์นี้หมายความว่า การสื่อสารและกลยุทธ์ก็ต้องเปลี่ยนแปลงเช่นกันทีม IAM ที่รับผิดชอบการจัดเตรียมโครงสร้างพื้นฐานต้องประสานงานกับทีมรักษาความปลอดภัยที่ดูแลโครงสร้างพื้นฐานนั้น และในทางกลับกัน จะไม่มีช่องว่างระหว่างกันอีกต่อไป  

ด้านล่างนี้เป็นเป้าหมายของดาวเหนือที่ต้องแบ่งปันเนื่องด้วยความเป็นจริงใหม่นี้: 

  1. รักษาสินค้าคงคลังของข้อมูลประจำตัว  
  1. ใช้ หลักการสิทธิพิเศษน้อยที่สุด 
  1. กำหนดค่าระบบจากมุมมองที่ให้ความสำคัญกับตัวตนเป็นอันดับแรก

คำแนะนำในการกำหนดเป้าหมายดาวเหนือและรายการดำเนินการที่เกี่ยวข้อง

มาดูกันว่าเป้าหมาย North Star เหล่านี้มีลักษณะอย่างไรและเหตุใดจึงสำคัญ 

ขั้นตอนที่ 1: รู้จักและจำแนกอัตลักษณ์ที่มีอยู่ 

Gartner ได้เริ่มเรียกสิ่งนี้ว่า “แพลตฟอร์มการสำรวจและการมองเห็นข้อมูลประจำตัวและข่าวกรอง (IVIP)” แต่เป็นเพียงการพูดแบบหรูหราว่าทั้งทีมระบุตัวตนและทีมรักษาความปลอดภัยควรสามารถระบุได้ว่ามีตัวตนใดบ้าง ตัวตนประเภทใด และตัวตนเหล่านั้นมีปฏิสัมพันธ์กับระบบต่างๆ รอบตัวอย่างไร ตัวอย่างในโลกแห่งความเป็นจริงคือ ทีมระบุตัวตนจัดเตรียมสิทธิ์การเข้าถึงโฟลเดอร์ใดโฟลเดอร์หนึ่งใน SharePoint และทีมรักษาความปลอดภัยสามารถมองเห็นการมีอยู่และสิทธิ์การเข้าถึงของตัวตนนั้นได้ จากความรู้เกี่ยวกับแนวปฏิบัติที่ดีที่สุดด้านความปลอดภัย ผู้จัดการฝ่ายรักษาความปลอดภัยสามารถให้คำแนะนำเกี่ยวกับสิทธิ์การเข้าถึงขั้นต่ำสุดได้หลังจากเห็นภาพรวมทั้งหมดของการเข้าถึงตัวตนในองค์กร ผู้นำฝ่ายรักษาความปลอดภัยยังสามารถให้บริบทสำคัญเกี่ยวกับช่องว่างอื่นๆ ที่มีอยู่ หรือสิทธิ์การเข้าถึงอื่นๆ ที่บัญชีอาจมีนอกเหนือจากการจัดเตรียมที่ตั้งใจไว้ สิ่งนี้นำเสนอโอกาสในการตรวจสอบและประเมินความเสี่ยงที่มักจะถูกมองข้าม โดยเฉพาะอย่างยิ่งเมื่อจำนวนตัวตนในองค์กรเพิ่มขึ้นอย่างต่อเนื่อง อีกครั้ง สิ่งนี้เป็นไปได้ก็ต่อเมื่อเรารู้ว่า อะไร ตัวตนมีอยู่ และ ความสัมพันธ์ของพวกเขาในสภาพแวดล้อมไฮบริดทั้งหมด 

กราฟแสดงเอกลักษณ์ใน Silverfortแพลตฟอร์มของ

ขั้นตอนที่ 2: ให้ความสำคัญกับเอกลักษณ์ที่มีสิทธิพิเศษทั้งหมด (ไม่ใช่เฉพาะที่ PAM รู้จักเท่านั้น)

มีโอกาสที่องค์กรของคุณจะใช้ สิทธิ์การเข้าถึงการจัดการ โซลูชั่น (PAM) ปัญหาคือ PAM ดีแค่ไหนขึ้นอยู่กับตัวตนที่มีอยู่ในระบบ สิ่งสำคัญคือต้องระบุและจัดระดับทั้งหมด บัญชีสิทธิพิเศษ โดยอิงตามกิจกรรมการตรวจสอบสิทธิ์จริง วิธีนี้จะช่วยให้คุณระบุความเสี่ยงทั่วทั้งสภาพแวดล้อม และช่วยให้ทีมรักษาความปลอดภัยสามารถนำการควบคุมการเข้าถึงแบบ Just-in-Time (JIT) มาใช้ ทีม IAM สามารถสนับสนุนในส่วนนี้ได้ด้วยการให้บริบทเพิ่มเติมเกี่ยวกับข้อมูลประจำตัวที่ได้รับสิทธิพิเศษแต่ละรายการ และรับรองความเป็นเจ้าของและเอกสารประกอบที่แข็งแกร่ง ประโยชน์อีกประการหนึ่งคือความสามารถในการแจ้งกลยุทธ์ทางวิศวกรรมการแจ้งเตือน SOC ที่แข็งแกร่งยิ่งขึ้น โดยอิงตามระดับรายละเอียดที่แบ่งปันกัน 

ขั้นตอนที่ 3: เสริมสร้างสุขอนามัยด้านความปลอดภัยพื้นฐาน

สภาพแวดล้อมที่ปลอดภัยยิ่งขึ้นยังช่วยให้จัดการและจัดเตรียมได้ง่ายขึ้นด้วย เช่น ผู้รับเหมาทีมปฏิบัติการที่เลิกงานไปเมื่อ 6 เดือนที่แล้ว พวกเขายังคงอยู่ในระบบ การตรวจสอบอย่างต่อเนื่องช่วย "ทำความสะอาด" สิ่งที่มีอยู่และ ทำไม ในรายการข้อมูลประจำตัวโดยรวม ทำให้ทีมรักษาความปลอดภัยสามารถลดขนาดข้อมูลได้ง่ายขึ้น พื้นผิวการโจมตี และทีมระบุตัวตนเพื่อจัดการระบบและแอปพลิเคชันที่ใช้งาน ยิ่งไปกว่านั้น ทั้งสองแผนกสามารถทำงานร่วมกันเพื่อประยุกต์ใช้ การเข้าถึงตามเงื่อนไขตามความเสี่ยง นโยบายและขอบเขตที่แยกส่วน เพิ่มประสิทธิภาพการทำงานร่วมกันกับไปป์ไลน์ SIEM/SOAR ที่ตรวจจับกิจกรรมที่ผิดปกติ นี่เป็นหนึ่งในข้อพิจารณาที่สำคัญที่สุดในการสร้างผลลัพธ์ร่วมกันระหว่างทีม IAM และทีมรักษาความปลอดภัย เมื่อ CIO และ CISO ทำงานร่วมกัน ก็จะสามารถนำกลยุทธ์การป้องกันแบบอัตโนมัติ เช่น การปิดการเข้าถึงของผู้รับเหมา มาใช้ก่อนที่จะเกิดการละเมิดได้ 

แผนปฏิบัติการที่เป็นไปได้ในการทำงานจากวัตถุประสงค์ร่วมกัน

หลังจากกำหนดทิศทางการดำเนินงานของคุณเรียบร้อยแล้ว ก็ถึงเวลาที่ CIO, CISO และทีม IAM และทีมรักษาความปลอดภัยของแต่ละฝ่ายจะเข้ามาพูดคุยกันในห้องเดียวกัน หัวข้อเหล่านี้ควรนำมาพูดคุยกันเพื่อ: ก) ยืนยันผลลัพธ์ที่วัดผลได้ และ ข) ระบุช่องว่างในการสื่อสารและโครงการที่ต้องแก้ไข: 

  1. แผนที่ของคุณ ระบบมงกุฎเพชร และใคร (หรืออะไร) เข้าถึงข้อมูลเหล่านั้น 
  1. ระบุ 10 อันดับตัวตนที่มีความเสี่ยงสูงสุด ขึ้นอยู่กับสิทธิพิเศษ การใช้งาน และการขยายตัว 
  1. พัฒนา คู่มือ SOAR เพื่อตรวจสอบเหตุการณ์วงจรชีวิตการระบุตัวตนที่สำคัญ เช่น การยุติการเข้าถึงที่แฝงอยู่ (หรืออื่นๆ ที่คล้ายกัน) 
  1. พันธมิตรบน วิศวกรรมการแจ้งเตือน (และการไหลของการเสริมประสิทธิภาพ/บริบท) เพื่อปรับปรุงการมองเห็น SOC ในการละเมิดบัญชี – ซึ่งจะช่วยยกระดับความรู้ของ IAM เกี่ยวกับผู้ใช้ที่ตั้งใจไว้ (เทียบกับมุมมองของฝ่ายรักษาความปลอดภัยเกี่ยวกับผู้ใช้จริง) เพื่อปรับปรุงการป้องกัน 
  1. สร้าง กระบวนการสื่อสาร เมื่อเหตุการณ์ที่ตรวจจับไม่ได้ (ความปลอดภัย) และเกิดจากความล้มเหลวในการควบคุม (IT) ซึ่งเปิดโอกาสให้มีการปรับปรุงการควบคุม (IAM) และการครอบคลุมความปลอดภัย 
  1. เริ่มใช้ MFA ตามพฤติกรรม, การตรวจจับภัยคุกคามที่คำนึงถึงตัวตนเป็นอันดับแรกและการบันทึกข้อมูลแบบละเอียด 

หากคุณควบคุมตัวตนได้ คุณก็ควบคุมห่วงโซ่การฆ่าได้

ในโลกของระบบอัตโนมัติและ AI ที่ Active Directory ยังคงขับเคลื่อนความต่อเนื่องทางธุรกิจและผลผลิตเหมือนเดิม ตัวตนคือจุดสิ้นสุดใหม่ขอบเขตใหม่ และกุญแจสู่อาณาจักรใหม่ หากคุณมองไม่เห็น แบ่งส่วน และรักษาความปลอดภัย ซึ่งเป็นความสำเร็จที่ต้องใช้ทั้ง IAM และความปลอดภัยร่วมกันจากพฤติกรรมและเป้าหมายร่วมกัน คุณพลาดไปแล้ว 

มาจริงจังกับการป้องกันข้อมูลประจำตัวรุ่นถัดไปกันเถอะ เพราะการละเมิดครั้งต่อไปจะไม่ใช่การโจมตีแบบบรูทฟอร์ซ มันจะเป็นตัวแทน AI อัตโนมัติพร้อมคีย์ API เก่า.  

เพื่อเริ่มต้นสร้างผลลัพธ์และโครงการร่วมกันระหว่าง IAM และทีมความปลอดภัย เริ่มต้นด้วยการสร้างคลังข้อมูลประจำตัวของคุณ เพื่อชี้แจงให้ทราบว่าเกิดอะไรขึ้นจริง ๆ ในสภาพแวดล้อมของคุณ 

เรากล้าที่จะผลักดันการรักษาความปลอดภัยข้อมูลประจำตัวไปไกลยิ่งขึ้น

ค้นพบสิ่งที่เป็นไปได้

ตั้งค่าการสาธิตเพื่อดู Silverfort แพลตฟอร์มการรักษาความปลอดภัยข้อมูลประจำตัวในการดำเนินการ

รับการสาธิต