10 บัญญัติแห่งการรักษาความปลอดภัยข้อมูลประจำตัว 

ปฏิญญาสมัยใหม่เพื่อปกป้องการเข้าถึงของมนุษย์และสิ่งที่ไม่ใช่มนุษย์ในโลก Zero Trust
Silverfort ภาพ
บัญญัติ 10 ประการ
สารบัญ

แบ่งปันโพสต์นี้:

ในหลายองค์กร ความปลอดภัยของข้อมูลประจำตัวยังคงถูกมองว่าเป็นหน้าที่ในการดำเนินงานมากกว่าที่จะเป็นสิ่งจำเป็นเชิงกลยุทธ์ สาเหตุหลักมาจากโปรแกรมข้อมูลประจำตัวมักมุ่งเน้นไปที่การจัดการข้อมูลประจำตัวและการเข้าถึง (AMI) — การจัดเตรียมผู้ใช้ การจัดการไดเร็กทอรี และการเปิดใช้งาน SSO

แม้ว่า IAM จะเป็นส่วนประกอบพื้นฐาน แต่ก็ไม่ได้มีความหมายเหมือนกันกับ ความปลอดภัยของข้อมูลประจำตัว.

ทีมรักษาความปลอดภัยมักคิดว่าเลเยอร์การระบุตัวตนจะมีความปลอดภัยเนื่องจากได้ติดตั้งโซลูชัน IAM ไว้แล้ว แต่ความปลอดภัยของข้อมูลประจำตัวต้องการมากกว่านั้นมาก: การมองเห็นข้อมูลประจำตัวทั้งหมด (รวมถึงข้อมูลที่ไม่ใช่มนุษย์) ทั่วทั้งสภาพแวดล้อมไฮบริด การบังคับใช้สิทธิ์ขั้นต่ำ การตรวจสอบสิทธิ์การเข้าถึงอย่างต่อเนื่อง และการตรวจจับภัยคุกคาม ข้อมูลประจำตัวที่ถูกบุกรุก.

ในขณะเดียวกัน ผู้โจมตีก็ได้ปรับตัว พวกเขาไม่ "บุกรุก" อีกต่อไป แต่กลับเข้าสู่ระบบ ใช้ข้อมูลประจำตัวที่ถูกขโมยหรือใช้ในทางที่ผิด ฉวยโอกาสการเข้าถึงที่เกินขอบเขต หรือละเมิดสิทธิ์ที่ไม่ได้รับการจัดการ บัญชีบริการ.

เพื่อตอบสนองอย่างมีประสิทธิผล ทีมงานด้านการระบุตัวตนและความปลอดภัยจะต้องคิดใหม่เกี่ยวกับความปลอดภัยของข้อมูลประจำตัวเป็นชั้นการป้องกันแบบต่อเนื่องและรวมเป็นหนึ่ง — หนึ่งเดียวที่ครอบคลุมการเข้าถึงของมนุษย์และไม่ใช่มนุษย์ ในสถานที่และบนคลาวด์ สัญญาณความเสี่ยงแบบเรียลไทม์ และระบบอัตโนมัติ

At Silverfortเราเชื่อว่าบัญญัติ 10 ประการของการรักษาความปลอดภัยข้อมูลประจำตัวเหล่านี้จะเป็นรากฐานเชิงกลยุทธ์ ไม่ว่าคุณจะเป็น CISO ที่เป็นสถาปนิก ความน่าเชื่อถือเป็นศูนย์ แบบจำลองหรือวิศวกรด้านการระบุตัวตนที่จัดการกับความเสี่ยงในแต่ละวัน บัญญัติเหล่านี้ (หรือที่เรียกว่าหลักการ) จะช่วยให้คุณพัฒนาโปรแกรมการรักษาความปลอดภัยข้อมูลประจำตัวและสร้างความไว้วางใจที่ยั่งยืนทั่วทั้งองค์กรของคุณ

คู่มือการรักษาความปลอดภัยข้อมูลประจำตัว

แผนปฏิบัติการ 5 ขั้นตอนสู่กลยุทธ์การรักษาความปลอดภัยข้อมูลประจำตัวที่ยั่งยืน

สมัครที่นี่
เพลย์บุ๊ค (1)

1. รู้จักตัวตนของคุณ (เจ้าจะต้องรู้จักตัวตนของคุณ)

ทำความเข้าใจและทำการสำรวจตัวตนทั้งหมด ทั้งของมนุษย์และไม่ใช่มนุษย์ ในสภาพแวดล้อมของคุณ

องค์กรยุคใหม่ประกอบด้วยเครือข่ายผู้ใช้ อุปกรณ์ แอปพลิเคชัน API และสคริปต์อัตโนมัติที่ซับซ้อน หากปราศจากการมองเห็นข้อมูลประจำตัวและสิทธิ์การใช้งานเหล่านี้อย่างครบถ้วน ก็เป็นไปไม่ได้ที่จะปกป้องข้อมูลเหล่านี้

ตัวอย่าง:
บริษัทแห่งหนึ่งค้นพบว่ามีบัญชีบริการมากกว่า 4,000 บัญชี ซึ่งมีเพียง 2,500 บัญชีเท่านั้นที่มีการใช้งานจริง บัญชีที่เหลือซึ่งถูกลืมเลือนมานานยังคงได้รับสิทธิ์การเข้าถึงแบบมีเอกสิทธิ์

บทเรียน:
เริ่มต้นด้วยการค้นพบ ถ้าคุณมองไม่เห็น คุณก็ไม่สามารถรักษามันไว้ได้

กราฟแสดงตัวตนและสินค้าคงคลัง

2. ยอมรับสิทธิพิเศษน้อยที่สุด (เจ้าควรยอมรับสิทธิ์เข้าถึงที่น้อยที่สุด)

ให้สิทธิ์การเข้าถึงตามที่จำเป็นขั้นต่ำ—ไม่มีอะไรเพิ่มเติม

การละเมิดจำนวนมากเกิดขึ้นเนื่องจากผู้ใช้หรือระบบยังคงมีสิทธิ์เข้าถึงที่ไม่จำเป็นอีกต่อไป หลักการสิทธิ์น้อยที่สุดจะช่วยลดความเสี่ยง การเคลื่อนไหวด้านข้าง โดยการจำกัดการเข้าถึงสิ่งที่จำเป็น ซึ่งเป็นรากฐานสำคัญของกลยุทธ์การจัดการท่าทางโดยรวมของคุณ เพื่อให้คุณสามารถค้นหาและแก้ไขการตั้งค่าที่ผิดพลาด ใช้ปัญญาประดิษฐ์ที่สัมพันธ์กันเพื่อวิเคราะห์สิทธิ์ และปรับปรุงสุขอนามัยของอัตลักษณ์โดยรวมของคุณ

ตัวอย่าง:
นักศึกษาฝึกงานได้รับสิทธิ์เข้าถึงซอร์สโค้ดขององค์กรเนื่องจากบทบาทซ้ำซ้อน แม้หลังจากออกจากบริษัทแล้ว สิทธิ์เข้าถึงนั้นยังคงใช้งานได้

บทเรียน:
ออกแบบการเข้าถึงให้เฉพาะเจาะจงตามบทบาท มีกรอบเวลา และคำนึงถึงบริบท ไม่ใช่สืบทอดหรือถาวร

3. พิสูจน์และบังคับใช้ด้วยความแข็งแกร่ง (เจ้าจะต้องพิสูจน์ด้วยความแข็งแกร่ง)

ก้าวข้ามรหัสผ่านไปสู่การรักษาความปลอดภัย การปรับตัว และ การตรวจสอบตามความเสี่ยง.

การรักษาความปลอดภัยด้วยรหัสผ่านไม่เพียงพออีกต่อไป ใช้งานการป้องกันฟิชชิ่ง การตรวจสอบหลายปัจจัย (MFA) และบังคับใช้นโยบายที่ปรับเปลี่ยนตามประเภทอุปกรณ์ ตำแหน่ง และพฤติกรรมของผู้ใช้

ตัวอย่าง:
ผู้ใช้บริการทางการเงินพยายามเข้าสู่ระบบจากอุปกรณ์ที่ไม่คุ้นเคยในต่างประเทศ ระบบจะแจ้งข้อมูลไบโอเมตริกซ์ MFA และเริ่มต้นกระบวนการอนุมัติ

บทเรียน:
มีประสิทธิภาพ การรับรอง เป็นไปอย่างราบรื่นสำหรับผู้ใช้ที่ถูกต้องตามกฎหมาย และไม่สามารถถูกโจมตีได้

4. ยอมรับการประนีประนอม (เจ้าต้องยอมรับการละเมิดและวางแผนการประนีประนอม)

ออกแบบระบบการระบุตัวตนของคุณโดยคำนึงถึงความเสี่ยง

Zero Trust สร้างขึ้นบนหลักการที่ว่าไม่ควรเชื่อถือข้อมูลประจำตัวใดๆ เลยโดยค่าเริ่มต้น ระบบจะต้องตรวจสอบข้อมูลประจำตัวและตรวจจับพฤติกรรมที่ผิดปกติอย่างต่อเนื่อง เพื่อลดระยะเวลาการรอและบรรเทาความเสียหาย

ตัวอย่าง:
มีการเผยแพร่คีย์ AWS ไปยัง GitHub โดยไม่ได้ตั้งใจ การวิเคราะห์พฤติกรรมอัตโนมัติจะตรวจจับกิจกรรมที่ผิดปกติและเพิกถอนคีย์ทันที

บทเรียน:
ถือว่าการตรวจจับและการควบคุมมีความสำคัญเท่าเทียมกับการป้องกัน

5. ควบคุมวงจรชีวิตอัตลักษณ์ (เจ้าจะต้องควบคุมวงจรชีวิตอัตลักษณ์อย่างเข้มงวด)

สร้างระบบอัตโนมัติและจัดการข้อมูลประจำตัวตั้งแต่การเริ่มต้นจนถึงการออกจากระบบ

กระบวนการระบุตัวตนด้วยตนเองนั้นช้า เสี่ยงต่อข้อผิดพลาด และมีความเสี่ยง ควรใช้ระบบอัตโนมัติเพื่อจัดสรร ปรับเปลี่ยน และเพิกถอนสิทธิ์การเข้าถึงตามการเปลี่ยนแปลงบทบาทหรือสถานะการจ้างงาน

ตัวอย่าง:
การลาออกของพนักงานจะกระตุ้นกระบวนการยกเลิกการจัดสรรอัตโนมัติ โดยเพิกถอนการเข้าถึงทั้งหมดในระบบภายในไม่กี่นาที

บทเรียน:
ความปลอดภัยขึ้นอยู่กับความแม่นยำ และความแม่นยำขึ้นอยู่กับระบบอัตโนมัติ

6. รักษาความปลอดภัยของตัวตนที่ไม่ใช่มนุษย์ (ท่านจะต้องรักษาความปลอดภัยของตัวตนที่ไม่ใช่มนุษย์อย่างเท่าเทียมกัน)

ปฏิบัติต่อบัญชีบริการ API และบ็อตด้วยความเข้มงวดเช่นเดียวกับผู้ใช้มนุษย์

ตัวตนที่ไม่ใช่มนุษย์ ปัจจุบันมีจำนวนมากกว่ามนุษย์ในหลายองค์กร องค์กรเหล่านี้มักมีสิทธิพิเศษที่สูงกว่า แต่ได้รับการกำกับดูแลน้อยกว่ามาก

ตัวอย่าง:
สคริปต์แบบเก่าจะใช้ข้อมูลประจำตัวแบบฮาร์ดโค้ดที่ไม่มีการหมุนเวียนมานานกว่าสองปี ข้อมูลประจำตัวเหล่านี้สามารถเข้าถึงฐานข้อมูลสำคัญได้

บทเรียน:
ข้อมูลประจำตัวเครื่อง เป็นเป้าหมายเช่นกัน พวกเขาต้องการการกำกับดูแล การหมุนเวียน และการมองเห็น

ความปลอดภัยของข้อมูลประจำตัวที่ไม่ใช่มนุษย์

ทุกระบบประกันสุขภาพถ้วนหน้า—อยู่ในสายตาและอยู่ภายใต้การควบคุม

  • ค้นพบ NHI ทุกอันในสภาพแวดล้อมของคุณโดยอัตโนมัติ
  • จัดทำแผนที่กิจกรรมของพวกเขาและกำหนดเส้นฐาน
  • บังคับใช้การควบคุมและกั้นรั้วกิจกรรมของพวกเขา
ทัวร์ชม
NHI Security@2x

7. ตรวจสอบการเข้าถึงอย่างต่อเนื่อง (ท่านจะต้องตรวจสอบการเข้าถึงอย่างต่อเนื่อง)

การเข้าถึงควรเป็นแบบชั่วคราวตามค่าเริ่มต้นและมีการประเมินใหม่เป็นประจำ

สิ่งที่เหมาะสมเมื่อวานนี้อาจมากเกินไปในวันนี้ ดำเนินการตรวจสอบสิทธิ์การเข้าถึง การเพิกถอนแบบไดนามิก และทริกเกอร์การตรวจสอบสิทธิ์อีกครั้ง เพื่อให้แน่ใจว่ามีเพียงผู้ใช้ที่ถูกต้องเท่านั้นที่มีสิทธิ์เข้าถึงที่ถูกต้องในเวลาที่เหมาะสม

ตัวอย่าง:
นักพัฒนาจะได้รับสิทธิ์เข้าถึงบันทึกการผลิตชั่วคราวสำหรับโครงการหนึ่งสัปดาห์ ระบบจะเพิกถอนสิทธิ์การเข้าถึงโดยอัตโนมัติหลังจากผ่านไป 7 วัน เว้นแต่จะมีการต่ออายุ

บทเรียน:
ความไว้วางใจต้องได้รับและสร้างซ้ำอย่างต่อเนื่อง

8. บังคับใช้นโยบายด้วยระบบอัตโนมัติ (คุณต้องบังคับใช้นโยบายด้วยระบบอัตโนมัติ)

ใช้บริบทแบบเรียลไทม์และระบบอัตโนมัติเพื่อขับเคลื่อนการตัดสินใจการเข้าถึง

การอนุมัติการเข้าถึงด้วยตนเองไม่สามารถปรับขนาดได้ นโยบายแบบไดนามิกที่อิงตามความเสี่ยงต้องกำหนดแนวทางการบังคับใช้โดยพิจารณาจากพฤติกรรมของผู้ใช้ เวลา สถานที่ และระดับความเสี่ยงของอุปกรณ์

ตัวอย่าง:
ผู้รับเหมาซึ่งปกติจะเข้าสู่ระบบจากแล็ปท็อปที่บริษัทออกให้และลงนามภายในเวลา 4:00 น. ตามเวลา AEST พยายามเข้าถึงที่เก็บซอร์สโค้ดที่ละเอียดอ่อนจากอุปกรณ์ส่วนตัวเวลา 11:30 น. กลไกนโยบายจะตรวจจับกิจกรรมที่ผิดปกติโดยอ้างอิงจากพฤติกรรมของผู้ใช้ในอดีต แจ้งเตือนความผิดปกติ และเปิดใช้งานการยืนยันตัวตนแบบขั้นบันได เมื่อ MFA ล้มเหลว ระบบจะบล็อกการเข้าถึงและแจ้งเตือนทีมรักษาความปลอดภัยแบบเรียลไทม์

บทเรียน:
การบังคับใช้ตามนโยบายแบบเรียลไทม์ทำให้องค์กรสามารถตรวจจับความผิดปกติได้ก่อนที่จะกลายเป็นเหตุการณ์ไม่คาดฝัน โดยมีความเร็วและความแม่นยำที่การตรวจสอบด้วยตนเองไม่สามารถให้ได้

9. ปกป้องโครงสร้างพื้นฐานด้านข้อมูลประจำตัว (คุณต้องปกป้องโครงสร้างพื้นฐานด้านข้อมูลประจำตัว)

รักษาความปลอดภัยและตรวจสอบแพลตฟอร์มที่จัดการข้อมูลประจำตัวด้วยแพลตฟอร์มเดียวที่สามารถรวมเข้ากับทุกประเภท โครงสร้างพื้นฐานด้านข้อมูลประจำตัวควรไม่ขึ้นอยู่กับผู้จำหน่าย มีน้ำหนักเบา และให้แผงควบคุมเดียวแก่คุณเพื่อค้นหา จัดการ และปกป้องข้อมูลประจำตัวทั้งหมดและข้อมูลประจำตัวภายใน

ผู้ให้บริการข้อมูลประจำตัว (IdP) บริการรวมศูนย์ ตัวควบคุมโดเมน และเครื่องมือการเข้าถึงแบบมีสิทธิพิเศษ ล้วนเป็นสินทรัพย์ระดับ Tier 0 หากถูกบุกรุก ทุกอย่างที่อยู่ปลายน้ำจะตกอยู่ในความเสี่ยง ในขณะเดียวกัน ข้อมูลประจำตัวใดๆ ก็สามารถกลายเป็นช่องทางเข้าของผู้โจมตีได้ ควรใช้โซลูชันที่มีน้ำหนักเบาและใช้งานง่าย เพื่อให้คุณสามารถดูและตรวจสอบข้อมูลประจำตัวทั้งหมดได้ในทุกระบบ

ตัวอย่าง:
การเข้าถึงผู้ให้บริการข้อมูลประจำตัวของผู้ดูแลระบบถูกจำกัดด้วย MFA ที่ใช้ FIDO2 การเปลี่ยนแปลงทั้งหมดจะถูกบันทึกและตรวจสอบแบบเรียลไทม์

บทเรียน:
โครงสร้างพื้นฐานด้านข้อมูลประจำตัวของคุณคืออัญมณีอันล้ำค่า ปฏิบัติต่อมันเช่นนั้นโดยนำข้อมูลประจำตัวทั้งหมดมาไว้ในมุมมองเดียวที่เชื่อมโยงและวิเคราะห์ได้ง่าย

10. สอดคล้องกับมาตรฐานและกรอบการทำงาน (คุณต้องสอดคล้องกับกรอบการทำงานและมาตรฐานด้านความปลอดภัย)

ใช้กรอบการทำงานที่จัดทำขึ้นเพื่อประเมินประสิทธิภาพ แนะนำ และพัฒนากลยุทธ์การระบุตัวตนของคุณ

มาตรฐานต่างๆ เช่น NIST 800-63, NIST 800-207 (Zero Trust), ISO/IEC 27001 และ CIS Controls จัดทำโครงสร้างสำหรับการปรับปรุงความสมบูรณ์ของข้อมูลประจำตัวและแสดงให้เห็นถึงการปฏิบัติตาม

ตัวอย่าง:
องค์กรข้ามชาติกำหนดนโยบายการควบคุมการเข้าถึงตามมาตรฐาน NIST 800-207 และใช้ CIS Controls v8 สำหรับการตรวจสอบและการรายงาน

บทเรียน:
กรอบงานคือเข็มทิศของคุณ ไม่ใช่รายการตรวจสอบการปฏิบัติตาม

การเรียกร้องให้ดำเนินชีวิตตามกฎเกณฑ์ใหม่ของอัตลักษณ์

การระบุตัวตนไม่ได้เป็นเพียงส่วนประกอบของความปลอดภัยทางไซเบอร์อีกต่อไปมันคือความปลอดภัยทางไซเบอร์

หากต้องการประสบความสำเร็จในโลกที่ไม่ไว้วางใจใคร องค์กรต่างๆ จะต้องรักษาการเข้าถึงของทั้งมนุษย์และไม่ใช่มนุษย์ด้วยความเอาใจใส่เท่าเทียมกัน

บัญญัติ 10 ประการนี้ทำหน้าที่เป็นต้นแบบปฏิบัติสำหรับการพัฒนาท่าทีการรักษาความปลอดภัยข้อมูลประจำตัวของคุณ ตั้งแต่การมองเห็นและการกำกับดูแลไปจนถึงการบังคับใช้และการทำงานอัตโนมัติ

At Silverfortเราส่งเสริมให้องค์กรต่างๆ นำหลักการเหล่านี้ไปใช้ในระดับกว้าง แพลตฟอร์มของเราขยายขอบเขตความปลอดภัยของข้อมูลประจำตัวไปยังสินทรัพย์และสภาพแวดล้อมที่ระบบแบบดั้งเดิม เครื่องมือ IAM ล้มเหลว—รวมถึงระบบเดิม อินเทอร์เฟซบรรทัดคำสั่ง และแอปพลิเคชันที่ไม่ใช่สหพันธ์

เพราะหากคุณไม่สามารถรักษาข้อมูลประจำตัวไว้ได้ คุณก็ไม่สามารถรักษาองค์กรไว้ได้ เรียนรู้เพิ่มเติมเกี่ยวกับ Silverfort ทางโดย กำลังมาเยี่ยมที่นี่

เรากล้าที่จะผลักดันการรักษาความปลอดภัยข้อมูลประจำตัวไปไกลยิ่งขึ้น

ค้นพบสิ่งที่เป็นไปได้

ตั้งค่าการสาธิตเพื่อดู Silverfort แพลตฟอร์มการรักษาความปลอดภัยข้อมูลประจำตัวในการดำเนินการ

รับการสาธิต