Год назад, подводя итоги 2022-го и шагая в 2023-й, мы говорили о том, что технологии ИБ не стоят на месте и развиваются, чтобы идти в ногу с цифровизацией и постоянно меняющимся ландшафтом ИТ. Начало 2024-го не стало для нас исключением, и можно смело утверждать, что этот тренд по-прежнему сохранится. Помимо прочего, в различных источниках уже немало слов сказано, что еще одной предпосылкой или движущей силой развития ИБ является рост угроз безопасности и количества атак на предприятия и организации. Нет особого смысла в очередной раз об этом рассказывать, подчеркну лишь, что актуальная информация о киберугрозах и атаках есть в отчетах на нашем сайте в разделе аналитики и коллеги регулярно его пополняют.
Сейчас же хочется немного заглянуть в будущее и порассуждать на тему развития технологий по управлению доступом в перспективе нескольких ближайших лет. Безусловно, тенденции, которые будут доминировать в отрасли, прежде всего будут ориентированы на безопасность, эффективность процессов и удобство пользователей.
Искусственный интеллект и машинное обучение
Начнем с самого громкого, с того, что у всех на слуху и что является одним из основных трендов сейчас и останется им в ближайшее десятилетие – это искусственный интеллект и машинное обучение.
Включение технологий машинного обучения (ML) и искусственного интеллекта (AI) в экосистемы управления доступом, безусловно, создаст предпосылки для повышения его эффективности и адаптивности. Алгоритмы ML могут анализировать огромные объемы данных для выявления закономерностей и аномалий в поведении пользователей, обнаружения потенциальных нарушений безопасности или попыток несанкционированного доступа. Системы на базе искусственного интеллекта могут принимать решения о доступе на основе контекстной информации, уровней риска и адаптивных политик, что приводит к более быстрому и точному разграничению доступа. В будущем это не только улучшит меры защиты, но и позволит оптимизировать процессы управления доступом, снижая административную нагрузку и повышая удобство для пользователей. Рассмотрим, как такие прорывные технологии могут быть использованы.
Интеграция ML и AI в технологии Identity Management (IdM)
Один из примеров применения этих технологий – управление ролями и регулярный пересмотр доступа. С течением времени происходят изменения как в структуре организации, так и в функциональных обязанностях сотрудников, поэтому обязательно нужно периодически проводить анализ предоставленных прав доступа и его повторное переутверждение – ресертификацию. Если делать это вручную, то это отнимет катастрофически много времени у всех участников процесса. В этом случае на помощь приходят автоматизированные системы IdM (Identity Management) / IGA (Identity Governance and Administration), которые уже используются во многих крупных компаниях. Они позволят быстро получить необходимую информацию о существующих ролях, структуре и пользователях в консолидированном виде. Но если такое решение будет дополнено функциями машинного обучения и алгоритмами искусственного интеллекта, то система самостоятельно, без участия человека, сможет анализировать исторические данные о доступе, определять шаблоны поведения пользователей и использования ресурсов, контекстную информацию, аномалии поведения. Затем, изучая эти шаблоны, алгоритмы смогут рассчитать и «разумно» рекомендовать необходимые права доступа для отдельных категорий на основе изученных данных и обязанностей работников. Это будет большим подспорьем владельцам ресурсов для определения и подтверждения актуальности доступа либо своевременной его корректировки.
Кроме того, алгоритмы машинного обучения могут помочь в выявлении потенциальных конфликтов разделения обязанностей (SoD). Конфликты SoD возникают, когда у пользователя есть разрешения на доступ, которые потенциально могут привести к мошенническим или несанкционированным действиям. Постоянно анализируя данные доступа, происходящие события и извлекая из них уроки, алгоритмы машинного обучения могут обнаруживать и помечать потенциально опасные сочетания полномочий, помогая администраторам и кураторам управлять такими рисками и принимать меры для их снижения.
Вместе с тем системы IGA на базе искусственного интеллекта могут использовать методы обработки естественного языка (NLP – Natural Language Processing) для понимания и обработки неструктурированных данных, например, таких как обоснования запросов на доступ, указанных в обычном текстовом сообщении, приложенном к заявке. Через анализ такой информации системы могут давать рекомендации по назначению прав доступа или автоматически предоставлять те или иные полномочия в зависимости от контекста, снижая нагрузку на администраторов и повышая эффективность управления доступом.
ML и AI в работе с защитой неструктурированных данных
Если рассматривать вопросы защиты неструктурированных данных, то такую задачу решают системы класса DAG (Data Access Governance) / DCAP (Data-Centric Audit and Protection). Одной из основополагающих задач таких систем является точная классификация данных. Использование алгоритмов машинного обучения может помочь в решении задач по автоматической классификации и маркировке данных на основе их содержания, контекста и метаданных. Анализируя закономерности и характеристики информации, эти алгоритмы могут распределять данные по соответствующим классам доступа, например, таким как: «строго конфиденциально», «ограниченно» или «общедоступно».
Технологии машинного обучения и искусственного интеллекта также смогут помогать в предотвращении попыток несанкционированного доступа: постоянно отслеживать сетевой трафик и системные журналы, а затем обнаруживать аномалии и отклонения от нормальных моделей. Например, они могут выявлять необычные схемы предоставления доступа или действия по перемещению, изменению, удалению данных.
Алгоритмы обнаружения аномалий на базе искусственного интеллекта могут помочь в выявлении нарушений политики ИБ. Эти алгоритмы изучат, что является нормальным поведением для каждого пользователя, подразделения или системы, и смогут оперативно обнаруживать события, которые могут указывать на подозрительные или злонамеренные действия.
Методы ML и AI для совершенствования систем управления привилегированным доступом
Одна из основных функций систем PAM (Privilege Access Management) – это отслеживание подключений к информационным ресурсам и мониторинг работы пользователей, имеющих расширенные права доступа. Это могут быть внутренние администраторы, которые поддерживают ИТ-инфраструктуру; внешние подрядчики – поставщики приложений; аутсорсеры, сопровождающие определенные системы; и даже руководители, имеющие неограниченный доступ. Алгоритмы машинного обучения могут использоваться для анализа действий привилегированных пользователей: сначала они определяют базовые паттерны по необходимому для выполнения их работы уровню доступа, а затем, постоянно отслеживая сеансы подключения, алгоритмы искусственного интеллекта могут обнаруживать аномалии и отклонения в режиме реального времени. Например, если привилегированный пользователь внезапно получает доступ к ресурсам за пределами своих обычных функциональных обязанностей или выполняет необычные команды, система на базе искусственного интеллекта может идентифицировать такое отклонение как потенциальный инцидент ИБ и сама инициировать ответные действия, такие как: выдача предупреждения пользователю, уведомление ответственного сотрудника и даже автоматическое прекращение доступа / разрыв соединения.
Машинное обучение и искусственный интеллект также могут помочь в решении задач администрирования и настройки системы PAM. Анализируя исторические данные о предоставляемом доступе на временной основе и используемые полномочия, эти алгоритмы могут давать рекомендации по модификации политики контроля доступа на основе ролей путем выявления закономерностей. Это поможет оптимизировать процесс предоставления доступа – автоматизация выдачи прав, в отличие от ручной обработки запросов, снизит нагрузку на администраторов.
Алгоритмы машинного обучения и искусственного интеллекта можно использовать и для адаптивного управления доступом. Постоянно отслеживая поведение пользователей и анализируя риски, можно обучить систему динамически корректировать права доступа в режиме реального времени. Например, если поведение пользователя указывает на подозрительную активность, система может автоматически ограничить его доступ до проведения дальнейшего расследования. Это поможет предотвратить внутренние угрозы и снизит риск возникновения инцидентов ИБ.
Что касается взаимодействия человека с информационными системами и приложениями, то развитие пользовательских интерфейсов тоже является одним из трендов, определяющих движение вперед. Это касается не только решений в области информационной безопасности, а относится ко всем цифровым продуктам. Создатели пользовательских интерфейсов смогут опираться на практики, связанные с искусственным интеллектом, для решения персонализированных задач клиентов. Благодаря этому можно ожидать, что пользователи приложений будут оперативно получать более точную и понятную им информацию в удобном виде, а их работа станет более производительной и комфортной для них.
Все эти примеры говорят о том, что нужно постоянно проводить анализ и совершенствовать технологии по управлению доступом: использовать передовые возможности, чтобы модернизировать процессы, усиливать контроль безопасности и идти в ногу с требованиями бизнеса. Но также надо учитывать, что технологии искусственного интеллекта сами по себе могут порождать риски ИБ – их бесконтрольное применение может нанести больше вреда, чем пользы. Неточные результаты, ошибки процессов и вмешательство злоумышленников – это только часть негативных сценариев, которые могут привести к сбоям, финансовым и репутационным потерям. Некорректная работа систем на базе ИИ также может спровоцировать принятие неверных бизнес-решений. Все идет к тому, что в ближайшее время стоит ждать появления инструментов, которые будут контролировать работу моделей AI для снижения таких рисков, работая на повышение ценности новых передовых разработок и доверия к ним. Компанией «Гартнер», мировым лидером по исследованию рынка информационных технологий, уже спрогнозировано развитие решений класса AI TRiSM, что расшифровывается как Trust, Risk and Security Management и означает «Управление доверием, рисками и безопасностью, связанными с искусственным интеллектом».
Адаптивная аутентификация, включающая биометрию
Уже несколько лет определенным трендом остается повышение надежности и безопасности в процессах аутентификации. Если обратиться к отчетам, о которых упоминалось в начале статьи, то их данные говорят о том, что за последнее время хакерские атаки на предприятия и организации стали более сконцентрированными и целевыми. Злоумышленникам уже недостаточно нарушить доступность ресурсов, они хотят пробраться внутрь инфраструктуры и нанести значительный ущерб компании. Многие атаки связаны с захватом контроля над учетными данными пользователей. С возрастанием сложности киберугроз методов аутентификации с использованием одного фактора и тем более только пароля, конечно, уже недостаточно. Ранее в нашем блоге была опубликована статья, посвященная теме использования биометрических данных человека для подтверждения личности. Очевидно, что тенденция применения этой технологии сохранится, т. к. она сочетает в себе удобство и безопасность использования. Биометрия – это уникальные характеристики человека, которые очень сложно подделать и воспроизвести. Такие технологии, как распознавание лица, голоса и даже аутентификация на основе ДНК, будут развиваться, и это, конечно же, усилит контроль доступа.
В то же время активно развивающимся направлением стала сейчас адаптивная аутентификация, которая обеспечивает более комплексный и многофакторный подход к реагированию на меняющийся ландшафт угроз, т. к. в ее функциональность заложено динамическое регулирование уровня проверки пользователя на основе факторов риска.
Решения, предназначенные для адаптивной аутентификации, проводят мониторинг и анализ поведения пользователей, устройств, местоположения, схем доступа и других параметров в режиме реального времени. Постоянно проводя оценку этих параметров, система может быстро реагировать на подозрительные действия, обнаруживать аномалии и отклонения, принимать соответствующие меры и тем самым снижать вероятность успешных атак или злоупотреблений. Например, если пользователь получает доступ к системе с известного устройства и местоположения, может потребоваться менее строгий процесс аутентификации, чем при доступе с неизвестного устройства или местоположения.
Для повышения уровня безопасности решения по адаптивной аутентификации должны поддерживать использование нескольких факторов проверки подлинности пользователя, таких как: знание, которым он располагает (пароль или код); предмет, который находится в его личном пользовании (смартфон, токен или смарт-карта); его физические данные (биометрия). В зависимости от потребностей и возможностей бизнеса использование и сочетание этих факторов должно быть нацелено как на повышение уровня безопасности, так и на бесперебойное и удобное взаимодействие пользователей с ресурсами.
Еще одним из важных направлений работы системы адаптивной аутентификации является поддержка технологии единого входа (SSO –S ingle Sign-On), например, с использованием протоколов SAML или OAuth. Использование технологии однократного ввода учетных данных для доступа ко многим приложениям и системам, помимо защиты учетных данных, это еще и вопрос удобства – работникам не нужно запоминать и хранить множество сложных паролей для разных систем и сред.
Концепция обнаружения угроз идентификации и своевременного реагирования на них
Эта концепция появилась в ответ на потребность в непрерывном мониторинге и обнаружении угроз, связанных с учетными данными в режиме реального времени, и фокусируется на упреждающих мерах по выявлению и реагированию. Уже сейчас можно сказать, что в ближайшие годы она получит широкое распространение, т. к. организациям нужна не статичная безопасность, а динамичная, которая обеспечит постоянное реагирование на угрозы ИБ. Мировой лидер по исследованию рынка информационных технологий – компания «Гартнер», о которой говорилось выше, – ввела в 2022 году термин «ITDR (Identity Threat Detection and Response)», определяющий эту концепцию. Компания включила решения такого класса в список продуктов и услуг по обнаружению угроз и реагированию на них, а также охарактеризовало их как новшество в методах защиты конечных точек и инфраструктуры компаний от злонамеренных атак.
Число угроз, связанных с получением контроля над учетными записями, остается значимым и пугающим, что подтверждается и нашими исследованиями, о которых мы говорили в начале статьи, и работами мировых аналитических агентств.
Решения ITDR ориентированы на саму инфраструктуру идентификации, а не на пользователей. По мнению «Гартнер», решения ITDR должны как защищать, так и защищаться с помощью специальных возможностей, включая оценку состояния безопасности среды каталогов Active Directory (AD), оценку и приоритеты рисков, мониторинг проникновений в инфраструктуру в реальном времени, машинное обучение (ML) и аналитику для обнаружения аномального поведения или событий, а также реагирование на инциденты и способы аварийного восстановления систем. Одним словом, это не только внедрение соответствующей технологии, а целая стратегия, самостоятельный сегмент, включающий передовой опыт, процессы и технологические инструменты для обеспечения защиты инфраструктуры.
В чем разница между EDR, XDR и ITDR?
EDR (Endpoint Detection & Response) – решения для обнаружения и изучения вредоносной активности на конечных точках. Они собирают и анализируют информацию, связанную с угрозами на физических устройствах (рабочих станциях, серверах, виртуальных машинах и т. п.), которые подключаются к компьютерной сети и обмениваются информацией.
Решения для расширенного обнаружения и реагирования на угрозы на конечных точках – это XDR (Extended Detection and Response). Они предназначены для более совершенного, целостного подхода к сложным кибератакам для автоматического проактивного выявления угроз на разных уровнях инфраструктуры, реагирования на них и противодействия им.
В то время как решения EDR и XDR ориентированы на периметр сети организации, решения ITDR сосредоточены на самой системе идентификации, которая аутентифицирует пользователей и предоставляет доступ к системам и приложениям компании. ITDR может эффективно дополнять средства обнаружения угроз, т. к. средства ITDR отслеживают журналы управления доступом, проверяют системы идентификации на предмет возможных атак, обманом заставляют злоумышленников фокусироваться на ложных целях, изолируют затронутые системы от дальнейших атак и собирают данные о событиях для анализа.
Почему же в ближайшее время технологии и подходы ITDR в общей структуре безопасности будут так важны?
Поскольку в 90% компаний AD является основным местом хранения идентификационных данных, эта структура является и основной мишенью для злоумышленников. Настройки службы каталогов чаще всего не обновляются и имеют устаревшую конфигурацию, поэтому AD подвергается риску в результате киберинцидентов. Для предотвращения негативных последствий необходимо проводить сканирование гибридной среды AD на наличие брешей в безопасности – это будет начальным шагом в многоуровневом подходе к защите учетных данных.
Второй важный момент – это резервное копирование и быстрое восстановление после кибератаки. Поскольку практически каждая средняя и крупная компания сталкивается с атаками на свою инфраструктуру, без плана быстрого восстановления, который поможет избежать длительного простоя или повторного нападения, им не обойтись.
Также важно автоматизировать устранение обнаруженных угроз. Вредоносное ПО может проникать в систему очень быстро, человек зачастую не может мгновенно вмешаться и остановить негативный процесс. В этом случае настройка по определенным правилам сценариев автоматического исправления произошедших изменений решительным образом поможет избежать катастрофических последствий и непоправимого ущерба.
Резюмируя, можно сказать, что для обеспечения динамической безопасности компаниям важно работать с угрозами на протяжении всего их жизненного цикла — до, во время и после атаки. Очевидно, что технологии ITDR будут развиваться с прицелом на то, чтобы предотвращать, обнаруживать, устранять последствия и принимать меры для восстановления после атак на гибридные системы идентификации.
Использование технологий машинного обучения и искусственного интеллекта в структуре ITDR позволит заблаговременно выявлять и снижать потенциальные риски до того, как они нанесут значительный ущерб. Эти методы позволят использовать передовую аналитику, работать с большими данными, опираться на поведенческую биометрию и непрерывную аутентификацию, что, в свою очередь, обеспечит безопасную цифровую среду для пользователей.
Поставщики и партнеры: доверять или не доверять?
Довольно часто складывается так, что внутри компании уделяется достаточно времени, сил и средств на то, чтобы обеспечить приемлемый уровень безопасности, а вот за ее пределами картина выглядит иначе. Практически невозможно найти компанию, которая работала бы только в рамках своего внутреннего контура. Внешние поставщики приложений, подрядчики, сопровождающие системы и базы данных, разработчики-аутсорсеры и т. д. – все они получают доступ к ресурсам компании, и зачастую расширенный. Иногда договорные отношения распространяются на субподрядчиков и появляется не только третья сторона, но и четвертая, и пятая. Однако не у многих компаний есть возможность управлять рисками при работе со сторонними партнерами. Конечно, проблема выстраивания таких цепочек доверительных отношений требует решения. По оценке мировых аналитиков, около 90% организаций сталкивались со взломом или утечкой данных у стороннего поставщика/партнера. Сторонние поставщики, сосредоточенные на своей основной деятельности, как правило, не уделяют достаточного внимания информационной безопасности, и подходы к обеспечению ИБ могут быть у них незрелыми.
Есть все основания полагать, что в 2024 году будет уделяться особое внимание управлению и контролю доступа, выходящего за периметр компании и распространяющегося на внешних партнеров. Управление рисками, связанными с получением доступа извне, требует, чтобы предприятия придерживались принципов наименьших привилегий и доступа с нулевым доверием – Zero Trust. Этот подход основан на концепции «никому не доверять», которая рекомендует проводить проверки подлинности для каждого запроса пользователя и устройства. Решения по управлению доступом, в особенности привилегированным, должны будут соответствовать принципам нулевого доверия. Это достижимо при использовании непрерывной аутентификации, управления доступом на основе рисков и адаптивных механизмов авторизации. Выявляя риски n-ных сторон, устраняя их, когда это возможно, разграничивая и ограничивая доступ к корпоративным ресурсам, организация может защититься от несанкционированных действий, в том числе злоумышленных, и от захвата данных, принадлежащих компании, которые хранятся и обрабатываются у n-ных сторон в рамках партнерских активностей.
Объединение усилий и объединение технологий
Стоит также отметить предпосылки появления в ближайшем будущем специализированных платформ в компаниях-вендорах по разработке новых технологических решений, которые будут объединять в себе общие подходы и методологии для унифицированного и безопасного процесса разработки. В процессе создания скриптов и больших программ тоже не обойдется без использования искусственного интеллекта. По прогнозам ведущих мировых аналитиков, к 2028 году 75% разработчиков будут писать код с помощью AI. Это позволит ускорить работу и выпускать новые технологичные решения гораздо быстрее и, соответственно, быстрее достигать поставленных целей.
Тренд движения в сторону экосистемности также остается одним из актуальных и основных. Внедрение отдельных технологий всегда узконаправленно и не решает задач организации в комплексе – и это очевидный недостаток, если смотреть на ситуацию сквозь призму растущих и меняющихся угроз. Более того, в последнее время выделяется проблема явной зависимости одной технологии от другой. В сфере ИБ и в части управления доступом это движение особенно заметно. Например, системы идентификации/аутентификации должны объединяться с системами управления доступом PAM или IdM для обеспечения защиты на всех уровнях подключения, получения разрешения и обеспечения сеансов безопасной работы с ресурсами. Для обнаружения и, главное, для проведения анализа угроз требуется интеграция решений управления доступом с продуктами класса SIEM, дающими более глубокую аналитику событий ИБ. Интеграция решений ИБ с технологиями поведенческой аналитики UBA (User Behavioral Analytics) дает свои плоды на фоне возрастающих рисков, связанных с человеческим фактором, включая социальную инженерию. Все эти технологии должны обогащать друг друга необходимой информацией для выстраивания многоуровневой полноценной защиты и получения существенной ценности для бизнеса: снижения трудозатрат, увеличения прибыли и комфорта использования.
Мы, ГК «Солар», как разработчик и поставщик надежных решений и экспертизы по информационной безопасности, своевременно реагируем на новые тенденции и учитываем их при работе над своим продуктам, сервисам и услугам, чтобы наши клиенты смогли повысить уровень информационной безопасности своей компании, оптимизировать и улучшить процессы управления доступом в сложных цифровых ландшафтах. Следите за обновлением наших технологий и за новыми практическими советами, которыми мы рады делиться с вами на наших информационных ресурсах и площадках.