Захист доступу та Zero Trust стали критично важливими компонентами захисту від кіберзагроз, які швидко еволюціонують. Ці рішення та підхід підтримують політику «ніколи не довіряй, завжди перевіряй», коли кожна ризикована дія вимагає автентифікації, авторизації та аудиту.

У звіті CyberArk 2023 Identity Security Threat Landscape Report зазначається, що 74% організацій розпочали впровадження ініціатив Zero Trust, а ще 18% планують зробити це протягом наступних 12-24 місяців. Якщо ви читаєте цей матеріал, можливо, ви залучені до команди, яка керує цими стратегічними ініціативами та співпрацює з постачальниками рішень з кібербезпеки для їх реалізації. І якщо ви ще не замислювалися над поширенням захисту облікових записів на свої робочі станції та сервери, саме час це зробити. Читайте далі, щоб дізнатися, навіщо і як.

Під час розробки стратегічних програм багатофакторна автентифікація (MFA) і єдиний вхід (SSO) надійно допомагають командам безпеки і є пріоритетними. Деякі з них прямо називають необхідними засобами, як, наприклад, MFA.

Однак ці програми залишаються лише набором ізольованих технологій для занадто багатьох реалізацій нульової довіри. Технології розглядаються як частина певних сфер (для MFA — це сфера IAM), хоча на них варто дивитися під ширшим кутом.

Цей недогляд ще більш помітний, коли ви дивитеся через призму цілісного підходу Identity-first, особливо з огляду на «першу милю» доступу користувача і «останню милю» споживання інформації — кінцеву точку.

Насправді, згідно з Identity Security Threat Landscape Report, 79% з 2300 експертів з кібербезпеки по всьому світу вказали, що управління обліковими записами є найважливішим принципом для успішних ініціатив Zero Trust, а за ним одразу слідує довіра до пристроїв захисту кінцевих точок (78%).

Статистика свідчить, що ці спроможності суттєво відрізняються. Але чи так це? Чи повинні ми розглядати деякі спроможності керування ідентифікацією та безпеки як критичні фактори безпеки кінцевої точки?

Нульова довіра у відділі безпеки кінцевих точок

Якщо ваша повсякденна робота пов'язана з управлінням ідентифікацією та доступом (IAM), ви повинні бути знайомі з парадигмами, які вписуються в концепцію Zero Trust і складають її. До них належать найменші привілеї, нульові постійні привілеї (ZSP), доступ і привілеї «just-in-time» (JIT), безперервна автентифікація та оцінка ризиків. Така ж логіка повинна застосовуватися і до кінцевих точок — як робочих станцій, так і серверів. Не дарма принцип найменших привілеїв (PoLP) визначений як наріжний камінь нульової довіри. Це постійна рекомендація аудиторів та органів контролю у сфері кібербезпеки.

Отже, якщо ваша стратегія безпеки кінцевих точок побудована на спроможностях, які ретельно перевіряють програми, процеси та дії й реагують на ті, які вважаються зловмисними, ваша ініціатива Zero Trust повинна привернути увагу відділу безпеки кінцевих точок. Зрештою, чи не є нульова довіра в основі проактивним, а не реактивним заходом?

Тепер розглянемо просту схему. Традиційна система безпеки кінцевих точок містить поєднання уніфікованого управління кінцевими точками (UEM) і виявлення загроз та реагування на них (EDR). Ці технології, хоча і забезпечують майже повне покриття ланцюжка блокування атаки, дуже орієнтовані на активи або ресурси, тобто вони зазвичай зосереджені на конкретних файлах, папках і процесах. Те, що повинно було бути там із самого початку — контекст облікових записів — помітно відсутнє. Аналітики та індустрія визнають це і тепер розширили виявлення та реагування, додавши захист від загроз обліковим записам у вигляді ITDR.
Але як щодо запобігання, орієнтованого на облікові записи?

Переваги проактивного захисту кінцевих точок, орієнтованого на захист доступу

Можливо, дивно, але якщо ви зміните своє мислення з комфортного «питання не в тому, чи буде, а в тому, коли» на запобігання атакам — і зробите достатньо хорошу роботу з налаштування фундаментальних привілеїв кінцевих точок — це може бути саме тією формулою безпеки, яку ви шукаєте.

Якщо ви фахівець зі стажем, ви можете подумати: «Ми це вже пробували. Це не спрацювало 20 років тому — чому це повинно спрацювати сьогодні? Є причина, чому ми опинилися в таборі, орієнтованому на EDR-безпеку кінцевих точок». Все це правда — ми спробували, почули відгуки користувачів і зробили вибір на користь гнучкості бізнесу та швидкого руху вперед.

Близько 10 років тому програми-вимагачі змінили правила гри, і, як наслідок, кібербезпека сьогодні є темою на рівні ради директорів, а компанії повинні активно інформувати акціонерів про заходи безпеки, яких вони вживають для запобігання кіберінцидентам. Інша відмінність полягає в тому, що у нас нарешті з'явилися правильні інструменти для цієї роботи.

Облікові записи — новий (і останній) периметр безпеки — мають бути вплетені у все, що відбувається в нашій інфраструктурі. Вони повинні бути захищеними. У рамках безпеки персональних даних цю роботу виконує агент безпеки облікових записів на кінцевих точках, який надає можливість:
● виявляти та захищати привілейовані облікові записи на кінцевих точках; ● захищати механізми автентифікації користувачів; ● забезпечувати безпарольні й надійні точки введення автентифікації в робочі процеси користувачів; ● зміцнювати інші агенти безпеки та браузери; ● відігравати критично важливу роль сполучної ланки для забезпечення єдиної точки доступу до облікових записів у всій організації.
Поєднайте це із загальним управлінням привілеями кінцевих точок (EPM), яке:
● допомагає виявляти та видаляти права локальних адміністраторів; ● забезпечувати автоматизоване і прозоре підвищення привілеїв для застосунків; ● ізолювати ризиковані застосунки від доступу до певних ресурсів; ● впроваджувати найменші привілеї для конкретних ролей; ● захищати облікові дані та токени безпеки; ● додавати додатковий захист від програм-вимагачів;
— і ви отримаєте фундаментальний рівень захисту.
Завершивши цей процес і поширивши захист облікових записів на робочі станції та сервери, ви переконаєтеся, що безпека кінцевих точок відповідає вашій ініціативі Zero Trust. Правильна реалізація запобігання, орієнтованого на захист доступу, допоможе вашій організації зробити 4 важливі речі:
● розширити захист облікових записів і Zero Trust на робочі станції та сервери; ● зменшити поверхню атаки на кінцеві точки та запобігти атакам нульового дня; ● зменшити витрати на ІТ-безпеку та експлуатаційні витрати за допомогою; контролю привілеїв кінцевих точок ● продемонструвати відповідність нормативним актам і виконати вимоги аудиту на кінцевих точках.
Крім того, цей рівень безпеки може підвищити продуктивність користувачів і покращити досвід роботи для всіх співробітників.
Словом, якщо ви розширите захист облікових записів на свої робочі станції та сервери, ваші користувачі, адміністратори, SOC-аналітики та акціонери гідно оцінять це.