Защита доступа и Zero Trust стали критически важными компонентами защиты от киберугроз, которые быстро эволюционируют. Эти решения и подход поддерживают политику «никогда не доверяй, всегда проверяй», когда каждое рискованное действие требует аутентификации, авторизации и аудита.

В отчете CyberArk 2023 Identity Security Threat Landscape Report отмечается, что 74% организаций начали внедрение инициатив Zero Trust, а еще 18% планируют сделать это в течение следующих 12-24 месяцев. Если вы читаете этот материал, возможно, вы входите в команду, которая руководит этими стратегическими инициативами и сотрудничает с поставщиками решений по кибербезопасности для их реализации. И если вы еще не задумывались над распространением защиты учетных записей на свои рабочие станции и серверы, самое время это сделать. Читайте дальше, чтобы узнать, зачем и как.
При разработке стратегических программ многофакторная аутентификация (MFA) и единый вход (SSO) надежно помогают командам безопасности и являются приоритетными. Некоторые из них прямо называют необходимыми средствами, как, например, MFA.
Однако эти приложения остаются лишь набором изолированных технологий для слишком многих реализаций нулевого доверия. Технологии рассматриваются как часть определенных сфер (для MFA — это сфера IAM), хотя на них стоит смотреть под более широким углом.
Это упущение еще более заметно, когда вы смотрите через призму целостного подхода Identity-first, особенно учитывая «первую милю» доступа пользователя и «последнюю милю» потребления информации — конечную точку.
На самом деле, согласно Identity Security Threat Landscape Report, 79% из 2300 экспертов по кибербезопасности по всему миру указали, что управление учетными записями является важнейшим принципом для успешных инициатив Zero Trust, за которым следует доверие к устройствам защиты конечных точек (78%).
Статистика показывает, что эти способности существенно отличаются. Но так ли это? Должны ли мы рассматривать некоторые способности управления учетными записями и безопасности как важнейшие факторы, способствующие безопасности конечных точек?

Нулевое доверие в отделе безопасности конечных точек

Если ваша повседневная работа связана с управлением идентификацией и доступом (IAM), вы должны быть знакомы с парадигмами, которые вписываются в концепцию Zero Trust и составляют ее. К ним относятся наименьшие привилегии, нулевые постоянные привилегии (ZSP), доступ и привилегии «just-in-time» (JIT), непрерывная аутентификация и оценка рисков. Такая же логика должна применяться и к конечным точкам — как к рабочим станциям, так и к серверам. Не зря принцип наименьших привилегий (PoLP) назван краеугольным камнем нулевого доверия. Это постоянная рекомендация аудиторов и органов контроля в сфере кибербезопасности.

Итак, если ваша стратегия безопасности конечных точек построена на возможностях, которые тщательно проверяют программы, процессы и действия и реагируют на те, которые считаются вредоносными, ваша инициатива Zero Trust должна привлечь внимание отдела безопасности конечных точек. В конце концов, не является ли нулевое доверие в основе проактивной, а не реактивной мерой?

Теперь рассмотрим простую схему. Традиционная система безопасности конечных точек состоит из унифицированного управления конечными точками (UEM) и обнаружения угроз и реагирования на них (EDR). Эти технологии, хотя и обеспечивают почти полное покрытие цепочки блокировки атаки, очень ориентированы на активы или ресурсы, то есть они обычно сосредоточены на конкретных файлах, папках и процессах. То, что должно было быть там с самого начала — контекст учетных записей — заметно отсутствует. Аналитики и индустрия признают это и теперь расширили обнаружение и реагирование, включив защиту от угроз учетным записям в виде ITDR.
Но как насчет предотвращения, ориентированного на учетные записи?

Преимущества проактивной защиты конечных точек, ориентированной на защиту доступа

Возможно, странно, но если вы измените свое мышление с комфортного «вопрос не в том, будет ли, а в том, когда» на предотвращение атак — и сделаете довольно хорошую работу по настройке фундаментальных привилегий конечных точек — это может быть именно той формулой безопасности, которую вы ищете.

Если вы специалист со стажем, вы можете подумать: «Мы это уже пробовали. Это не сработало 20 лет назад — почему это должно сработать сегодня? Есть причина, почему мы оказались в лагере, ориентированном на EDR-безопасность конечных точек». Все это правда — мы попробовали, услышали отзывы пользователей и сделали выбор в пользу гибкости бизнеса и быстрого движения вперед.

Около 10 лет назад программы-вымогатели изменили правила игры, и, как следствие, кибербезопасность сегодня является темой на уровне совета директоров, а компании должны активно информировать акционеров о мерах безопасности, которые они принимают для предотвращения киберинцидентов. Другое отличие заключается в том, что у нас наконец-то появились правильные инструменты для этой работы.

Учетные записи — новый (и последний) периметр безопасности — должны быть вплетены во все, что происходит в нашей инфраструктуре. Они должны быть защищены. В рамках безопасности персональных данных эту работу выполняет агент безопасности учетных записей на конечных точках, который предоставляет возможность:
● выявлять и защищать привилегированные учетные записи на конечных точках; ● защищать механизмы аутентификации пользователей; ● обеспечивать беспарольные и надежные точки ввода аутентификации в рабочие процессы пользователей; ● укреплять другие агенты безопасности и браузеры; ● играть критически важную роль связующего звена для обеспечения единой точки доступа к учетным записям во всей организации.
Объедините это с общим управлением привилегиями конечных точек (EPM), которое:
● помогает выявлять и удалять права локальных администраторов; ● обеспечивать автоматизированное и прозрачное повышение привилегий для приложений; ● изолировать рискованные приложения от доступа к определенным ресурсам; ● внедрять наименьшие привилегии для конкретных ролей; ● защищать учетные данные и токены безопасности; ● добавлять дополнительную защиту от программ-вымогателей;
- и вы получите фундаментальный уровень защиты.
Завершив этот процесс и распространив защиту учетных записей на рабочие станции и серверы, вы убедитесь, что безопасность конечных точек соответствует вашей инициативе Zero Trust. Правильная реализация предотвращения, ориентированного на защиту доступа, поможет вашей организации сделать 4 важные вещи:
● расширить защиту учетных записей и Zero Trust на рабочие станции и серверы; ● уменьшить поверхность атаки на конечные точки и предотвратить атаки нулевого дня; ● уменьшить расходы на ІТ-безопасность и эксплуатационные расходы с помощью контроля привилегий конечных точек; ● продемонстрировать соответствие нормативным актам и выполнить требования аудита на конечных точках.
Кроме того, этот уровень безопасности может повысить производительность пользователей и улучшить опыт работы для всех сотрудников.
Словом, если вы расширите защиту учетных записей на свои рабочие станции и серверы, ваши пользователи, администраторы, SOC-аналитики и акционеры по достоинству оценят это.