[KRÖNIKA] Identitet är en viktig del av all Zero Trust-infrastruktur och måste behandlas därefter.
Många av oss jobbar fortfarande hemifrån åtminstone en del av tiden.
Men parallellt med att de fortsätter att erbjuda de anställda fjärråtkomst och molnbaserade applikationer, får arbetsgivare inte glömma att deras säkerhetsstrategier är beroende av integriteten hos deras identitetssystem.
Tidigare har användare till stor del varit beroende av virtuella privata nätverk (VPN) för fjärråtkomst. Användare autentiseras av en katalogtjänst – vanligtvis Active Directory – och tillåts sedan komma in i företagets nätverk. Men VPN har utmaningar som gör att VPN inte är den enda lösningen för att hantera moderna arbetssätt.
Istället låter allt fler företag användare logga in på en webbaserad identitets– och åtkomsthanteringstjänst (IAM) med sina företagsuppgifter för att få åtkomst till SaaS-appar som Zoom eller Microsoft Office 365 direkt via internet. Denna metod använder en modell baserad på Zero Trust där en användares identitet – inte deras nätverksplats – är nyckeln för tillgång till applikationen.
Vissa företag går ännu längre och använder Zero Trust för sina lokala nätverk. Istället för den breda nätverksåtkomst som beviljas av ett VPN, ger dessa proxyenheter (t.ex. Azure AD Application Proxy, Symantec Secure Access Cloud) användaren åtkomst till endast den relevanta applikationen. Eftersom trafik dirigeras genom IAM-tjänsten kan användarsessionen ha sofistikerade åtkomstkontroller. Men återigen, Zero Trust beror på det underliggande identitetssystemet. Vissa attacker kan komma runt IAM, vilket gör att angripare kan röra sig över nätverket.
Säkra källan
Oavsett om en användare loggar in på företagets nätverk med ett VPN eller via en webbportal, är det viktigt att hantera användaridentiteter på ett säkert sätt. VPN baseras på en lokal identitetslösning, medan moderna molnbaserade IAM-tjänster baseras på faktorer som enhet, plats och beteendemönster. Men själva kärnan i dessa molntjänster är fortfarande baserad på den enskilda användarens kontouppgifter.
Många verksamheter använder en hybridmodell där identiteten on-prem även används för åtkomst till internettjänster. Därmed är lösningen för on-prem-identiteten själva grunden för hela arkitekturen. Och för 90 % av företagen är det AD som det gäller.
Detta innebär att alla Zero Trust-strategier, liksom vilken säkerhetsarkitektur som helst, starkt beroende av säkerheten kring AD. Så hur säkrar du AD och den data som finns där? Genom att minimera attackytan för AD, övervaka AD för misstänkta händelser och ha en recovery plan för AD.
Minimera attackytan
- Gör dig av med alla onödiga administratörer. Det här rådet är 20 år gammalt, men är fortfarande relevant.
- Lås administratörsåtkomst till AD genom att skapa olika administrativa nivåer och arbetsstationer med privilegierad åtkomst (PAW).
- Säkra domänkontrollerna (DC) i AD med relevanta policyer och inställningar.
- Skanna AD regelbundet efter felkonfigurationer – avsiktliga eller inte – som kan utnyttjas för attacker.
Identifiera tecken på angrepp och återställ obehöriga ändringar
- Aktivera både grundläggande och avancerad auditing. Det är omöjligt att känna till ändringar i AD utan verktyg för att spåra ändringarna. Du behöver också en samlad bild av viktiga händelser.
- Övervaka objekts- och attributändringar i katalogtjänsten. Händelseloggen visar de flesta, men inte alla, ändringar som gjorts i AD.
Skapa en action plan för intrång
- Övervakning av oönskade förändringar är viktigt. Du måste också automatiskt kunna rulla tillbaka ändringarna.
- Förbered dig på att hantera stora attacker. Kryptering av ditt nätverk, inklusive AD, kräver en automatiserad återställningsstrategi som inkluderar säkerhetskopior offline av alla infrastrukturkomponenter.
Av Daniel Wingenblixt, Semperis