Hybrida IT-miljöer, det vill säga miljöer som består av både lokala och molnbaserade lösningar, har blivit allt vanligare de senaste åren.
Det har medfört nya utmaningar för säkerhetsteamen, särskilt när det gäller identitetsmiljöer.
Ran Harel, Associate Vice President of Security Products på säkerhetsföretaget Semperis, bidrar med sina insikter inom området.
I en hybridmiljö innebär identitetshantering att övervaka både lokala Active Directory- (AD) och molnbaserade identitetsleverantörer som Azure AD eller Okta. Det medför komplexitet och innebär att hackare får fler potentiella svagheter att utnyttja.
Med ITDR-lösningar (Identity Threat Detection and Response) kan säkerhetsansvariga ändå känna igen och reagera på säkerhetshot som riktar sig mot identitetsdata och åtkomstkontroller. ITDR kan använda avancerad analys och maskininlärning för att upptäcka avvikelser och det går att återkalla åtkomstprivilegier, isolera drabbade system och genomföra utredningar för att avslöja grundorsaken till problemen.
Disaster Recovery är en viktig del för säkerhetshanteringen och i en hybrid miljö kan det innebära säkerhetskopiering av identitetsdata och åtkomstkontroller, både lokalt och i molnet, och redundanta system som säkerställer tillgängligheten av de mest kritiska tjänsterna. Det är också viktigt att testa Disaster Recovery-planerna regelbundet.
AD- och Azure AD-miljöer innehåller ofta känslig identitetsdata som, om den äventyras, kan leda till allvarliga säkerhetsintrång. Några av de mest anmärkningsvärda sårbarheter som organisationer möter när de säkrar AD- och Azure AD-miljöer är:
- Svaga lösenord: Angripare kan utnyttja lösenord som är lätta att gissa för att få åtkomst till känslig data, så organisationer bör prioritera robusta lösenordspolicyer med komplexa lösenord som ändras regelbundet.
- Frånvaron av Multi-Factor Authentication (MFA): Utan MFA kan angripare komma åt känslig data genom att helt enkelt stjäla eller gissa lösenord. Organisationer bör implementera MFA för att lägga till ett extra säkerhetslager.
- Felkonfigurerade behörigheter: Organisationer måste begränsa åtkomsten till känsliga data och system så att endast auktoriserade användare kommer åt dem, och regelbundet uppdatera behörigheterna.
- Gammal programvara: Regelbundna programuppdateringar och tillämpning av säkerhetskorrigeringar är avgörande för att minimera risken för sådana attacker.
- Insiderhot: Vare sig det är avsiktligt eller inte, visar statistik att anställda utgör en betydande risk. Organisationer bör därför införa åtkomstkontroller för att förhindra obehörig åtkomst till känsliga uppgifter. Dessutom är det viktigt att utbilda anställda om riskerna med insiderhot.
För att hantera detta behöver företag göra en noggrann riskbedömning: Den kan synliggöra sårbarheter och ge insikter om potentiella konsekvenser av it-intrång. Bedömningen bör omfatta alla aspekter av hybrididentitetsmiljön, inklusive lokala och molnbaserade identitetssystem, nätverksarkitektur, åtkomstkontroller och datasäkerhetspolicyer.
Implementera ett säkerhetsramverk: Säkerhetsramverk som NIST Cybersecurity Framework eller ISO 27001-standarden erbjuder ett strukturerat sätt att identifiera och åtgärda säkerhetsbrister i en hybrid identitetsmiljö.
Distribuera säkerhetsverktyg: Olika säkerhetsverktyg kan hjälpa organisationer att identifiera och åtgärda säkerhetsbrister. Verktygen kan omfatta lösningar för identitets- och åtkomsthantering (IAM), MFA, lösningar för säkerhetsinformation och händelsehantering (SIEM), system för intrångsdetektering och slutpunktsskydd.
Regelbundna säkerhetstester: Säkerhetstester, inklusive penetrationstestning och sårbarhetsskanning, kan hjälpa till att identifiera svagheter i en organisations hybrididentitetssystem och ge insikter om hur man åtgärdar dem. Testningen bör dessutom integreras i organisationens övergripande säkerhetsstrategi.
Utbilda anställda i säkerhet: Anställda är ofta den svagaste länken i en organisations säkerhetskedja, vilket understryker nödvändigheten av regelbunden utbildning. Utbildningen bör omfatta ämnen som lösenordshantering och förebyggande av nätfiskeattacker.
Azure AD-säkerhetsindikatorer är ett avgörande verktyg för organisationer som använder Azure AD. De fungerar som en kod som skannar Azure AD, lokala AD-miljöer och hybridanslutningar för att upptäcka sårbarheter.
Betydelsen av Azure AD-säkerhetsindikatorer ligger i förmågan att lokalisera svagheter inom en organisations IAM-processer. Dessa sårbarheter kan omfatta felkonfigurerade behörigheter, svaga lösenord, gammal programvara och annat som angripare kan utnyttja för att få obehörig åtkomst till känslig data.
Säkerhetsindikatorer organisationer en helhetsbild av sina IAM-miljöer, vilket förbättrar synlighet och kontroll över användaråtkomst och behörigheter. Det är särskilt värdefullt för organisationer som arbetar i en hybridmiljö.
Genom att kombinera säkerhetsindikatorer med MITER D3FEND-modellen får säkerhetteam en mer omfattande och målinriktad strategi för att försvara sig mot cyberhot. Säkerhetsindikatorer ger insikter om specifika sårbarheter och exponeringar inom en organisations system, medan MITER D3FEND-modellen utgör ett ramverk för att utveckla motåtgärder mot vanliga attacktekniker. Om en säkerhetsindikator upptäcker en sårbarhet i ett visst system, kan man använda MITER D3FEND-modellen för att identifiera relevanta motåtgärder.
Modellen kan också användas för att utveckla proaktiva försvarsstrategier som ligger i linje med organisationens specifika riskprofil. Genom att mappa specifika säkerhetsindikatorer till relevanta åtgärder, kan säkerhetsteam utveckla en riktad och effektiv försvarsstrategi som prioriterar de mest kritiska områdena, och på så sätt skapa en effektiv säkerhetslösning i dagens komplexa miljö.