Företag har utvecklat och använt IAM-strategier (Identity and Access Management) i decennier. ”Det började med tidsdelning på stordatorer, så inget är nytt under solen”, säger Jay Bretzmann, programdirektör för säkerhetsprodukter på analysföretaget IDC.
Trots att så mycket vatten runnit under broarna sker det fortfarande misstag, speciellt när företag uppgraderar sina IAM-plattformar till sådana som är bättre anpassade för moderna it-system. Här kommer sex sätt att se om ett företags IAM-strategi misslyckas.
1. Användare kan inte komma åt sina applikationer, men kriminella kan
Det primära målet med en IAM-plattform är att låta legitima användare komma åt de resurser de behöver, samtidigt som man vill hålla skurkarna borta. Om det omvända händer har något gått fel. Enligt den senaste utgåvan av Verizon Data Breach Incident Report var stulna inloggningsuppgifter den vanligaste attackmetoden förra året – hälften av totala antalet intrång och 80 procent av alla intrång i webbapplikationer.
Det första företag oftast försöker göra är att röra sig bort från simpla användarnamn och lösenord, och lägga till engångslösenord över sms, säger Bretzmann. Men det hjälper inte särskilt mycket, och till att börja med förvärrar det för användarna. ”Rätt gjort är IAM mer än bara samlad inloggning och flerfaktorsautentisering. Det handlar om att förstå mångfalden av användare som begär tillgång till it-system och lösa deras konnektivitetsproblem”, säger Bretzmann.
Enligt analytikern Andras Cser på Forrester omfattar IAM-system bland annat anställda, affärspartners och slutkunder. Alla kräver olika tillvägagångssätt. För anställda vänder sig företag ofta till leverantörer av identity-as-a-service-system som Okta eller Azure Active Directory, eller IAM-system i egen regi, som, enligt Cser, fortfarande är mer kraftfulla och funktionsrika än molnbaserade alternativ. För kunderna börjar företag röra sig bort från användarnamn och lösenord mot sociala inloggningslösningar som dem från Google och Facebook.
En annan kategori, slutligen, är maskinidentiteter. Enligt en undersökning från förra hösten, från Pulse and Keyfactor, prioriteras maskinidentiteter lägre än användaridentiteter, men 95 procent av CIO:erna säger att deras IAM-strategier kan skydda maskinidentiteter från attacker.
Företag behöver också vara uppmärksamma på det faktum att de behöver skydda alla dessa typer av användare i ett antal olika miljöer – i egna miljöer, moln, SaaS-tjänster, mobiler och vid distansarbete.
2. Avgränsade plattformar för identitets- accesshantering
Enligt analytikern Henrique Teixeira på Gartner använder många organisationer olika lösningar för accesshantering, ledning och administration av identiteter och för hantering av privilegierad åtkomst. Dessa silos skapar merarbete, ”och det finns ofta luckor mellan varje lösning som angripare kan dra nytta av”.
Leverantörer börjar röra sig mot enhetliga system för att lösa detta, säger Teixeira. ”Okta och Microsoft, till exempel, har börjat erbjuda mer konvergerade plattformar”. Gartner räknar med att till 2025 kommer 70 procent av de IAM-system som införs att vara dessa konvergerade IAM-plattformar, men de konsumentinriktade IAM-system ligger än mer efter, säger Teixeira. ”De flesta organisationer använder skräddarsydda, hemmasnickrade applikationer. Det är problematiskt om man behöver möta nya regulatoriska krav kring integritet och för att skydda infrastrukturen mot mer moderna typer av attacker”.
3. En överdrivet aggressiv utrullningsplan för IAM
Det kan vara frestande att tro att en IAM-plattform kommer att kunna göra allt med en gång. Cheferna kan lätt bli överentusiastiska och leverantörerna lovar för mycket, säger Andras Cser. ”Det är problematiskt för många organisationer. Om du försöker installera en accesshanteringslösning och måste få alla dina 300 applikationer att köra igång på samma dag så kommer du att misslyckas”.
Iställer rekommenderar Cser utrullning i faser. Att göra allt på en gång är orealistiskt. Oavsett vad leverantörerna lovar behöver företag till exempel göra fler speciallösningar och lägga mer arbete på orkestrering för att integrera sina applikationer. Detta är särskilt sant om en modern process in i IAM kräver att man behöver ändra på interna processer.
Cser rekommenderar att företag som gör en IAM-uppdatering utnyttjar tillfället till att förenkla och rationalisera processen först. ”Och inte implementerar den existerande röran. Det är som att flytta. När du flyttar från ett ställe till ett annat vill du slänga saker först och inte ta med dem till det nya stället.
4. Separat autentisering och auktorisation
”IAM är en hörnsten i alla säkerhets- och it-program”, säger Rohit Parchuri, it-säkerhetschef på Yext, ett företag inom sökteknik. Utan IAM får andra säkerhetskontroller minskande affärsvärde och kommer inte till sin fulla rätt. ”Du behöver veta vilka användare och tillgångar som finns i din portfolio innan du kan börja skydda dem. IAM ger dig både inblick i accesslandskapet samtidigt som det möjliggör funktioner som kontrollerar den accessen”.
I tidigare roller har Parchuri stött på ett par problem när han rullat ut IAM-system. ”När vi ursprungligen gick in i genomförandet av IAM missade vi att lägga till några saker till våra framgångskriterier”. Det första problemet var att auktorisering behandlades separat från autentisering. ”Med en en separat auktoriseringsserver behövde vi hoppa mellan autentiserings- och auktoriseringspraktiker i två olika system”. Detta ökade den totala ägandekostnaden och lade sten på börda för teamet med att hantera två separata entiteter.
5. Blinda fläckar i autentiseringen
Ett annat problem som Parchuri stötte på var att några system inte var katalogiserade och lutade sig fortfarande mot lokal autentisering. ”Att ha lokal autentisering på våra interna system gjorde att synligheten brast i termer av sessionshantering och hantering av användare”, säger Parchuri. Dessa saker borde ha tagits hand om av IAM-verktyget, men icke.
Företaget upptäckte missen när de kollade systemets täckning i ett program för hantering av tillgångar. ”Vi fann att applikationer som fanns med i vår databas för konfigurationshantering inte fångades upp av IAM-verktyget”, säger Parchuri. ”När vi väl identifierat dessa applikationer noterade vi också att IAM-verktyget outsourcat auktoriseringsvalideringen till ett lokalt system, trots att det fanns med i IAM-verktyget som en entitet”.
För att fixa detta blev den svåraste biten att klura ut om IAM-verktyget och de interna verktygen kunde integreras med hjälp av Security Assertion Markup Language (SAML) eller Cross-Domain Identity Management (SCIM). ”När vi fått det i rullning handlade resten om genomförande och evig hantering”, säger Parchuri.
6. Flera IAM-system skapar visibilitetsproblem
Företag får ibland problem med att integrera disparata IAM-plattformar, säger Luke Tenery, partner på Stoneturn, ett globalt rådgivningsföretag som specialiserar sig på utmaningar inom regulatoriska risker och regelefterlevnad. ”Om de har för många system för identitetshantering blir det svårt att hitta relationer mellan säkerhetsavvikelser. Det är smärtsamt”.
Många cyberattacker, till exempel, involverar någon form av komprometterad e-post. Om samma identitet används för, säg, access till företagets Salesforce-system kan det uppstå en betydlig försening innan den andra attackvektorn upptäcks. ”Om det är samma användarnamn och lösenord som hanteras på ett decentraliserat sätt kan de kanske inte se intrånget som pågår i Salesforce. Om det hänger kvar länge finns det en ökad risk att det påverkar organisationen. Ju längre cancertumören är i kroppen ju mer tid har den på sig att ställa till skada”, säger Tenery.
En gång såg Tenery ett fall där angriparen kunde ta sig in i en Salesforce-databas för ett lojalitetsprogram på ett globalt företag inom besöksnäringen och få tillgång till användardata för miljontals användare. Lösningen är att skapa en holistiskt överblick över identitets- och accesshantering i hela företaget. ”Det kan vara en plågsam process att skapa den enheten, men det finns plattformar som hjälper organisationer att konsolidera sina IAM-funktioner”, säger Tenery.
Om integration inte är en väg framåt finns det avancerade verktyg som drar nytta av maskininlärning och AI för att bygga dessa länkar genom automatisering. I fallet Salesforce och Office 365 finns det direkta integrationer. ”Och det finns tredjepartsverktyg som Obsidian Security, som vi använder. Det är en plattform som drar nytta av olika former av automation och maskininlärning för att identifierade identitetslänkar för att upptäcka säkerhetsavvikelser och hantera identitetsrisker”, säger Tenery.