Закрийте меню
    Цікаве
    П’ятниця, 12 Вересня
    ШІ для Юнікорнів | Кібербезпека крізь "Тканину Ідентичностей": як врятувати цифрову фортецю від "Пропуску"
    Огляд

    Кібербезпека крізь “Тканину Ідентичностей”: як врятувати цифрову фортецю від “Пропуску”

    Ліла ГартBy Оновлено:Коментарів немає10 мінут читання

    Той самий “Пропуск”, що запускає кібервійну: як оживити управління безпекою через “тканину ідентичностей”

    На минулому тижні мій знайомий розробник, – чудовий хлопець, що здатний зламати будь-який код, але губиться в бюрократії, – запитав мене: “Ліло, чому, власне, коли говорять про кібербезпеку, згадують переважно про фаєрволи та антивіруси, а мою “იდентифікаційну карту” комп’ютера ніби загубили? Це ж як двері без замка, чи не так?” Його питання, виказане за пачкою чіпсів та з долею сарказму, змусило мене замислитись. Бо, відверто кажучи, саме це і є та сама “дірка”, через яку пролазять непрохані гості нашого цифрового життя.

    Уявіть собі: ви будуєте нову фортецю, з міцними мурами та глибоким ровом, але біля головних воріт забули поставити надійного вартового, який би перевіряв: хто входить, а хто – виходить. Звучить абсурдно, чи не так? Але саме так виглядає сучасна кібербезпека у багатьох компаніях. Ми спілкувалися з Бобом Калкою, глобальним лідером з ідентичності в IBM, та Тайлером Лінчем, головним технічним директором з HashiCorp (тепер також частина IBM), і вони розповіли, як це “забуте” управління ідентичностями поступово перетворює навіть найміцніші цифрові фортеці на сито.

    Коли “людське” та “машинне” танцюють окремо: історія розриву

    Знаєте, що найцікавіше? Переважна більшість організацій, коли мова заходить про цифрову безпеку, працюють з двома різними “світами”: з IT-відділом, що керує “людськими” ідентичностями – тобто, вашими обліковими записами, вашими правами доступу, вашим статусом “хто ви є” в компанії. І з DevOps чи іншими технічними командами, які відповідають за “нелюдські” ідентичності – це ідентифікатори ваших додатків, серверів, програмних інтерфейсів, що працюють “за лаштунками”.

    А найстрашніше те, що ці два світи часто не те що не спілкуються, а навіть не здогадуються про існування один одного. Боб і Тайлер наводять вражаючу статистику: 80% усіх кібератак нині пов’язані з ідентичністю. Тобто, у 8 із 10 випадків, коли хтось зламує систему, він використовує саме “двері, що ведуть у нікуди” – або ваші облікові дані, або слабкі паролі машин. І це не тому, що інструменти погані. Це тому, що вони не працюють разом, як злагоджений оркестр. Більшість компаній намагаються “накрутити” аналітику поведінки користувачів на вже існуючі системи, але це як намагатися навчити старого лінивця бігати марафон – ефект мінімальний.

    “Я – це не тільки моє ім’я”: хто ми в цифровому світі?

    Давайте розберемось, що ж таке ця “ідентичність” у цифровому вимірі. Це не просто ваш логін та пароль. Це ваш паспорт, ваші права, ваш ключ від усіх дверей, які вам дозволено відчиняти.

    “Люди”:

    • Працівники (Workforce Identity): Це ви, я, ваш колега – будь-хто, хто працює в компанії та має доступ до її ресурсів. Ваші облікові записи, ваш доступ до корпоративної пошти, до ваших файлів, до специфічних програм. IT-відділ зазвичай відповідає за це.
    • Споживачі/Громадяни (Consumer Identity / CIAM): Це всі, хто користується послугами компанії онлайн – ви, коли замовляєте, наприклад, піцу через додаток, або коли сплачуєте комунальні послуги. Це теж ваша цифрова “особа”, але вже в контексті клієнта.

    “Не люди”:

    • Машинні ідентичності: Це “душі” ваших додатків, серверів, кодів, баз даних. Вони теж потребують доступу, авторизації, прав. Уявляйте це як цифрові “дозволи” на роботу.
    • API ключі: Це як секретні коди, що дозволяють одним програмам “спілкуватися” з іншими.
    • PKI (Public Key Infrastructure): Це про складніші криптографічні ключі, що забезпечують безпеку зв’язку, наприклад, захищені з’єднання.
    • Штучний інтелект (AI) та Агенти: Зі зростанням ШІ з’явилися нові “суб’єкти”, які потребують ідентифікації, прав доступу, і часто діють від імені людей. Уявіть собі, як ваша програма-асистент має доступ до ваших особистих даних, щоб виконати завдання.

    Від “комп’ютер – це комп’ютер” до “комп’ютер – це я”: як це працює?

    Уявіть собі, що ви приходите в банк. Вас зустрічає менеджер (IT-відділ), який перевіряє ваші документи (людська ідентичність). Але щоб отримати доступ до сейфа (захищені дані), вам потрібен ключ. Цей ключ може бути у вас, а може бути у вашої “машинки”, яка автоматично відкриває сейф за розкладом (машинна ідентичність). І ось де проблема: менеджер банку (IT) не знає, хто саме дав ключа машинці, а той, хто відповідає за сейф (DevOps), не в курсі, чи справді менеджер дозволив цій машинці працювати. Це породжує хаос.

    “Моя бабуся робила це інакше”: коли старі методи не працюють

    Що роблять компанії, коли їх запитують про стратегію управління ідентичностями? Найчастіше вони відповідають назвою інструменту. “Ми використовуємо Okta”, “Ми переходимо на IBM Identity Manager”, “У нас є Microsoft Azure AD”. Це як запитувати лікаря про ліки, а він називає вам назву таблетки, але не пояснює, як вона діє.

    Боб та Тайлер розповідають про типову картину: компаніям по 20-25 років. Вони мають старі, самописні системи управління ідентичностями, від яких намагаються позбутися вже 15-20 років. А поряд – нові хмарні рішення. І все це – для управління “людськими” ідентичностями.

    Але це лише верхівка айсберга. Далі йдуть “спадкові” (legacy) додатки – ті, що написані ще до ери хмар, до багатофакторної аутентифікації. Там паролі лежать просто в файлах, і часто автор того коду вже давно не працює в компанії. І як ці додатки керують ідентичностями? Або у файлах, або в таблицях SQL, часто без жодного хешування паролів. Це як залишати ключі від усіх дверей під килимком.

    І ще складніше стає, коли додаємо гібридні хмарні середовища. Кожна хмара (AWS, Azure, GCP) має свої власні інструменти для управління ідентичностями. І ви повинні керувати вашими працівниками, які працюють з цими хмарами, і вашими клієнтами, які отримують послуги через них. Уявіть: ви керуєте своїми воротами, потім воротами сусіднього будинку, потім автоматичними воротами міста, і все це – з різними ключами та різними правилами.

    “Тканина ідентичностей”: коли все стає на свої місця

    Щоб розв’язати цей хаос, IBM та HashiCorp пропонують концепцію “тканини ідентичностей” (Identity Fabric). Це не означає викинути все старе і купити нове (хоча це спокусливо, правда?). Це про те, щоб взяти інструменти, які у вас вже є, додати до них трохи “розуму” (AI), щоб вони почали працювати разом, утворюючи таку собі “тканину”, що об’єднує все.

    Уявіть собі, що всі ваші старовинні килими (legacy системи), нові дизайнерські килими (хмарні сервіси) та навіть невеличкі килимки (API) – все це зшивається разом міцною ниткою (Identity Fabric), утворюючи єдиний, естетичний і, головне, безпечний простір.

    Шість кроків до “ідентифікаційної гармонії”: чого насправді хочуть компанії?

    Компанії, з якими спілкуються Боб та Тайлер, мають багато побажань щодо управління ідентичностями. Але є шість ключових моментів, які стають “червоною ниткою” в кожній розмові.

    1. “Я бачу все” (Identity Observability): Це ніби мати всеосяжний моніторинг вашого цифрового маєтку. Чи можете ви знайти, де саме “заховані” секрети, наприклад, паролі, вшиті прямо в код програми? Чи знаєте ви про “тіньові” директорії, створені якимось відділом, який давно про них забув, а зараз ними користуються тисячі людей? Це про виявлення “тіньових” ідентичностей та “тіньових” активів.

      • Цікаво знати: Багато організацій намагаються знайти “тіньові” секрети, використовуючи окремі інструменти, але проблема в тому, що вони не можуть побачити, як “людські” та “нелюдські” ідентичності взаємодіють. Уявіть, що якась “машинка” на сервері отримує доступ до бази даних, а потім раптом 20 ваших працівників починають користуватися цією “машинкою”, хоча половина з них не використовувала її роками! Це сигнал тривоги, але хто його побачить?

    2. “Без перешкод” (Frictionless Access): Це про те, щоб позбутися надмірного введення паролів і зробити процес доступу простим та безпечним. Пам’ятаєте, коли вам доводилося вводити пароль, потім код з SMS, потім ще якесь підтвердження? А тепер просто подивіться на сучасні пасключі (passkeys) – це як цифровий підпис, який робить доступ миттєвим і безпечним.

      • Не робіть так: Не залишайте старі додатки, які навіть не підтримують багатофакторну аутентифікацію. Вони – як прогнилі двері, через які може зайти будь-хто.

    3. “Схованок більше немає” (Centralized Secrets Management): Уявіть, що всі ваші ключі від сейфів, паролі до баз даних, ключі до хмар – все зберігається в одному надійному, охоронюваному місці. Це як мати єдиний сейф для всіх найцінніших речей.

      • Проблема: Часто ці “секрети” – це статичні паролі. І якщо хтось випадково “просочить” їх на GitHub, кіберзлочинці їх миттєво знайдуть і використають.
      • Рішення? Варто переходити до динамічних паролів – це як мати ключ, який створюється саме тоді, коли він потрібен, і працює тільки для конкретної операції. Або хоча б регулярна ротація паролів, щоб вони не були “вічними”.

    4. “Найкращі з найкращих під особливим наглядом” (Privileged Access Management – PAM): Ми знаємо, що є користувачі (люди або машини), які мають особливі права – вони можуть змінювати налаштування, отримувати доступ до найважливіших даних. І цим “привілейованим” користувачам приділяється особлива увага.

      • Сумна реальність: Більшість компаній покривають PAM лише 20-70% своїх привілейованих користувачів, залишаючи решту незахищеними. Це як мати надійний замок тільки на вхідних дверях, але залишати вікна відкритими. Страхові компанії вже вимагають повного контролю над цим, інакше – прощавай, поліс.

    5. “Виявлення загроз в реальному часі” (Identity Threat Detection and Response – ITDR): Це про те, як виявити порушення політики безпеки чи спроби обійти захист прямо в момент їхнього виникнення. Уявіть, що людина проходить перевірку, але система не виявила, що вона пропустила обов’язкову багатофакторну автентифікацію. Або коли хтось обійшов VPN. ITDR – це про те, щоб побачити ці “обхідні шляхи” та зупинити атаку, поки вона не розрослася.

      • Вибухова статистика: Третина всіх атак використовує компрометовані облікові дані. Щоб виявити таку атаку, в середньому потрібно 292 дні! Уявіть, що ви можете виявити її за 10 секунд, просто аналізуючи, як швидко людина друкує, чи не “позичила” вона чиїсь дані.

    6. “Я, ти, він, вона – хто є хто?” (Behavioral Analysis): Це як детектор брехні для цифрових ідентичностей. Система аналізує поведінку користувачів, їх типові дії, час доступу. Якщо хтось раптом почав діяти зовсім інакше, це виявляється. Це допомагає виявити атаки, що використовують легітимні, але скомпрометовані облікові дані.

    Як це все оживити: “Зроби сам” альбом безпеки

    Щоб перейти від хаосу до гармонії, Боб та Тайлер пропонують такий план дій – це як процес створення фотоальбому ваших цифрових ідентичностей:

    1. “Інспекція” (Inspect): Це перший крок – “інвентаризація”. Де ховаються ваші секрети? У коді? У файлах конфігурації? У записках? Треба знайти все, щоб зрозуміти масштаб проблеми. Це як зібрати всі старі фотографії, щоб зрозуміти, скільки їх і які з них найцінніші.

      • Головне правило: Якщо ви не бачите, ви не можете захистити.

    2. “Захист” (Protect): Коли ви знаєте, що маєте, ви починаєте це захищати. Це означає:

      • Централізоване управління секретами: всі ключі в одному надійному сейфі.
      • PAM: особлива увага до найважливіших “сховищ”.
      • ITDR та поведінковий аналіз: моніторинг, виявлення аномалій і реакція.

    3. “Управління” (Govern): Це про те, щоб контролювати весь життєвий цикл ваших ідентичностей – як вони з’являються, як змінюються, як зникають. Це стосується і людей, і машин. Це як дбайливо впорядковувати ваші фотографії в альбомі, підписувати їх, групувати за подіями.

    Чи це взагалі реально?

    Боб та Тайлер не приховують: це велика робота. Але вони наполягають, що рух до “тканини ідентичностей” – це не просто модна тенденція, це реальна необхідність. Це дозволяє:

    • Спростити управління: менше хаосу, більше порядку.
    • Зміцнити безпеку: залатати “дірки”, через які пробираються зловмисники.
    • Підвищити ефективність: розробники та IT-спеціалісти витрачають менше часу на пошук проблем і більше – на створення нового.

    Що далі? Моя фінальна думка

    Пам’ятаєте мого друга-розробника? Його питання про “відсутню ідентифікаційну карту” було дуже влучним. Адже саме ці “картки”, або точніше – наше вміння керувати ними, є ключем до справжньої кібербезпеки.

    “Тканина ідентичностей” – це не про панацею, це про побудову системи, де кожна деталь має своє місце, де кожен “ключ” знає, до яких “дверей” йому можна доторкнутися. Це про те, щоб перетворити наш цифровий хаос на злагодженний, безпечний оркестр, де кожен інструмент грає свою партію, підкоряючись єдиній, важливій мелодії – надійності та безпеці.

    І якщо ви теж відчуваєте, що ваші цифрові двері мають надто багато “відкритих” замків, можливо, саме час почати зшивати свою власну “тканину ідентичностей”. Це буде подорож, але, повірте, вона того варта.

    Підсумовуючи, сучасна кібербезпека не може існувати без цілісного підходу до управління як людськими, так і нелюдськими ідентичностями. Концепція “тканини ідентичностей”, запропонована IBM та HashiCorp, пропонує шлях подолання розрізненості систем, використання AI для покращення безпеки та забезпечення безперешкодного, але надійного доступу. Це шлях до зменшення ризиків, оптимізації процесів та побудови справді стійкої цифрової інфраструктури.

    Заклик до дії: Не чекайте, доки “тіньові” секрети чи “слабкі” паролі стануть причиною великої проблеми. Почніть зі “спілкування” з вашими IT та DevOps командами, виявіть слабкі ланки у вашій системі управління ідентичностями та дослідіть можливості інтеграції та автоматизації. Ваша цифрова фортеця залежить від того, наскільки добре ви знаєте, хто має ключі від усіх її дверей.

    Дивитись ще по темі статті
    Поділитися.
    Портрет Ліла Гарт, крупним планом. Жінка з рудим волоссям, усміхнена. Фотографія в студії. LilaHart portrait.

    Ліла Харт — авторка, яка перетворює інтерв’ю та події на історії з серцем. Її тексти — це легкий стиль, жива емоція й увага до деталей, що надихають.

    Пов’язані повідомлення

    0 0 голоси
    Рейтинг статті
    Підписатися
    Сповістити про
    guest
    0 Коментарі
    Найстаріші
    Найновіше Найбільше голосів
    Зворотній зв'язок в режимі реального часу
    Переглянути всі коментарі
    Cookies
    Ми використовуємо файли cookie. Якщо ви вважаєте, що це нормально, просто натисніть «Прийняти все». Ви також можете вибрати, який тип файлів cookie вам потрібен, натиснувши «Налаштування». Ознайомтеся з нашою політикою використання файлів cookie
    Налаштування Прийняти все
    Cookies
    Виберіть, які файли cookie приймати. Ваш вибір буде збережено протягом одного року. Ознайомтеся з нашою політикою використання файлів cookie
    Зберігти Прийняти все
    0
    Буду рада вашим думкам, прокоментуйте.x