Micro Focus: Cyberbezpieczeństwo jak racja stanu

Cyfryzacja wewnętrznych procesów firmy, rosnący portfel aplikacji, obejmujących coraz szerszy obszar jej funkcjonowania, szybki rozwój kanałów mobilnej komunikacji, cyfryzacja relacji z klientem – wszystkie te zjawiska wymagają zmiany w podejściu do zarządzania dostępem i tożsamością użytkowników. Bezpieczeństwa scyfryzowanej firmy nie da się oprzeć już wyłącznie na zabezpieczeniach “granic”. Stały się za sprawą cyfryzacji przenikliwe i rozmyte.

Zupełnie niezrozumiałe jest więc w nowej sytuacji, w jakiej znajduje się większość firm, zaniedbywanie aspektu właściwej kontroli dostępu, zarządzania kwestią uprawnień, ról użytkowników, kwestią doboru i efektywności technologii temu służących. Praktyka uniwersalnego zabezpieczania dostępu do systemów kontem i hasłem, podatnym na przełamanie, odchodzi szybko do lamusa. Dlatego rynek orientuje się obecnie na zaawansowane uwierzytelnianie.

Renesans zaawansowanego uwierzytelniania

Dostępna jest cała gama rozwiązań realizujących dodatkowe potwierdzenie tożsamości, integrujących się do ram polityki i środowiska odpowiedzialnego za zaawansowane uwierzytelnienie. Takimi przykładami jest wykorzystanie otwartych standardów Universal 2nd Factor (U2F) czy aplikacji smartfonowych. Cechuje je szybkość wdrożenia, intuicyjność, użyteczność i ergonomia. Wspiera je także doświadczenie prywatne użytkowników – w cyfrowym świecie wszyscy korzystają np. z bankowości, która wymaga podwójnego potwierdzenia.

Dostępność wielu metod pozwala na realizowanie różnych scenariuszy zarządzania cyfrową tożsamością użytkownika w firmie. Można dostosować je do funkcji pracownika czy miejsca, z którego chce łączyć się z firmowymi aplikacjami czy urządzeniami. Ważne, aby ramy, w których działają, pozwalały na objęciem rozwiązaniem całości wykorzystywanego środowiska (logowanie na stacjach i serwerach, środowisko VDI, aplikacje wewnętrzne i w chmurze, dostęp zdalny i uprzywilejowany, dostęp VPN), a zastosowanie otwartych standardów, nie zamykało klienta w kręgu rozwiązań i technologii jednego dostawcy. Takie ramy oferuje środowisko Micro Focus NetIQ Advanced Authentication.

Jego drugą cechą jest kompleksowość – swoista pojemność zastosowań. Środowisko Micro Focus obejmuje nie tylko uwierzytelnianie, ale także procesy zarządzania tożsamością oraz kontroli uprawnień w firmie. W tej liczbie są procesy związane z udostępnianiem, tworzeniem kont z uprawnieniami zgodnie z procesem zatrudnieniem pracownika, automatyzacja tego procesu w myśl firmowych reguł, a także audyt ukierunkowany pod kątem analizy ryzyka związanego z aplikacjami i uprawnieniami użytkowników oraz możliwość certyfikacji uprawnień pod kątem ryzyka.

Polityka realna zamiast papierowej

Wiele firm patrzy na zarządzanie tożsamością właśnie od strony automatyzacji, podczas gdy nie są jeszcze na to gotowe. Można zatem podejść do problemu od strony bezpieczeństwa, a więc audytu, przeglądu uprawnień, ustalenia kto i do czego posiada dostęp. To niezbędny krok do stworzenie następnie matryc ryzyka i na tej podstawie recertyfikacji, doboru ról i uprawnień. W efekcie polityka bezpieczeństwa nie będzie działała tylko na papierze, ale będzie spójna i efektywna także w rzeczywistości.

Realizowane w środowisku Micro Focus nowe podejście włącza w problematykę zarzadzania tożsamością i uwierzytelniania odpowiednie funkcje i działy w firmie. Z jednej strony to odciąża działy IT i bezpieczeństwa. Z drugiej strony, dział kadr pozostaje rzeczywistym właścicielem procesu cyklu życia pracownika w firmie, działy biznesowe mają wgląd i wpływ na kształt reguł, egzekwują je i projektują a następnie zarządzają nimi. Elementem nadrzędnym są wówczas narzędzia Micro Focus NetIQ Identity Manager oraz Identity Governance, spinające reguły i politykę w całej firmie, potwierdzające cyklicznymi audytami zgodność.

W tempie cyfryzacji

Bardzo dynamiczna sytuacja cyfrowej warstwy firmy – usług, produktów, które szybko pojawiają się i zmieniają, także znajduje odzwierciedlenie w szerokim spektrum narzędzi Micro Focus. Odpowiedź na ową zmienność powinna także wyrażać się w szybkości reakcji, mierzonej czasem nieomal rzeczywistym.

Nadążanie w taki sposób za bezpieczeństwem – rozumianym także jako właściwe egzekwowanie wynikających z ról i zadań przydziałów do zasobów – i audytem, realizowane jest w dwu wymiarach. W czasie rzeczywistym rozwiązania SIEM śledzą różne kategorie incydentów bezpieczeństwa.

Narzędzie NetIQ Identity Governance pozwala również na śledzenie wybranych zmian w obrębie tożsamości i uprawnień użytkowników i robić stosowne mikrocertyfikacje ograniczone do wybranych uprawnień, aby nie dokonywać zmian całości, ale traktować priorytetowo ważne w danej chwili elementy, np. konta uprzywilejowane.
Od strony ryzyka – bo w taki sposób patrzą na zagadnienie duże organizacje – pozwala to na efektywne czasowo i kosztowo niwelowanie ryzyka. Stała analiza ryzyka pozwala wybierać obszary najbardziej zagrożone i wymagające odpowiednich działań. W środowisku NetIQ Identity Governance możliwe jest określanie ryzyka związanego z uprawnieniami określonymi w aplikacjach. W następnym kroku możliwa jest korekta – stworzenie odpowiedniej mikrocertyfikacji.

Drugi trend odnoszący się do uwierzytelniania to adaptacyjne ocenianie ryzyka w czasie uzyskiwania dostępu. Ocenie podlega wzorzec logowania, jeśli np. użytkownik loguje się ze stałego miejsca, sieci, przy pomocy tych co zwykle coockies, środowiska – to system kwalifikuje działanie jako nieryzykowne. Ale zmiana jakiegoś parametru, geograficznego albo technologicznego, powoduje, że system wymusza dodatkowy czynnik uwierzytelnienia w celu obniżenia ryzyka. W ten sposób zachowanie systemu dopasowuje się do poziomu ryzyka.

Szybka ścieżka PAM

Zarządzanie tożsamością i audyt powinny być wdrożone w możliwie jak najszerszy sposób, taka automatyzacja jest efektywna i opłacalna tylko w dużych obszarach firmy.

Osobną, wymagającą wyodrębnienia kwestią jest obsługa użytkowników o wysokich uprawnieniach, do czego służy Micro Focus Privileged Access Management (PAM), która z kolei z zasady dotyczy nielicznego grona. Zarządzanie dostępem uprzywilejowanym jest specyficzne także z innych powodów. Po pierwsze – musi obejmować wiele scenariuszy działania, np. dostęp do systemów na uprzywilejowanych prawach bez ujawniania sposobu uwierzytelniania.

Wymaga także monitorowania pracy użytkownika, np. nagrywania sesji do celów compliance’owych, czemu służą dodatkowe narzędzia, np. do archiwizacji specjalnej korespondencji. Warto dodać, że rozwiązanie do silnego uwierzytelniania NetIQ Advanced Authentication – ma szerokie możliwości integracji i może uzupełniać i współpracować z istniejącymi, konkurencyjnymi rozwiązaniami PAM.

Owa otwartość – to ogólna cecha rozwiązań Micro Focus. Choć są one zwykle od lat obecne w firmach, to współdziałają także z zastałymi rozwiązaniami, ukierunkowując się raczej na integrację i rozbudowę funkcjonalności pokrywających wszystkie potrzebne aspekty bezpieczeństwa i potwierdzania tożsamości.

Połączyć kropki

Ta swoista pojemność, potencjał integracyjny doskonale sprawdza się w obecnej sytuacji. Firmy gwałtownie przetestowały możliwość pracy zdalnej. Wszystko wskazuje na to, że ten model pozostanie na dłużej. Mamy świadomość, że pracownicy niekiedy pracują nie na swoim sprzęcie, poza pracą. Rozwiązania Advanced Authentication, Identity Manager i Identity Governance pozwalają kontrolować dostęp i przydzielić odpowiednio przywileje, a zajmą się tym osoby z biznesu, którzy najlepiej wiedzą, czy dany użytkownik może korzystać z systemu czy nie. Zmiany – czyli dostęp są przyznawane i odbierane w ramach dynamicznego, rzeczywistego workflow. Dopiero taki system jest bezpieczny i adekwatny do czasów, w których funkcjonują dziś firmy.

Zbyt często w odniesieniu do zarządzania tożsamością w firmach pokutuje myślenie i podejście punktowe. Tymczasem warto połączyć kropki, budowanie wizji poszczególnych rozwiązań nie powinno dotyczyć tylko pojedynczych obszarów. Polityka bezpieczeństwa firmy, obejmująca jasny, zarządzany, efektywny system kontroli dostępu poprzez dodatkowe mechanizmy, przydzielania uprawnień i przywilejów, oraz audytu powinna być jak polityka zagraniczna państwa: funkcjonować według kursu wyznaczanego racją stanu.

Tomasz Surmacz, Rafał Kruschewski