Wat betekent het om "naar links te schakelen"?
"Shift left" is een krachtig concept dat prioriteit geeft aan het opsporen en oplossen van problemen eerder in een proces, waardoor defecten worden geminimaliseerd en de kwaliteit van de uitvoer wordt verhoogd. Bij beveiliging wordt de methodologie gebruikt om kwetsbaarheden te vinden die traditioneel worden aangepakt in detectie- en herstelcycli, en om die problemen stroomopwaarts preventief aan te pakken. Hoewel populair in het AppSec-domein, evolueert een even krachtige toepassing van links verschuiven in identiteitsbeheer. Identiteit is de nieuwe beveiligingsperimeter in de cloud-native wereld. We moeten een nieuw toegangsbeheerparadigma verkennen om risico's te verminderen, een paradigma dat wordt bepaald door het gebruik van beleid en automatisering.
De wereld van vandaag: Checkbox-compliance en IAM omwille van productiviteit
Er is geen tekort aan op identiteit gebaseerde aanvallen die de krantenkoppen halen, van privilege escalatie naar onbevoegde toegang, onder andere. Naleving, hoewel een goed signaal van algemene beveiligingspraktijken, is niet altijd een indicatie van echte risicovermindering. Driemaandelijkse of jaarlijkse toegangsbeoordelingen "ontdekken" overprovisioned en niet-offboarded gebruikers met gevoelige toegang, waardoor beveiligingslacunes maandenlang blijven bestaan. Hoewel een driemaandelijkse timing voldoende kan zijn om "het vakje aan te vinken", zou echte risicovermindering het uitvoeren van tijdige en frequentere beoordelingen voor de meeste applicaties vereisen (ongeacht of ze zijn verbonden met uw identiteitsprovider of niet). Het groeiende aantal SaaS- en IaaS-aanbiedingen, de impact van groepsuitbreiding, en het niveau van handmatige inspanning dat hiervoor nodig is, maakt frequentere beoordelingen onbetaalbaar voor de meeste bedrijven.
We zijn geworteld in een wereld die veiligheid inruilde voor productiviteit. We gunnen zoveel geboorterecht toegang mogelijk, zodat we het beheer van toegangswijzigingen downstream kunnen vermijden, maar toch periodiek deze toegang controleren zoals vereist door naleving. Als toegangswijzigingen nodig zijn, worden die over de muur gegooid via helpdesktickets die dagen of weken in de rij staan. Vanuit beveiligingsoogpunt wordt er veel energie gestoken in compliance en toegangsbeheer, maar we staan โโnog maar net aan de oppervlakte wat betreft risicobeperking.
Verander uw manier van denken: toegangscontroles die daadwerkelijk risico's verminderen
Betere beveiligingsresultaten op het gebied van compliance en IAM vereisen dat we automatiseren zoals ingenieurs en nieuwe benaderingen kiezen. Waarschuwingen, driemaandelijkse beoordelingen en ticketing zijn hardhandige detectie- en hersteltactieken die overprivilege identificeren en aanpakken nadat het al is gebeurd. Om naar links te verschuiven, moeten we moderniseren hoe de toegang wordt gecontroleerd. Het ontwerpen van moderne toegangscontroles vereist een identiteitsgerichte kijk op alle technologie, gedemocratiseerde besluitvorming over toegang, de mogelijkheid om minste privilege beleid als code, en vooral automatisering waar we die maar kunnen krijgen. Er is een eerste op principes gebaseerde benadering nodig om toegang te beveiligen: gebruikers moeten toegang hebben zolang ze die nodig hebben om hun werk te doen, en niet langer. Dit implementeren is moeilijk, maar hier zijn een paar starters:
1. Democratisering van toegangsbeheer, maar centrale handhaving van controlebeleid. Systeemeigenaren hebben de beste informatie en context voor waarom gebruikers toegang nodig hebben, en IT vindt het niet leuk om de tussenpersoon voor ticketverkoop te zijn. Toegangsbeslissingen van systeemeigenaren moeten worden afgewogen tegen een centraal gedefinieerd beleid voor toegangsbeheer op basis van classificaties. Beleid moet, indien mogelijk, in code worden gedefinieerd en worden beheerd via processen voor wijzigingsbeheer.
2. Rechtvaardiging van toegang en in de tijd beperkte toegang. Gebruikers hebben alleen toegang nodig als ze aan het werk zijn, een functie uitvoeren, bijdragen aan een team, op afroep werken, enzovoort. Rechtvaardiging is de context waarom een โโgebruiker op dat moment specifieke toegang nodig heeft. Zonder die rechtvaardiging is de toegang niet vereist en wordt deze automatisch verwijderd.
3. Automatisering van gebruikerstoegangsbeoordelingen (UAR's). UAR's zijn buitengewoon effectief in het verminderen van staande privileges en het identificeren van ongepaste accounts en toegang. Het probleem is dat handmatige UAR's te tijdrovend en arbeidsintensief zijn om vaak te worden uitgevoerd, wat vertragingen betekent bij het identificeren en intrekken van verlopen accounts en privileges. Met geautomatiseerde beoordelingen van gebruikerstoegang, vinden we dat 10% tot 25% van de toegang regelmatig wordt gemarkeerd als overprovisioned, ongepast of ongebruikt, en vervolgens wordt verwijderd.
4. Self-service en just-in-time toegangsprovisioning. Werknemers moeten toegang kunnen krijgen wanneer ze die nodig hebben uit uitgebreide app- en bronnencatalogi. Accounts en machtigingen moeten kunnen worden ingericht zonder handmatige aanrakingen, of ze nu zijn verbonden met de SSO-provider of niet. Het beleid moet het proces sturen, zodat toegang met lage bevoegdheden automatisch kan worden verleend zonder tussenkomst van een mens, en toegang met hogere bevoegdheden kan snel en efficiรซnt naar de juiste goedkeurders worden geleid.
Ga vooruit, schakel naar links met denken met de minste privileges, tools en automatisering
We moeten erkennen dat toegang rommelig is en die realiteit omarmen met het principe van de minste privileges en de automatisering om dit af te dwingen. We moeten ons niet richten op rigiditeit en centralisatie, maar op beleid en delegatie. Gebruikers wisselen van rol en team. Soms heb je tijdelijk toegang en machtigingen nodig. Medewerkers komen en gaan. Wat belangrijk is, is dat uw omgeving, bestuurd door beleid en beheerd door automatisering, altijd en voorspelbaar terugkeert naar het minimale niveau van gevoelige toegang dat nodig is voor uw team. Alleen dan kun je het aanvalsoppervlak van identiteit verkleinen en overgaan van het detecteren van inbreuken naar het vermijden ervan.
Over de auteur
Alex Bovee is mede-oprichter en CEO van ConductorOne, een technologiebedrijf dat zich richt op modern identiteitsbeheer en toegangscontrole. Met een achtergrond in beveiliging en identiteit leidde hij recentelijk Okta's zero-trust productportfolio en daarvoor de beveiligingsproducten voor bedrijfsapparaten bij Lookout Mobile Security. Hij was medeoprichter van ConductorOne om bedrijven te helpen veiliger en productiever te worden door middel van identiteitsgerichte automatisering en toegangscontrole. In zijn vrije tijd speelt hij graag gitaar en brengt hij zijn kinderen graag naar activiteiten.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://www.darkreading.com/cloud/shift-identity-left-preventing-identity-based-breaches
- a
- vermogen
- in staat
- boven
- toegang
- toegangsbeheer
- accounts
- activiteiten
- werkelijk
- adres
- Na
- alex
- Alles
- al
- altijd
- onder
- en
- gebruiken
- Aanvraag
- toepassingen
- nadering
- benaderingen
- GEBIED
- rond
- aanvallen
- Aanvallen
- auto
- automatiseren
- webmaster.
- Automatisering
- het vermijden van
- achtergrond
- gebaseerde
- worden
- wezen
- BEST
- Box camera's
- inbreuken
- ondernemingen
- Kan krijgen
- catalogi
- centraal
- Centralisatie
- ceo
- verandering
- Wijzigingen
- controle
- Mede-oprichter
- code
- hoe
- Bedrijven
- afstand
- nakoming
- uitgebreid
- concept
- gekoppeld blijven
- verband
- bij te dragen
- onder controle te houden
- gecontroleerd
- controles
- cycli
- dagen
- Besluitvorming
- beslissingen
- vertragingen
- gedemocratiseerd
- Opsporing
- apparaat
- Onthul Nu
- doen
- domein
- rit
- Vroeger
- effectief
- efficiรซnt
- inspanning
- omarmen
- medewerkers
- energie-niveau
- handhaving
- Ingenieurs
- en geniet van
- genoeg
- Enterprise
- Milieu
- even
- Ether (ETH)
- evoluerende
- Verken
- uiterst
- weinig
- VIND DE PLEK DIE PERFECT VOOR JOU IS
- Voornaam*
- Focus
- gericht
- Naar voren
- veelvuldig
- vaak
- oppompen van
- functie
- Algemeen
- krijgen
- Go
- goed
- bestuur
- toe te kennen
- verleend
- Groeiend
- gebeurd
- Hard
- Headlines
- hulp
- hier
- Hoe
- HTTPS
- menselijk
- mens in de lus
- IAM
- identificeren
- het identificeren van
- Identiteit
- identiteitsbeheer
- Impact
- uitvoering
- belangrijk
- in
- meer
- aanwijzing
- informatie
- problemen
- IT
- Jobomschrijving:
- kinderen
- arbeid
- verlaten
- LED
- Niveau
- lang
- langer
- lot
- gemaakt
- MERKEN
- maken
- beheerd
- management
- beheren
- handboek
- gemarkeerd
- max-width
- middel
- Methodologie
- macht
- minimaliseren
- minimum
- Mobile
- Mobile Security
- Modern
- moderniseren
- moment
- maanden
- meer
- meest
- beweging
- noodzakelijk
- Noodzaak
- nodig
- behoeften
- New
- Nieuwe toegang
- aantal
- aanbod
- OCTA
- EEN
- bestellen
- Overig
- eigenaren
- paradigma
- uitvoerend
- permissies
- plaats
- Plato
- Plato gegevensintelligentie
- PlatoData
- spelen
- beleidsmaatregelen
- portfolio
- mogelijk
- krachtige
- praktijken
- het voorkomen van
- principe
- Voorafgaand
- voorrechten
- probleem
- problemen
- processen
- Product
- productief
- produktiviteit
- Producten
- leverancier
- kwaliteit
- snel
- RE
- vast
- Realiteit
- onlangs
- herkennen
- verminderen
- vermindering
- regelmatig
- verwijderd
- te vragen
- vereisen
- nodig
- oplossen
- hulpbron
- Recensies
- Risico
- rollen
- lopen
- lopend
- SaaS
- sake
- beveiligen
- beveiligen
- veiligheid
- gevoelig
- verschuiving
- VERSCHUIVEN
- schaarste
- moet
- Signaal
- So
- specifiek
- besteed
- Gesponsorde
- starters
- Still
- Hierop volgend
- Oppervlak
- system
- tactiek
- Nemen
- team
- teams
- Technologie
- tijdelijk
- De
- hun
- daarbij
- het denken
- Door
- ticketing
- tickets
- niet de tijd of
- timing
- naar
- ook
- tools
- verhandeld
- traditioneel
- ongebruikt
- .
- Gebruiker
- gebruikers
- via
- Bekijk
- kwetsbaarheden
- weken
- Wat
- of
- welke
- en
- wil
- zonder
- werkzaam
- wereld
- zou
- Your
- zephyrnet
