Современное управление рисками идентификации: за рамками приоритизации бэклога

Парадигмальный сдвиг в приоритизации рисков идентификации

Большинство корпоративных программ управления идентификацией и доступом (IAM) по-прежнему полагаются на устаревшие методы приоритизации — ранжирование задач по объёму, срочности запросов заинтересованных сторон или сбоям в контроле. Эти подходы больше подходят для систем обработки IT-заявок, чем для современного управления рисками идентификации. Однако в условиях сложных гибридных, насыщенных машинами и динамичных сред, где риски идентификации возникают из сочетания технических, операционных и контекстуальных факторов, такие методы оказываются неэффективными.

Ограничения традиционных методов приоритизации

Классические подходы к приоритизации в IAM обычно фокусируются на:

• Триаж по объёму: решение наибольшего числа проблем в первую очередь
• Реакция на «шум»: реагирование на самые громкие жалобы или наиболее активных заинтересованных лиц
• Аудиты, ориентированные на контроль: исправление того, что не прошло проверку на соответствие или контроль безопасности

Хотя эти методы могут быть достаточными в статичных средах с преобладанием человеческих идентификаций, они не учитывают многогранную природу рисков идентификации в современных предприятиях. Сегодняшние среды характеризуются:

• Машинными идентификациями (сервисные аккаунты, API, IoT-устройства), часто превосходящими по численности человеческие идентификации
• Динамическим предоставлением доступа с использованием just-in-time-доступа и эфемерных рабочих нагрузок
• Гибридными инфраструктурами, охватывающими локальные, облачные и мультиоблачные развёртывания
• Сложными бизнес-контекстами, где требования к доступу варьируются в зависимости от подразделения, проекта и уровня чувствительности данных

Математика рисков в приоритизации идентификации

Эффективное управление рисками идентификации требует оценки комплексного уравнения рисков, включающего:

1. Состояние контроля

   • Существующие меры безопасности (MFA, условный доступ, повышение привилегий)
   • Пробелы в покрытии контроля для различных типов идентификаций и сред

2. Факторы гигиены

   • Заброшенные аккаунты и неактивные учётные данные
   • Избыточные привилегии и раздутые роли
   • Несогласованное управление жизненным циклом

3. Бизнес-контекст

   • Чувствительность данных и нормативные требования
   • Критические бизнес-процессы и зависимости
   • Доступ третьих сторон и цепочки поставок

4. Намерения угроз

   • Известные шаблоны атак, нацеленные на определённые типы идентификаций
   • Фокус злоумышленников на конкретных средах или типах данных
   • Актуальные угрозы, связанные с атаками на идентификации

«В тот момент, когда ваша среда перестаёт быть преимущественно человеческой и преимущественно статичной, традиционная приоритизация перестаёт работать», — отмечают эксперты отрасли. — «Риск идентификации становится функцией пересечения этих факторов, а не просто того, какой контроль не прошёл аудит».

Переход к управлению идентификацией на основе рисков

Командам безопасности следует перейти от реактивного, управляемого заявками подхода к проактивному, основанному на оценке рисков:

• Внедрить непрерывную оценку рисков, которая учитывает комплексные факторы риска, а не изолированные сбои контроля
• Использовать моделирование угроз идентификации, учитывающее как технические уязвимости, так и бизнес-влияние
• Применять аналитику и ИИ для выявления высокорисковых шаблонов идентификации в сложных средах
• Интегрировать оценку рисков идентификации в более широкие рамки управления корпоративными рисками
• Приоритизировать устранение уязвимостей на основе потенциального влияния на бизнес, а не только сбоев контроля

Этот переход требует как технологических решений, так и организационных изменений, включая межфункциональное сотрудничество между командами идентификации, службами безопасности и бизнес-заинтересованными сторонами. Поскольку идентификация остаётся основной поверхностью атак в современных предприятиях, организации, которые не смогут эволюционировать свои методы приоритизации, столкнутся с трудностями в эффективном управлении рисками.