Автоматизируй иначе: Как победить разрастание разрешений на время и навсегда
Опубликовано: 2022-01-11
То, что идет вверх, должно прибыть вниз. Или так выражение идет.
Исключением из правила, по-видимому, является ряд прав доступа, накапливающихся в вашей корпорации.
По мере того, как мы продолжаем переходить на все более цифровые средства выполнения работы, набор приложений, прав и разрешений только расширяется.
Мы ясно видим это увлечение в ускоренном переходе к облаку с увеличением платы за внедрение SaaS, IaaS и других сред XaaS. Это означает, что компании гораздо больше, чем когда-либо, полагаются на идентификацию как на важный элемент доступа к своим приложениям и средствам.
Со стороны предприятия мы должны предоставить нашим организациям возможность делать больше и с большей скоростью, чем когда-либо, до покупки, чтобы продолжать оставаться конкурентоспособными на мировой арене. Реальность для большинства корпораций такова, что потребители имеют гораздо больше электроэнергии, чем когда-либо, чтобы подключаться к приложениям и данным, имеющим большой шанс.
Но с отличной электрической мощностью приходит фантастическая ответственность.
Запуск гораздо большего количества удостоверений с гораздо большим доступом означает дополнительные проблемы компрометации и более широкую область угроз, которую необходимо защитить. В 2021 году предприятия знают, что им придется работать с этими удостоверениями, но сложность сценария уже давно не позволяет оставаться работоспособным с помощью устаревших инструментов и ручных процессов.
Препятствием для нас является тот факт, что мы также делимся гораздо большим доступом к устройствам и данным с пользователями за пределами нашей компании, открывая наши активы для ценного сотрудничества, хотя и подвергая угрозе постоянно растущий уровень опасности.
В некоторых случаях я задаюсь вопросом, отслеживает ли кто-либо вообще, сохраняют ли конечные пользователи за пределами организации доступ к этой собственности вскоре после того, как у них есть на то веская причина?
Учитывая перечисленные здесь масштаб и сложность управления, у нас все еще остается несколько выводов, о которых компании должны подумать, если они могут оставаться в безопасности и соответствовать требованиям в будущем.
Автоматизируйте все
До 2020 года и до того, как работа на дому стала повсеместной, по сообщениям, поставщики среднего размера в настоящее время применяли 137 распространенных приложений SaaS, таких как Salesforce и O365. Это количество более чем вдвое больше для предприятий и не включает в себя выбор инфраструктуры и других облачных компаний XaaS, которые взяли на себя больше, чем способ работы, который будет завершен.
Отслеживание всех учетных записей и разрешений, связанных с этими приложениями, — это деятельность Sysaphean, которая ниже идеала экземпляров. И это совершенно невозможно выполнить вручную.
В то же время масштабы проекта растут, а компетентные специалисты по защите, необходимые для продолжения обучения, постоянно испытывают нехватку ресурсов. Даже на предприятиях, где сегодня есть люди, занимающиеся управлением стабильностью IAM, масштаб превосходит способность любой команды продолжать обеспечивать защиту своей группы и соответствие требованиям.
Хорошая новость заключается в том, что каждая корпорация ценит необходимость автоматизации. Вопрос не в том, если, а в том, насколько значительно мы можем пойти?
Мы снова и снова видим это препятствие, когда получаем мнения. На рынке уже некоторое время существуют альтернативы, которые позволяют разрабатывать и регулировать стратегии. Но эти инструменты, хотя и являются усовершенствованием, по-прежнему требуют серьезного человеческого общения в условиях получения личным профессиональным обзором и подтверждением почти всех прав в их контрольном списке.
Наша цель должна состоять в том, чтобы автоматизировать почти все достижимые мелочи и предоставить человеку возможность принимать решения только для серьезных грубых звонков, в которых мы не можем наметить полисы страхования бизнеса, чтобы правильно определить, кто действительно должен иметь доступ к чему. Автоматизация простых выводов о правах действительно должна быть нашим стандартом, особенно когда у нас есть факты, необходимые для того, чтобы предлагать людям альтернативы, которые уже есть в наших руках.
Будьте постоянными
Нам нужно будет оторваться от «момент времени» является «достаточно хорошим» настроением. Если вы не разрабатываете свой план управления идентификацией на постоянной основе, вы открываете для себя предотвратимые пробелы в безопасности и соблюдении нормативных требований.
Например, если сотрудник покидает группу, но не полностью удаляется сразу, то вы открываете для него возможность украсть или уничтожить ценные данные. Точно так же невозможность обнаружить привилегированные удостоверения или изменения в учетных записях администратора, когда они происходят в режиме реального времени, может привести к очень похожим проблемам.
Что требуется, так это ограждения, которые неоднократно проверяют нарушения процедур и могут автоматически запускать рабочий процесс вовремя, чтобы действия были эффективными. Ограждения могут действовать как предупреждение о выходе из полосы движения на современных автомобилях. Они предупреждают ваш бизнес о том, что может произойти что-то плохое, и позволяют вам решить, как и когда действовать.
Не весь доступ одинаков
В облачных настройках, расширяющихся в любое время, вы просто не можете точно контролировать доступ ко всем приложениям и данным. Вы найдете слишком много возможностей для управления.
Решающее значение имеет фокус и средства расстановки приоритетов.
Знайте, в каких ваших активах наибольшая опасность, и контролируйте их в первую очередь. Раньше никто не запирал общедоступные факты в шкафу для документов, и истинная реальность цифровых знаний. Понимание приложений и знаний об угрозах жизнедеятельности организации позволяет расставить приоритеты и нацелить средства контроля на эти регионы.
Время для альтер
Сейчас самое время начать разговор о том, как контролировать постоянно растущие объемы цифрового входа в вашей фирме. И действительно, не пренебрегайте включением таких вещей, как аудиторы и регулирующие органы, в качестве элемента тактики реструктуризации средств контроля вашей организации и отчетности о соответствии.
Статус-кво уже давно не является адекватным. Когда вступительные отзывы стали элементом контрольного списка соответствия, организации в конечном итоге использовали лишь несколько ограниченный набор средств. Сейчас есть необходимость критиковать практически все, независимо от того, является ли это «ценным» активом или нет.
Кроме того, несколько человек, занимающихся этими стратегиями, сказали мне, что единственный способ выполнить их вовремя — это просто получить одобрение рецензентов по всему совету. Когда единственный способ быть послушным — это победить функцию обучения, тогда мы знаем, что что-то должно трансформироваться.
Вкладывая средства в решения, способные справиться с большей частью рабочей нагрузки на себя, рецензенты могут нацелить свои инициативы на задачи и варианты, которые больше всего заслуживают их внимания.
Ожидания от аудиторов должны быть не только продолжительными, но и соответствовать условиям на площадке. Это означает переход от периодических, ручных процедур, снимков экрана и электронных таблиц к более разумному, автоматическому методу, которому могут доверять аудиторы.
Пол Трулов, советник, Automize