Что такое теневые идентификаторы и насколько они важны в 2022 году?

Вернуться к Blog
Что такое теневые идентификаторы и насколько они важны в 2022 году?

Что такое теневые идентификаторы и насколько они важны в 2022 году?

Незадолго до прошлого Рождества в первом в своем роде случае JPMorgan был оштрафован на 200 миллионов долларов за использование сотрудниками несанкционированных приложений для обсуждения финансовой стратегии. Никаких упоминаний об инсайдерской торговле, открытых шортах или каких-либо злонамеренных действиях. Просто сотрудники, которые обходят правила, используя, ну, Shadow IT. Не потому, что они пытались что-то запутать или скрыть, просто потому, что это был удобный инструмент, который они предпочитали любым другим продуктам, находящимся под санкциями (которых у JPMorgan, безусловно, немало).

Отслеживание неизвестных и несанкционированных приложений давно требуется регулирующими органами, а также рекомендуется сообществом Center for Internet Security. Тем не менее, кажется, что новые и лучшие подходы по-прежнему востребованы. Gartner определил управление внешними зонами атак, риск цифровой цепочки поставок и обнаружение угроз идентификации в качестве трех главных тенденций, на которых следует сосредоточиться в 2022 году, и все они тесно переплетены с теневыми ИТ.

«Теневые идентификаторы», или, другими словами, неуправляемые удостоверения сотрудников и учетные записи в сторонних службах, часто создаются с помощью простой регистрации на основе электронной почты и пароля. CASB и корпоративные SSO-решения ограничены несколькими санкционированными приложениями и не получили широкого распространения на большинстве веб-сайтов и сервисов. Это означает, что большая часть внешней поверхности организации, а также идентификационные данные пользователей могут быть полностью невидимы.

Прежде всего, эти теневые идентификаторы остаются неуправляемыми даже после того, как сотрудники покидают организацию. Это может привести к несанкционированному доступу к конфиденциальным данным клиентов или другим облачным службам. Идентификаторы, созданные сотрудниками, но связанные с бизнесом, также невидимы для большинства инструментов IDM/IAM. Кладбище забытых аккаунтов бывших сотрудников или заброшенных приложений растет с каждым днем, до бесконечности.

А иногда мертвые восстают из могил, как в случае с Совместной комиссией по общественной этике, чья устаревшая система была взломана в этом году, хотя она не использовалась с 2015 года. Они справедливо уведомили своих устаревших пользователей, потому что понимают, что повторное использование пароля может растянуться на несколько лет, и, по данным Verizon, украденные учетные данные по-прежнему являются основной причиной всевозможных взломов и атак. Поэтому, когда теневые идентификаторы остаются позади, они создают вечный риск, невидимый и неуправляемый никем.

Как составить отчет о теневых ИТ и теневых идентификаторах?

К сожалению, сетевой мониторинг не соответствует действительности, поскольку эти инструменты предназначены для фильтрации вредоносного трафика, обеспечения защиты от утечки данных и создания правил просмотра на основе категорий. Однако они полностью слепы к фактическим входам в систему и, следовательно, не могут различать просмотр, личные учетные записи и регистрацию корпоративных приложений (или фишинговые сайты, если на то пошло). Для обнаружения и управления теневыми идентификаторами и теневыми ИТ необходим мониторинг на уровне приложений и учетных записей, который может создать надежный глобальный источник достоверной информации во всей организации.

Discovering these assets via monitoring business-related credential usage on any website enables a unified view of unsanctioned or unwanted applications. Inventories of apps and accounts provide visibility of the true scope of external services and identities used across the organization. Also, they allow the reviewing of third-party providers about their policies, security and authentication measures, and how they are managing and maintaining your data.

Невозможно правильно классифицировать все четверть миллиона новых доменов, которые регистрируются каждый день по всему миру, поэтому правильным подходом является мониторинг тех, которые появляются на наших конечных точках. В качестве побочного эффекта раскрытие логинов в подозрительных или новых приложениях даст информацию об успешных фишинговых атаках , которые не были предотвращены на шлюзе или на стороне клиента, и о случаях, когда сотрудники выдавали важные учетные данные.

Поделиться этим постом

Добавить комментарий

Вернуться к Blog