Kyberhyökkäysten tiheyden ja vakavuuden kasvu on saanut organisaatiot harkitsemaan uudelleen turvallisuusstrategioitaan. Viimeaikaiset suuret tietoturvauhat, kuten korkean profiilin kiristysohjelmahyökkäykset ja vuonna 2021 paljastetut Log4Shell-haavoittuvuudet, ovat johtaneet siihen, että henkilöllisyyden suojaamiseen on kiinnitetty enemmän huomiota, kun vastustajat luottavat kelvollisiin valtuustietoihin liikkuessaan sivusuunnassa kohdeverkkojen välillä.
Kybervakuuttajat tietävät, että kybervakuutuksia ostavien organisaatioiden on oltava valmiita havaitsemaan, lieventämään ja reagoimaan nykyaikaisiin hyökkäyksiin, kun vastustajat kehittävät taktiikoitaan, tekniikoitaan ja menettelyjään (TTP). Nämä jatkuvasti kehittyvät uhat ovat vaikuttaneet merkittävästi kybervakuutuksiin. Vahva identiteetin suojausstrategia voi parantaa yrityksen tietoturva-asentoa ja vauhdittaa kybervakuutushankkeiden vauhtia.
Ransomwaren vaikutus vakuutusmaksuihin
Vuoden 2021 CrowdStrike Global Security Attitude Surveyn mukaan 66 % organisaatioista kärsi ainakin yhdestä kiristysohjelmahyökkäyksestä vuonna 2021, ja kuten CrowdStrike 2022 Global Threat Report osoittaa, kiristysohjelmiin liittyvät tietovuodot lisääntyivät 82 % vuodesta 2020 vuoteen 2021. ransomwarella on suora vaikutus verkkovakuutusmaksuihin ja kattavuuteen: Marshin Global Insurance Market Indexin mukaan kybervakuutusmaksut nousivat vuoden 2021 toisella vuosineljänneksellä Yhdysvalloissa 56 %, mikä johtui ransomware-vaatimusten tiheydestä ja vakavuudesta.
Ajattele kybervakuutusyhtiön näkökulmasta
Kybervakuutuksia ostaessaan organisaatiot ovat usein huolissaan liiketoiminnallisista vaikutuksista, tulonmenetyksistä ja muista kustannuksista, jotka liittyvät hyökkäyksen jälkeiseen seisokkiin sen lisäksi, että ne selvittävät seisokkien perimmäisen syyn. Heidän on tärkeää arvioida yleistä riskiasentoaan. Kybervakuuttajat tekevät tiivistä yhteistyötä yritysten kanssa luodakseen kokonaisvaltaisen näkemyksen systeemisistä ja dynaamisista riskeistä, jotka vaikuttavat suoraan heidän vakuutus- ja kattavuusrajoihinsa.
Active Directory (AD), usein kyberpuolustuksen heikoin lenkki, on esimerkki tällaisesta riskistä. Koska suurin osa kiristysohjelmahyökkäyksistä hyödyntää käyttäjätunnuksia, organisaatioiden tulee vahvistaa henkilöllisyytensä suojausasentoa tavalla, joka toimii sopusoinnussa päätepisteiden suojausstrategiansa kanssa. Monet tähän liittyvät vaiheet, kuten monitekijätodennuksen (MFA) käyttöönotto ja etuoikeutettujen tilien hallinta, ovat myös vaatimuksia kybervakuutuksia ostettaessa.
Vahvempi puolustus identiteettiin keskittyviä hyökkäyksiä vastaan
Nykyaikaiset hyökkäykset, kuten kiristysohjelmat, sekä viimeaikaiset Log4j- ja noPac-tapaukset koostuvat pääasiassa kahdesta osasta:
Huomaa, että vastustajat, jotka kohdistuvat organisaatioihin nykyaikaisten uhkien, kuten kiristysohjelmien, kanssa, eivät välttämättä seuraa kybertappamisketjua lineaarisesti. Toisin sanoen he eivät aina välttämättä tunkeudu organisaatioon tietojenkalasteluyritysten kautta ja sitten käyttämällä hyväksikäyttökoodia haavoittuvissa päätepisteissä. (Kun ne tekevät, CrowdStrike Falcon® Endpoint Protection -moduulit suojaavat havaitsemalla ja estämällä koodin suorittamisen.) Vastustaja voisi sen sijaan soluttautua organisaatioon päätepisteestä, jota CrowdStrike-teknologia ei suojaa, ja käyttää sitten kelvollista vaarantunutta identiteettiä päästäkseen resursseihin ja liikkuakseen sivusuunnassa.
Riippumatta siitä, millä tavalla vastustajat päättävät päästä organisaatioon, he voivat lopulta hyödyntää työntekijöiden identiteettejä liikkuakseen verkon poikki hyödyntäen vaarantuneita tunnistetietoja ja heikkoa AD-suojausasentoa.
MFA:n rooli henkilöllisyyden suojaamisessa
MFA:sta on tullut keskeinen tapa hallita kriittisten sovellusten ja resurssien käyttöä. vieläkin suuremmalla etätyövoimalla eri toimialoilla. Suojautuakseen kiristysohjelmilta ja noudattaakseen perusturvallisuusasetelmia useimmat vakuutusyhtiöt vaativat organisaatioita pakottamaan MFA:n henkilöllisyyksiin. Vakuutuksenantajat voivat kieltäytyä tekemästä liiketoimintaa sellaisten organisaatioiden kanssa, jotka eivät pakota MFA:ta tai ota käyttöön päätepisteiden suojaustekniikoita, kuten seuraavan sukupolven virustorjuntaa tai päätepisteiden havaitsemista ja vastausta (EDR).
Yksi tapa pakottaa henkilöllisyyden vahvistaminen on käynnistää MFA aina, kun käyttäjä yrittää käyttää resurssia tai sovellusta. Tämä voi kuitenkin aiheuttaa MFA-väsymystä, joka ei vain voi vähentää käyttäjien tuottavuutta, vaan myös mahdollisesti luoda riskiskenaarion, jossa käyttäjä vahingossa sallii pääsyn haitalliseen kirjautumisyritykseen.
CrowdStrike Falcon Identity Protection -asiakkaat saavat paremman käyttökokemuksen ja turvallisuuden riskiperusteisen MFA:n avulla: käyttäjän luottamusta arvioidaan reaaliajassa sen määrittämiseksi, sallitaanko pääsy tiettyihin resursseihin jo ennen kuin todennuspyyntö osuu AD:hen. Perustasot ja dynaamiset riskit, jotka on sidottu jokaiseen identiteettiin ja sen käyttäytymiseen, haitallinen toiminta – kuten sivuttaisliike, riskikäyttäytyminen, epätavallinen päätepisteiden käyttö, oikeuksien eskaloituminen ja haitalliset RDP-sisäänkirjautumisyritykset – havaitaan ja haastaa reaaliajassa ilman raskasta lokianalyysiä tai pistettä. ratkaisuja.
Vaihda kapeasta etuoikeutettujen käyttöoikeuksien hallinnasta laajempaan identiteettisuojaukseen
Yksittäinen ei-etuoikeutettu tili voi vaikuttaa identiteettihyökkäyksen pintaan, joten sinun ei pitäisi rajoittaa turvatoimia vain etuoikeutettuihin tileihin. Vaikka jotkin palveluntarjoajat pitävät etuoikeutettua tilihallintaa (PAM) tärkeänä osana kybervakuutuksia, on tärkeää ymmärtää, että perinteiset PAM-ratkaisut tarjoavat näkyvyyttä vain etuoikeutetuille tileille. Sen lisäksi, että PAM-ratkaisun käyttöönotto ja määrittäminen vaatii huolellista suunnittelua, organisaatioiden tulee ottaa huomioon todennäköisyys, että hyppypalvelimet voidaan ohittaa ja salasanavarastot voivat vaarantua.
Ajattele PAM:a "toiminnallisena" ratkaisuna etuoikeutettujen tilien "hallintaan". Esimerkiksi PAM-ratkaisut eivät estä kelvollisten valtuustietojen väärinkäyttöä, vaan ne hallitsevat vain etuoikeutettujen tilien käyttöä – kuitenkin taitava vastustaja voi silti käyttää PAM:n etuoikeutettua tiliä jäädäkseen huomaamatta asiakasympäristössä.
Function | PAM | CrowdStrike Falcon Identity Protection |
ID store visibility | Limited to privileged accounts | All accounts across AD and Azure AD directories |
Risk posture assessment | Incomplete or limited to privileged accounts | All human, service and privileged identities |
Deployment | Requires careful planning (jump servers, session brokers and many more) | Rapid deployment and scalability with a cloud-delivered, single lightweight agent architecture |
User experience (UX) | High user friction (password vaulting, session brokers) | Frictionless MFA/conditional access based on dynamic risk |
Behavior, deviations monitoring | Limited to only privileged accounts | All accounts |
Misuse of valid credentials | Not available | Full visibility: detection and prevention |
Attack path visibility | Limited | Full visibility into the lifecycle of an attack across reconnaissance, lateral movement and persistence |
Falcon Identity Protection luokittelee ja arvioi automaattisesti kaikkien henkilöllisyyksien oikeudet – ajattele sitä seuraavan sukupolven etuoikeutetuksi pääsysuojauksena – kaikkien AD:hen, Azure AD:hen ja SSO:ihin, kuten Okta, Ping ja Active Directory Federation Services, yhdistettyjen tilien näkyvyyden ja suojauksen hallinnan avulla ( ADFS). Identiteettisegmentoinnin ja kaikkien käyttäjien käyttäytymisen ja riskien näkyvyyden avulla organisaatiot voivat rajoittaa pääsyä arvokkaisiin resursseihin ja pysäyttää lunnasohjelmahyökkäysten etenemisen ja noudattaa näin joitakin kriittisiä kybervakuutusvaatimuksia ottamalla käyttöön laajemman henkilöllisyyden suojausstrategian. Falcon Identity Protection voi myös täydentää PAM-ratkaisuasi mahdollistamalla kokonaisvaltaisen näkyvyyden, analytiikan ja suojauksen etuoikeutetuille henkilöllisyytesi ja palvelutilillesi sekä riskipohjaisen MFA:n toimeenpanon – parantaa järjestelmänvalvojien käyttökokemusta.