Problem, który postaramy się opisać w poniższym artykule towarzyszy przede wszystkim dużym organizacjom i wynika z ich bezwładności w adaptacji trendów i standardów rynkowych. Dodatkowo wiąże się z on z tak zwanym vendor lock-in w kontekście już zainstalowanych rozwiązań, czyli sytuacji, w której klient jest uzależniony od dostawcy rozwiązania do tego stopnia, że nie ma możliwości zmiany dostawcy bez poniesienia dużych kosztów spowodowanych przez tą zmianę.  

Wiele lat temu kiedy pojawiały się systemy krytyczne wymagające ochrony przed zewnętrznymi atakami, zabezpieczano je w modelu tzw. fosy, która jednoznacznie dzieliła świat na ten niebezpieczny na zewnątrz i bezpieczny w środku organizacji.

Przez wiele lat nie dyskutowało się z tym, aż do czasu kiedy to pojawiły się czynniki całkowicie obalające słuszność takiego założenia. Do głównych z nich należy zaliczyć:

  • sprzęt prywatny pracowników używany do pracy w biurze,
  • sprzęt firmowy wynoszony przez pracowników na zewnątrz organizacji,
  • konieczność korzystania z systemów/aplikacji w modelu SaaS (zlokalizowanych fizycznie poza organizacją),
  • czy wreszcie praca zdalna, która od kwietnia 2020 roku stała się nieplanowaną nową rzeczywistością, która w założeniu pojawiła się na krótko, a w rzeczywistości w wielu organizacjach pozostała na dobre.

Te czynniki powodują, że strategie bezpieczeństwa w dużych organizacjach o heterogenicznych środowiskach informatycznych muszą zrezygnować z modelu fosy i iść w kierunku "zero trust”.

Główne zmiany przychodzące wraz z  nowym modelem to przeniesienie siły zabezpieczenia z poziomu organizacji na poziom o większej granulacji, jakim jest sam użytkownik i interfejsy, z których korzysta.

Dodatkowo statystyki mówią, że w ponad 80% przypadków włamań do infrastruktury organizacji istotną rolę odgrywa kradzież tożsamości użytkownika (credentials = username + password). Jest to zatem bardzo obszerny wektor ataku.

Passwordless + User Access Security Broker
Kluczem do skutecznej ochrony danych i zasobów organizacji jest upewnienie się, że wiemy kim jest użytkownik siedzący po drugiej stronie komputera czy telefonu. Bez tej pewności, żadne zabezpieczenia nie są skuteczne.

Jest i oczywiście dobra wiadomość - na rynku w tej chwili jest sporo rozwiązań, które adresują ten problem. Metody silnego uwierzytelniania czyli (2FA lub MFA), czy przyszłościowa odmiana w postaci passwordless, gdzie nie będziemy musieli używać kłopotliwego do zapamiętania hasła, a jedynie czynnika, który jednoznacznie nas uwiarygodni.  

Z tym kierunkiem ściśle wiąże się nowy otwarty standard uwierzytelniania w sieci, szeroko wykorzystywany w internecie znany jako FIDO2 lub Webauthn. Już dzisiaj standard ten wspierany jest w powszechnie używanych przeglądarkach internetowych.

Analizując aspekt nowoczesnego/ skutecznego podejścia do cybersecurity w dużych organizacjach, wiadomym jest już gdzie leży problem i jak można go rozwiązać. Niestety ostatnia trudność stojąca na przeszkodzie to trudność związania z zaimplementowaniem rozwiązania.

To faktycznie największe wyzwanie, szczególnie dla dużych firm takich jak banki czy instytucje finansowe, które latami budowały swój stack technologiczny. Firmy te posiadają aplikacje od różnych dostawców, często pisane też przez własne zespoły programistyczne, w najróżniejszych możliwych technologiach.

W takim przypadku najlepiej sprawdza się rozwiązanie typu User Access Security Broker. Jest to nowoczesne podejście do implementacji metodyki zero trust wraz z przyszłościowymi metodami passwordless.

User Access Security Broker

Takie rozwiązanie buduje warstwę pomiędzy użytkownikami, a aplikacjami z których użytkownicy korzystają. Właśnie w tej warstwie dzieje się wszystko co wiąże się z bezpiecznym dostępem użytkowników do aplikacji, bez względu na to skąd się logują.

Kolejnym plusem jest fakt, że broker nie wymaga żadnej integracji w bazę danych czy aplikację i może być stosowany bez względu na to w jakiej technologii chroniona aplikacja została napisana.

Passwordless + User Access Security Broker

Zatem uogólniony wzór na sukces CISO wygląda następująco: zero trust (passwordless) + user access security broker.

W celu umówienia się na demo user access security broker skorzystaj z linka i umów spotkanie.