Popis technik zabezpečení autorizace

  • 6 min

Když ověříte uživatele, musíte se rozhodnout, kam může přejít, a zjistit, co může vidět a dotkat se. Tento proces se nazývá autorizace.

Předpokládejme, že chcete strávit noc v hotelu. První věc, kterou uděláte, je přejít na recepci a zahájit "proces ověřování". Jakmile recepční ověří, kdo jste, dostanete vizitku a můžete jít do pokoje. Klíčovou kartu si můžete představit jako proces autorizace. Vizitka vám umožní otevřít pouze dveře a výtahy, ke kterým máte přístup, například pro hotelový pokoj.

Z hlediska kybernetické bezpečnosti autorizace určuje úroveň přístupu ověřené osoby k vašim datům a prostředkům. Existují různé techniky zabezpečení, které organizace používají ke správě autorizace.

Podmíněný přístup

Jak už název napovídá, podmíněný přístup zahrnuje přístup s podmínkami. Jedním ze způsobů, jak se zamyslet nad podmíněným přístupem, je příkaz if/then. Pokud je něco pravdivého, máte udělený přístup, ale pokud je nepravda, budete odepřeni.

Pojďme se podívat, jak by to fungovalo ve scénáři IT. Lidé stále častěji pracují z domova. Z tohoto důvodu můžou pro přístup k pracovnímu obsahu používat svůj osobní počítač. S podmíněným přístupem může organizace udělit přístup ověřenému uživateli k důvěrnému systému, jako je mzdový zápis, pouze pokud je proveden prostřednictvím zabezpečených podnikových počítačů umístěných v jejich ústředí. Pokud se ověřený uživatel pokusí získat přístup k mzdovým systémům z osobního počítače doma, bude blokovaný.

Nejméně privilegovaný přístup

Koncept nejnižších oprávnění spočívá v tom, že uživatel má udělená minimální vyžadovat práva. Tento koncept platí pro všechna nastavení související se zabezpečením.

Když například na palubě letadla máte přístup k hlavní kabině, abyste se dostali k sedadlu, ale žádný cestující nesmí být v kokpitu. Pokud cestujete s jízdenkou na třídu trenéra, máte k této části přístup pouze. Aby se zlepšilo zabezpečení, může každý uživatel přistupovat pouze k potřebným oblastem.

Stejný koncept platí v kontextu kybernetické bezpečnosti. Podívejte se na příklad, kde mají uživatelé přístup k veřejné složce v síti. Pokud potřebují jen číst soubor, měli by jim být udělena tato konkrétní oprávnění.

Uživatel bude téměř vždy informovat správce, pokud má nedostatečná práva k výkonu své role. Pokud však mají nadbytečná práva, budou správce jen zřídka informovat. Takže při přiřazování uživatelských práv je jen málo rizika, že je příliš opatrný.

Implementací nejméně privilegovaného přístupu snížíte akce útočníka v případě porušení zabezpečení.

Laterální pohyb

Pokud útočník získá přístup k systému, může k získání dalších informací použít ohrožený účet. Můžete ho použít k infiltrování jiných systémů nebo k získání zvýšeného přístupu. Útočník může procházet systémem a hledat další prostředky, dokud nedosáhne cíle. Protože se útočník pokusí přecházet mezi různými oddíly, konečný útok pravděpodobně nepochází z počátečního ohroženého účtu.

Představte si kancelářskou budovu, kde se zločinec dostane kolem bezpečnosti hlavní recepce. Pak se mohou obecně pohybovat po zbytek budovy, přistupovat k různým podlažím a kancelářím. Je důležité poskytnout přidané vrstvy zabezpečení, které chrání před neoprávněným vniknutím do citlivých oblastí.

Mnoho kancelářských budov například vyžaduje bezpečnostní kód pro přístup k podlažím, kde se nachází výkonný tým. Všechny kanceláře na těchto podlažích jsou zamknuté a umožňují přístup pouze zaměstnancům se speciální kartou. Očividně nechcete, aby zločinec přistupoval k vaší budově vůbec. Ale za předpokladu, že dojde k narušení zabezpečení a přidáte další vrstvy zabezpečení, které budou chránit před tímto typem laterálního pohybu, můžete poškození omezit.

Stejný koncept platí ve scénáři IT. Začnete se zabezpečeným ověřováním, abyste snížili pravděpodobnost, že útočník přistupuje k vašim systémům. Žádný systém není hloupý, ale můžete poskytnout přidané vrstvy zabezpečení. Tato opatření pomáhají zmírnit pravděpodobnost, že útočník, který se rozdělí do vašeho systému, může přistupovat k dalším citlivějším prostředkům prostřednictvím laterálního pohybu.

nulová důvěra (Zero Trust)

nulová důvěra (Zero Trust) je pojem, který je v kybernetické bezpečnosti velmi rozšířený. Jedná se o metodu, která zmírní stále častější útoky, které dnes vidíme.

nulová důvěra (Zero Trust) je model, který organizacím umožňuje poskytovat zabezpečený přístup ke svým prostředkům tím, že nás učí "nikdy nedůvěřovat, vždy ověřit". Vychází ze tří principů, které využívají koncepty, které už znáte.

  • Ověřte explicitně – při nulová důvěra (Zero Trust) je každý požadavek plně ověřený a autorizovaný před udělením přístupu. Organizace můžou implementovat vícefaktorové ověřování i podmíněný přístup, aby se zajistilo, že se každý požadavek ověří explicitně.
  • Používejte nejméně privilegovaný přístup – jak je uvedeno dříve v této lekci, koncept nejnižších oprávnění spočívá pouze v autorizaci uživatele s minimálními právy, která vyžaduje. Tím se omezí poškození, které může uživatel provádět, a omezuje laterální toky.
  • Předpokládejme porušení zabezpečení – za předpokladu, že dojde k porušení zabezpečení nebo k němu dojde, může organizace lépe naplánovat další vrstvy zabezpečení. Tím se minimalizuje poloměr útočníka pro porušení zabezpečení a zabrání laterálnímu pohybu.

Díky použití modelu zabezpečení nulová důvěra (Zero Trust) se organizace můžou lépe přizpůsobit modernímu distribuovanému pracovišti, který poskytuje zabezpečený přístup k prostředkům.