Asiakkaiden ja kuluttajien identiteetin ja pääsynhallinta (Customer / Consumer Identity and Access Management eli CIAM) on saavuttamassa murroskohdan. Internetin luonne on muuttunut radikaalisti viime vuosien aikana; Internetistä on tullut huomattavasti vihamielisempi ympäristö kiitos tietomurtojen kaupallistumisen tuottavaksi liiketoiminnaksi. Myös Ukrainan sota ja tietomurtotyökalujen kehitys on vaikuttanut tilanteeseen merkittävästi, kiihdyttäen uusien toimijoiden saapumista alalle.
Palveluiden tietoturva ja erityisesti identiteetin ja pääsynhallinnan ratkaisut eivät ole kuitenkaan kehittyneet samaa vauhtia ja tämä tilanne näkyy selkeänä tietomurtojen määrän kasvuna. Palveluiden teknisen tietoturvan parantamiseen on tunnetut toimintatavat, kuten tietoturva-auditoinnit ja penetraatiotestaus. Haasteellisempi tilanne on kuitenkin identiteetin ja pääsynhallinnan ratkaisemisessa:
- Käyttäjät ovat tottuneet käyttämään tietoturvaltaan heikkoja tunnistustapoja.
- Käyttökokemuksen kannalta ideaalista, tietoturvallista, ratkaisua ei ole oikein löydetty.
Palveluiden tunnistustavat
Merkittävä osa palveluista käyttää käyttäjätunnusta ja salasanaa tunnistautumiseen. Tämä ei nykymaailmassa kuitenkaan ole tietoturvallinen tapa, ja käytännössä on vain ajan kysymys koska palveluun murtaudutaan.
Palveluiden käyttäjien tunnistus ja pääsynhallinta tehdään pitkälti palveluiden sisällä, jolloin uusien tunnistustapojen lisääminen on kallista ja vaikeaa. Tässä kohtaa suositeltava ratkaisu on viedä identiteetin tunnistaminen ja karkean tason pääsynhallinta keskitettyyn CIAM-ratkaisuun, jolloin uusia tunnistustapoja voidaan tuoda mukaan ratkaisusta, ilman että palveluiden sovellusmuutoksia tarvitaan.
Käyttäjien kannalta parasta olisi myös mahdollistaa tunnistustapojen valinta. Mikään tietty tunnistustapa ei ole tällä hetkellä ylivertainen käyttökokemuksessa tai tietoturvassa ja sikäli valintamahdollisuuden tarjoaminen on hyvää asiakaspalvelua.
Tietomurtoon on syytä valmistautua määrittelemällä muutaman keskeisen seikan ja toimintatavan:
- Arvioi tallennetun tiedon kriittisyys niin liiketoiminnalle kuin itse käyttäjälle.
- Suunnittele etukäteen toimenpiteet, miten toimitaan, kun tietovuoto tulee julki.
- Priorisoi tunnistustapojen kehitystyötä tiedon kriittisyysarvion perusteella.
Hyökkäysten ja uhkien havainnointi
Käyttäjien tunnistus ja pääsynhallinta on vielä nykypäivänä laajasti tehty palveluiden omina ratkaisuina. Hyökkäysten havainnoinnin kannalta tämä ei ole paras ratkaisu, koska hyökkäysten ensimmäiseen vaiheeseen (sisäänkirjautumiseen) liittyvä lokitieto hajautuu useisiin paikkoihin ja tarvittavien analyysien teko vaikeutuu tai muuttuu jopa mahdottomaksi.
Osa yrityksistä on voinut ottaa käyttöön SIEM-järjestelmän (Security Information and Event Management), johon lokidata kerätään keskitettyä analysointia varten. Harvalla pienemmällä yrityksellä tällaista järjestelmää kuitenkaan on käytössä. Useassa isommassakin yrityksessä SIEM:n toteutus on jäänyt lokien keräämisen tasolle ja pro-aktiivista, hyökkäyksiä estävää, analyysiä datan perusteella ei tehdä.
Keskitetyn CIAM -ratkaisun edut
Keskitetyn CIAM-ratkaisun etu on, että se vie tunnistustapahtumat yhteen paikkaan, jolloin hyökkäyksien havaitseminen on huomattavasti helpompaa. CIAM-palvelutoimittajat (SaaS) ovat myös tehneet kehittynyttä analytiikkaa palveluihinsa, joilla helpotetaan hyökkäysten havainnointia ja estämistä entisestään. Palvelutoimittajien merkittävä etu on se, että he pystyvät käyttämään lokidataa koko ympäristöstään kehittäessään havainnointimekanismeja.
Jos yrityksellä on käytössä SOC (Security Operations Center), on lisäksi suositeltavaa, että CIAM-ratkaisu on integroitu myös siihen. Tällöin SOC:lla on käytettävissä eri tasoista lokidataa ja hyökkäysten kattava analysointi ja torjunta helpottuu.
Keskitetyllä CIAM-ratkaisulla mahdollistetaan kattava hyökkäyksien havainnointi ja torjunta hyökkäysten ensivaiheessa. Tärkeätä on myös valita tarkoin käytetyt tunnistustavat, jotta tietoturva ja käyttökokemus ovat oikealla tasolla palveluiden sisältö huomioiden.
CIAM-ratkaisu tarvitsee kuitenkin tuekseen joko SOC:n tai kehittyneen SIEM:n, jotta lokimassasta poimitaan oikeat löydökset ja osataan tehdä tarvittavat toimenpiteet hyökkäyksen torjumiseksi. Nykyteknologioilla nämä asiat on helppo laittaa kuntoon ja tietenkin me Secure Cloudilla olemme valmiit kertomaan miten!
Seuraavassa CIAM-blogissa pureudun sitten tarkemmin eri vaihtoehtoihin vahvoista tunnistustavoista ja tulevaisuuden kehitysnäkymiin niiden osalta. Eli tästä aiheesta tulossa lisää myöhemmin.
