Автор: Андрей Лаптев, директор продуктового офиса “Индид”
Чтобы понять, что такое Identity в цифровом мире, разберемся, что это вообще значит.
В физическом мире так называют совокупность характеристик, позволяющих отличить одного человека от другого, то есть определить его личность. Для этого могут использоваться различные сведения или атрибуты, например:
В физическом мире вы легко можете доказать другой стороне – банку, гостинице или человеку, – что вы тот, за кого себя выдаете. Нужно лишь показать документы, удостоверяющие вашу личность, например паспорт.
В цифровом мире понятие Identity гораздо шире. Оно может служить для обозначения цифровой идентичности, идентификационных данных, цифрового профиля пользователя с некоторым набором привилегий. Важно отметить, что понятия Identity и User (пользователь) – не одно и то же. Если пользователь – человек, который использует тот или иной ИТ-ресурс, то Identity – цифровой профиль, который присвоен данному человеку и отражает его взаимодействие с ресурсом.
Но бывает, что Identity вовсе не относится к людям, а представляет определенный ресурс, актив (Asset) или выполняемый роботом автоматизированный процесс.
Понимаемое в самом широком смысле Identity позволяет "жить собственной жизнью" даже полностью компьютеризированным системам. Иначе говоря, Identity назначают не только "живым" участникам сетевого взаимодействия.
Идентичность в киберпространстве – это буквальная проекция действующего лица и его взаимодействия в рамках компьютерного ресурса, его присутствие в цифровой среде.
В цифровом мире тоже необходимо подтверждать личность. В таких ситуациях Identity представляет собой набор уникальных идентификаторов: IPадресов, поведенческих моделей или биометрических данных, которые позволяют онлайн-сервисам, сайтам, организациям или устройствам проверять, тот ли вы, за кого себя выдаете.
Понятие Identity охватывает данные двух категорий.
В киберпространстве используют понятия Identity и Digital Identity. Они бывают взаимозаменяемы или выбираются в зависимости от контекста. Под Identity может подразумеваться всеобъемлющая информация о присутствии человеческого или нечеловеческого субъекта. Но этот термин употребляют и в узком смысле как синоним элемента цифровой идентичности, будь то учетная запись, пароль или другой назначенный идентификатор пользователя.
Хотя существует множество типов Identity, их можно разделить на несколько категорий (которые, впрочем, могут пересекаться).
Identity людей позволяют предоставлять пользователямлюдям права доступа или привилегии в сети. Их можно разделить на Identity сотрудников, Identity партнеров, Identity поставщиков и Identity клиентов.
Identity машин (нечеловеческие или неперсональные идентификаторы) позволяют любым приложениям, роботам, конечным точкам (серверам, настольным компьютерам, устройствам на основе технологии интернета вещей и т. д.) проходить аутентификацию в системах.
Облачные Identity используются для доступа к ресурсам в облаке. Эти Identity и учетные записи могут быть очень динамичными и зачастую в той или иной форме обеспечивают привилегированный доступ.
Identity персонала используются сотрудниками, подрядчиками и поставщиками для выполнения операций по управлению предприятием, агентством или другой организацией.
Identity клиентов служат для использования тех или иных услуг (обычно SaaS) и/или приложений через сайт.
Чтобы успешно развиваться в современном мире, каждому предприятию рано или поздно приходится проводить цифровизацию. Внедрение цифровых технологий и инструментов в бизнес-процессы дает целый ряд преимуществ: позволяет улучшить качество обслуживания клиентов, упростить взаимодействие с потребителями, автоматизировать внутренние процессы, повысить качество продукта и т. д.
Для того чтобы цифровизация бизнеса принесла желаемые плоды, компании и их заказчики должны быть уверены в безопасности и надежности своих инструментов взаимодействия. В ходе цифровизации создаются учетные записи для сотрудников, клиентов и партнеров.
Обычно доступ к ИТ-системам предоставляется на основе аутентификации личности: например, пользователь вводит учетные данные (логин и пароль). При этом Identity могут быть связаны с несколькими учетными записями в системе организации. Поэтому компании важно точно знать, что она может доверять пользователям, которые взаимодействуют с ее информационными ресурсами. Если скомпрометирована одна учетная запись, то могут быть скомпрометированы все Identity и соответствующие привилегии.
Цифровизация охватывает все больше бизнес-процессов, и это создает риски для кибербезопасности. Чтобы получить доступ к чему-либо или какието привилегии в физическом мире, преступник может подделать документы, а чтобы выдать себя за кого-то другого в киберпространстве, у злоумышленников есть целый ряд способов. В частности, они могут "подсунуть" жертве свое вредоносное ПО. Поэтому на первое место выходит вопрос доверия к Identity пользователей.
Цель атаки на Identity проста: злоумышленник хочет найти способ скомпрометировать цифровой профиль и использовать его в своих интересах.
Чтобы украсть цифровой профиль, преступники могут:
Практически любая кибератака предполагает компрометацию и последующее использование учетных данных для доступа к информационным системам. Многофакторной аутентификации уже недостаточно, потому что периметр инфраструктуры и масштабы экспозиции учетных данных постоянно растут, – злоумышленники находят и эксплуатируют все новые уязвимости и бреши.
Исследования показывают, что многие компании пытаются решить эту проблему с помощью решений класса IAM, которые обеспечивают аутентификацию, авторизацию, администрирование, анализ и аудит. Но система многофакторной аутентификации обычно реализуется в корпоративной среде на уровне клиентского или промежуточного компонента (Credential Provider, LDAP Proxy, RADIUS Server и т. д.), в то время как провайдер аутентификации (KDC и LDAP Server контроллера домена) продолжает работать в однофакторном режиме.
Таким образом, даже если организация в полном объеме использует средства IAM, ей все равно могут угрожать многовекторные атаки на учетные данные.