CISA и NSA выпускают новое руководство по управлению идентификацией и доступом для поставщиков

Агентство национальной безопасности и Агентство кибербезопасности и безопасности инфраструктуры опубликовали 4 октября 2023 года документ под названием «Управление идентификацией и доступом: проблемы разработчиков и поставщиков». В новом руководстве IAM CISA-NSA основное внимание уделяется проблемам и технологическим пробелам, которые ограничивают внедрение и безопасное использование технологий многофакторной аутентификации и единого входа в организациях.

Документ был разработан группой государственно-частных межсекторальных партнерств, работающих в рамках структуры устойчивой безопасности под руководством CISA-NSA. Перед ESF поставлена ​​задача исследовать критические инфраструктурные риски и системы национальной безопасности. Руководство основано на их предыдущем отчете «Рекомендованное руководство по управлению идентификацией и доступом для администраторов».

ПОСМОТРЕТЬ: 8 лучших решений для управления идентификацией и доступом (IAM) на 2023 год

В электронном интервью TechRepublic Джейк Уильямс, преподаватель IANS Research и бывший атакующий хакер АНБ, сказал: «Публикация (трудно назвать ее руководством) освещает проблемы, связанные со сравнением функций, предоставляемых поставщиками. CISA, похоже, предупреждает поставщиков, что они хотят, чтобы поставщики четко понимали, какие стандарты они поддерживают, а какие не поддерживают в своих продуктах, особенно когда поставщик поддерживает только части данного стандарта».

Перейти к:

Проблемы и пробелы, связанные с IAM, затрагивающие поставщиков и разработчиков Ключевые выводы из отчета IAM CISA-NSA Выводы и ключевые рекомендации для вендоров

Проблемы и пробелы, связанные с IAM, затрагивающие поставщиков и разработчиков

В документе CISA-NSA подробно описаны технические проблемы, связанные с IAM, затрагивающие разработчиков и поставщиков. В частности, при рассмотрении развертывания многофакторной аутентификации и единого входа в отчете подчеркиваются различные пробелы.

Определения и политика

По данным CISA и NSA, определения и политика различных вариантов MFA неясны и запутанны. В отчете отмечается, что необходима ясность для обеспечения совместимости и стандартизации различных типов систем MFA. Это влияет на способность компаний и разработчиков принимать более обоснованные решения о том, какие решения IAM им следует интегрировать в свою среду.

Отсутствие ясности относительно свойств безопасности MFA.

В отчете CISA-NSA отмечается, что поставщики не предлагают четких определений, когда речь идет об уровне безопасности, обеспечиваемом различными типами MFA, поскольку не все MFA обеспечивают одинаковую безопасность.

Например, SMS MFA более уязвимы, чем технологии MFA аппаратного хранилища, в то время как некоторые MFA устойчивы к фишингу (например, те, которые основаны на инфраструктуре открытых ключей или FIDO), а другие нет.

СМОТРИТЕ: 10 универсальных истин управления идентификацией и доступом (информационный документ One Identity)

Отсутствие понимания приводит к дефициту интеграции

CISA и NSA заявляют, что архитектуры использования единого входа на основе открытых стандартов вместе с устаревшими приложениями не всегда широко понимаются. В отчете содержится призыв к созданию общего репозитория с открытым исходным кодом модулей и шаблонов на основе открытых стандартов для решения этих проблем интеграции и содействия их внедрению.

Функции единого входа и тарифные планы

Возможности единого входа часто сочетаются с другими высокопроизводительными корпоративными функциями, что делает их недоступными для малых и средних организаций. Решение этой проблемы потребует от поставщиков включения организационных единых входов в тарифные планы, охватывающие все виды бизнеса, независимо от их размера.

Руководство и сотрудники МИД

Еще одной выявленной основной проблемой является целостность управления MFA с течением времени по мере того, как работники присоединяются к организациям или покидают их. В отчете CISA-NSA говорится, что в процессе, известном как «управление жизненным циклом учетных данных», часто отсутствуют доступные решения MFA.

Общая путаница в отношении MFA и SSO, отсутствие специфики и стандартов, а также пробелы в поддержке и доступных технологиях — все это влияет на безопасность компаний, которым приходится развертывать системы IAM с доступной им информацией и услугами.

«Доступен часто сбивающий с толку список опций, которые можно комбинировать сложными способами для удовлетворения разнообразных требований», — отмечается в отчете. «Поставщики могут предложить набор предопределенных конфигураций по умолчанию, которые предварительно проверены для определенных случаев использования».

Ключевые выводы из отчета IAM CISA-NSA

Уильямс рассказал TechRepublic, что самым важным выводом из этой новой публикации является то, что IAM чрезвычайно сложен.

«Большинству организаций мало что нужно сделать самим», — сказал Уильямс, имея в виду новое руководство CISA-NSA. «Этот (документ) ориентирован на поставщиков и, безусловно, станет долгожданным изменением для директоров по информационной безопасности, пытающихся провести сравнение продуктов между яблоками».

Развертывание аппаратных модулей безопасности

Уильямс сказал, что еще одним ключевым выводом является признание того, что некоторые приложения потребуют от пользователей внедрения аппаратных модулей безопасности для достижения приемлемой безопасности. HSM обычно представляют собой сменные карты или внешние устройства, которые подключаются к компьютерам или другим устройствам. Эти устройства безопасности защищают криптографические ключи, выполняют шифрование и дешифрование, а также создают и проверяют цифровые подписи. HSM считаются надежной технологией аутентификации, обычно используемой банками, финансовыми учреждениями, поставщиками медицинских услуг, государственными учреждениями и интернет-магазинами.

«Во многих контекстах развертывания HSM могут защитить ключи от раскрытия в дампе системной памяти», — сказал Уильямс. «Именно это привело к краже высокочувствительных ключей у Microsoft китайскими злоумышленниками, что в конечном итоге привело к компрометации электронной почты Госдепартамента».

«CISA поднимает этот вопрос в контексте удобства использования и безопасности, но стоит отметить, что ничто иное, как HSM, не сможет адекватно удовлетворить многим высоким требованиям безопасности для управления ключами», — предупреждает Уильямс.

Выводы и ключевые рекомендации для вендоров

Документ CISA-NSA заканчивается подробным разделом ключевых рекомендаций для поставщиков, который, как говорит Уильямс, «предупреждает их» о том, какие проблемы им необходимо решить. Уильямс подчеркнул необходимость стандартизации используемой терминологии, чтобы было понятно, что поддерживает поставщик.

Чад Макдональд, директор по информационной безопасности Radiant Logic, также поговорил с TechRepublic по электронной почте и согласился с Уильямсом. Radiant Logic — американская компания, которая специализируется на решениях для унификации и интеграции идентификационных данных, помогая организациям управлять, использовать и управлять идентификационными данными.

«Современная аутентификация сотрудников больше не может соответствовать одному определенному шаблону», — сказал Макдональд. «Предприятиям, особенно тем, в которых сотрудники работают из разных сетей и мест, требуются инструменты, которые позволяют выполнять сложную настройку и не ограничивают пользователей в доступе к необходимым ресурсам».

Для того чтобы это произошло, необходим совместный подход ко всем решениям, добавил Макдональд. «Некоторые рекомендации CISA для поставщиков и разработчиков не только призывают к совместному подходу, но и невероятно осуществимы и действенны».

Макдональд сказал, что отрасль будет приветствовать стандартную терминологию MFA, позволяющую справедливо сравнивать продукты, уделение приоритетного внимания удобным для пользователя решениям MFA как для мобильных, так и для настольных платформ, чтобы стимулировать более широкое внедрение, а также внедрение более широкой поддержки и разработки стандартов идентификации в корпоративной экосистеме. .

Рекомендации для продавцов

Создайте стандартную терминологию MFA Что касается использования неоднозначной терминологии MFA, в отчете рекомендуется создать стандартную терминологию MFA, которая обеспечивает четкие, совместимые и стандартизированные определения и политики, позволяющие организациям сравнивать значения и интегрировать эти решения в свою среду.

Создайте устойчивые к фишингу средства аутентификации, а затем стандартизируйте их внедрение. В ответ на отсутствие ясности в отношении свойств безопасности, которые обеспечивают некоторые реализации MFA, CISA и NSA рекомендовали сообществу поставщиков дополнительные инвестиции в создание устойчивых к фишингу средств аутентификации, чтобы обеспечить более надежную защиту от изощренных атак.

В отчете также делается вывод, что упрощение и стандартизация свойств безопасности MFA и устойчивых к фишингу аутентификаторов, включая их форм-факторы, встроенные в операционные системы, «значительно расширит рынок». CISA и NSA призвали увеличить инвестиции в поддержку высоконадежных реализаций MFA для корпоративного использования. Эти инвестиции должны быть разработаны в удобной для пользователя форме как на мобильных, так и на настольных платформах, чтобы способствовать более широкому внедрению MFA.

Разработать более безопасные инструменты регистрации Что касается управления и самостоятельной регистрации, в отчете говорится, что необходимо разработать более безопасные инструменты регистрации для поддержки сложных потребностей крупных организаций в обеспечении. Эти инструменты также должны автоматически обнаруживать и удалять аутентификаторы регистрации MFA, которые не использовались в течение определенного периода времени или использование которых является ненормальным.

«У поставщиков есть реальная возможность возглавить отрасль и завоевать доверие потребителей продукции за счет дополнительных инвестиций в внедрение таких устойчивых к фишингу аутентификаторов в большее количество вариантов использования, а также упрощение и дальнейшую стандартизацию их внедрения, в том числе в форм-факторах, встроенных в операционные системы». значительно расширит рынок», — заявили CISA и АНБ.