De fleste af verdens virksomheder befinder sig i en konflikt - og de har i øvrigt gjort det gennem en længere årrække. Hvis dit arbejde i en eller anden grad har berøring med IT-sikkerhed, er du også en del af denne konflikt.
Det kan godt være, at du møder op på arbejde i cowboybukser og t-shirt, og at du måske ikke ligefrem er bevæbnet - men med, det er du.
Fronter
Som i enhver anden konflikt har fronterne flyttet sig flere gange:
I mange år var fronten virksomhedens perimeter. Virksomhedens primære værktøj var en stateful firewall, og de cyberkriminelles ditto var vira og orme.
Efterhånden som konflikten udviklede sig, skiftede de cyberkriminelle taktik. Deres foretrukne våben var nu de såkaldte Advanced Persistent Threats, som udmærkede sig ved blive lanceret med avancerede metoder, og kunne eksistere i virksomhedens infrastruktur i månedsvis uden at blive opdaget.
Forsvaret udviklede sig også. Virksomhedens mest avancerede værktøj blev nu den såkaldte "Next Generation Firewall", der adskiller sig fra en stateful firewall, ved at have application awareness, og typisk også integreret IPS, og muligheden for at integrere en eller flere tredje-parts datakilder.
Fronten var nu mere mudret. For mange virksomheder var fronten stadig perimeteren, og derfor ønskede man at investere stort i firewall-teknologi. Men internt på netværket var virksomhedens mange end-points i større og større grad en slagmark for mange forskellige typer af angreb, eksemplificeret ved ransomware, der blev meget omtalt.
Derfor oplevede mange virksomheder et behov for at ændre strategien og i stedet satse på et integreret forsvar, der kunne udveksle data mellem firewall og agenter installeret på virksomhedens end-points.
Denne strategi blev dog delvist overhalet indenom af BYOD-bølgen der i samme periode skyllede ind over verden, og som betød at man ikke længere kunne være sikker på at data kun befandt sig på kendte enheder.
Men - glem nu den perimeter!
Og det bringer os frem til nutiden og konfliktens aktuelle front. Nu udkæmpes der små slag på alle enheder om alle typer af data. Derfor er virksomheden nødt til at identificere, hvad der skal beskyttes.
Lad os derfor starte med at se på, hvad virkeligheden er for virksomhedernes IT-sikkerhedsansvarlige:
- Der er ingen perimeter. Data anvendes både i virksomheden, på farten og fra medarbejderes hjem. Derfor kan det ikke lade sig gøre at slå ring om hele virksomheden eller om de enkelte endpoints.
- Det er forbundet med store udfordringer at kontrollere endpoints. Data anvendes på udleverede PC'er, på smart phones, på iPads og på medarbejderes egne enheder.
Dermed er de to forsvarsværker, der hidtil har været virksomhedernes "Alamo", væk. Tilbage står kun to fælles kontrolpunkter for beskyttelse af data: Identiteter (hvem tilgår) og assets (hvad tilgås).
Det bør derfor være disse to egenskaber, der udgør kernen i virksomhedens forsvar - og dermed også fundamentet for virksomhedens strategi for forsvaret mod udefrakommende trusler anno 2019: Identity Administration & Governance. Kært barn har mange navne. De fleste steder omtales disciplinen som IAM eller IGA.
Identity Administration & Governance
Men hvad er så IAM? Gartner definerer IAM som:
En sikkerhedsdisciplin, der giver de rette individer ret til at tilgå de rette ressourcer på det rette tidspunkt af de rette grunde.
Denne meget lidt mundrette remse understøtter virksomhedens ønske om at sikre at alle har ret til præcist de ressourcer, som jobfunktion og ansvarsområder kræver, samtidigt med at compliance-krav understøttes.
Udgangspunktet er identiten. "Hvem". Det er fordi identiteten er det dybeste referencepunkt vi kan støtte os til, i arbejdet med at definere sikkerhedspolitikken. Identiteten kan så tilknyttes en række attributter. Eksempelvis "rolle".
Det giver os nemlig mulighed for at opstille en række use cases for sikkerhed og compliance:
Opdage og alarmere om handlinger, der går imod compliance-regler. Eks. stoppe provisionering af en server i public cloud, hvis serverens profil ikke lever op til en række prædefinerede krav.
Opdage og alarmere om tildeling af brugerrettigheder, der ikke matcher identitetens ansvarsområde. Hvis en salgsassistent eksempelvis tildeles rettigheder, der ikke matcher de rettigheder som virksomhedens 7 andre salgsassistenter har, vil dette kunne opdages.
"House-cleaning" opgaver. Hvis en medarbejder skifter job internt i organisationen husker man helt sikkert at tildele ham de rettigheder, han har brug for ifbm. sin nye rolle - men husker man også at fjerne de rettigheder, han ikke længere har brug for?
Hvordan?
IAM handler som så megen anden sikkerhed om et samspil mellem systemer og processer. Dvs. at selv det bedste IAM-system ikke er meget værd uden din aktive medvirken i forhold til governance og compliance-regler.
Når det er sagt, er der naturligvis forskel på de tilgængelige systemer. Features. Hvordan de tilgår opgaven. Hvor data kommer fra og så videre.
Hos Netic anbefaler vi Saviynt fra det amerikanske selskab af samme navn. Men der findes naturligvis også andre systemer, der tilgår opgaven på vidt forskellig vis.
Kontakt os gerne hvis du ønsker yderligere oplysninger.
