Datainnbrudd skjer ofte ved at angriperen har fått kloa i et lekket passord. Det kan være at brukeren har benyttet et dårlig passord, eller har brukt samme passord på kryss og tvers av tjenester.
Andre ganger har brukeren klikket på en lenke i en epost og blitt lurt til å oppgi brukernavn og passord, eller uvitende fått installert en keylogger på maskinen. Rundt 70 prosent av alle vellykkede angrep skyldes at angriperen har fått tilgang til en legitim brukers påloggingsdetaljer.
Derfor oppfordres vi stadig til å bruke sterkere passord, og forskjellige passord på alle mulige tjenester. Dette har du jo hørt før, og den menneskelige faktoren dukker hele tiden opp når sikkerhet diskuteres. I høst har temaet nok en gang blitt aktualisert, gjennom angrepene mot Stortinget og norske kommuner.
Øystein Dalheim i Orange Cyberdefense mener det altfor ofte skyldes på menneskelig svikt når systemer kompromitteres.
– Vi kan ikke forvente at mennesker skal klare å huske hundrevis av forskjellige, kompliserte passord, og aldri bruke samme passord flere steder. Vi kan ikke forvente at brukere aldri klikker på lenker i eposter som ser helt legitime ut, sier han.
Dalheim er Team Lead for IAM i Orange Cyberdefense, og ekspert på nettopp Identity Access Management-løsninger, som kan løse hele problemet med passord.
– I gamle dager, da det bare var noen få passord, kunne man kanskje forvente at brukerne skulle huske dem. Men nå som verden er så kompleks, kan vi ikke forvente at brukerne skal balansere på kniveggen og aldri gjøre noen feil. Det er jo helt usannsynlig, sier han.
Dalheim mener at systemene vi bruker i dag i altfor stor grad tillater sluttbrukeren å gjøre feil, og brenner for å bevisstgjøre norske virksomheter på at det finnes både sikrere og mer brukervennlige alternativer til brukernavn og passord.
– Alle i sikkerhetsbransjen er enige om at passord i seg selv er en for dårlig sikkerhetsmekanisme, og det har lenge vært fokus på en zero-trust-tankegang, der man ikke skal stole på noen, sier han.
Det betyr at man heller ikke kan stole på at brukerne aldri vil begå feil i håndteringen av brukernavn og passord, og heller implementere bedre autentiseringsmetoder.
– Det finnes gode IAM-løsninger i dag som gjør det mulig å fjerne seg helt fra passordene, sier Dalheim, og forteller at passordet kan erstattes med en pinkode i kombinasjon med for eksempel smartkort eller engangskode og biometri.
I tillegg til brukervennlig multifaktorautentisering, som kan settes opp med single sign-on til enkelte tjenester, legger Dalheim vekt på at kontekstuell autentisering også må være en del av løsningen. En av løsningene som tilbyr dette er Thales Safenet Trusted Access, som leveres som en managed service.
– Systemet bør analysere hvilken klient du logger på fra, hvilken tid på døgnet det er og hvilken type tjeneste du prøver å få tilgang til. Om noen plutselig prøver å få tilgang klokken 3 om natten fra andre siden av kloden, bør det i det minste kreve full re-autentisering med alle faktorer, sier han.
Orange Cyberdefense jobber med de største aktørene i dette markedet, blant annet Thales, og kan tilby kundene ulike IAM-løsninger. Dalheim kjenner derfor godt til hvordan anskaffelsen av IAM-systemer ofte foregår.
Noen oppdager mulighetene ved IAM i forbindelse med andre IT-prosjekter, andre ganger blir det del av en prosess for å bedre brukeropplevelsen for sluttbrukerne. En tydelig trend er også at IAM-løsninger tvinger seg fram etter hvert som virksomheten tar i bruk flere og flere skytjenester og får behov for å få bedre oversikt og kontroll.
— Men et fellestrekk er at det ofte ikke er gjort en ordentlig risiko- og sårbarhetsanalyse, sier Dalheim.
– Mange innhenter tilbud og kjøper et produkt som de tar i bruk, og deretter starter med kartleggingsjobben. Mange blir da overrasket over at kartleggingsjobben blir større enn man så for seg, sier han.
Uforutsette utfordringer dukker gjerne opp, som for eksempel spørsmål om hvem som skal tillate at noen får tilgang til regnskapssystemet, og hvordan denne godkjennelsen skal håndteres. Holder det med at noen går inn i IT-avdelingen og sier fra, eller må det mer formelle godkjenninger til?
– Det er ganske mye kartleggingsarbeid som skal til for å tune IAM-løsningene til en god brukeropplevelse og et riktig tilpasset sikkerhetsnivå for virksomheten, fortsetter han.
Derfor anbefaler Dalheim å starte med risikovurderingen. Videre bør man kartlegge hvilke brukergrupper som har behov for ulike typer aksess, se på hva som er normalaktivitet for ulike typer brukere etc.
– God kvalitet på underlaget vil gjøre det enklere for dem som skal håndtere IAM-løsningen i årene som kommer. Har man definert hvilke typer brukergrupper hver enkelt ansatt skal puttes i, satt policyer på hvilke typer enheter og lokasjoner som skal tillates og hvilke systemer som er mer risikoutsatte enn andre, sparer det virksomheten for mye administrasjon senere, sier Dalheim.
Dalheims klare råd er å få hjelp av sikkerhetsrådgivere til dette kartleggingsarbeidet. Ikke bare vil det skape optimal balanse mellom sikkerhet og brukervennlighet, men man vil også unngå at IT-avdelingen ender opp med et system som blir mer og mer komplekst og rotete med tiden.
– Får du en ny ansatt på ditt team, må du tenke gjennom hvilke tilganger vedkommende skal ha og ikke ha. Et velfungerende IAM-system kan i stedet sørge at dette går automatisk, bare ved å putte den ansatte i en rolle, sier Dalheim.
Det er altså ikke bare brukervennligheten, sikkerheten og ressursbruken i IT-avdelingen som nyter godt av IAM-løsningen, men også alt som har med onboarding og offboarding å gjøre.
– Ved sikkerhetsrevisjoner finner vi aktive brukere som ikke lenger er legitime brukere, for eksempel ansatte som har sluttet. Det er oftest en offboardings-prosess som skulle ha fanget det opp, men så har den kanskje ikke vært oppdatert på to år og dermed ikke fått med seg at man i mellomtiden har tatt i bruk et nytt system, sier Dalheim.
– Det er åpenbart en kjempefordel med en IAM-løsning at den både er mye sikrere, og veldig mye enklere å håndtere når den først er etablert. Når HR-systemet flagger at en person slutter, fjernes alle kontoer automatisk. Langtidsgevinstene er mange, avslutter han.
Identiteten er den nye perimeteren, basert på en ZeroTrust-strategi.
Les mer »
