Нарастването на честотата и сериозността на кибератаките накара организациите да преосмислят своите стратегии за сигурност. Големи неотдавнашни заплахи за сигурността, като високопрофилни атаки на рансъмуер и уязвимостите на Log4Shell, разкрити през 2021 г., доведоха до по-голям фокус върху защитата на самоличността, тъй като противниците разчитат на валидни идентификационни данни, за да се движат странично в целевите мрежи.
Киберзастрахователите знаят, че организациите, които купуват киберзастрахователни полици, трябва да са подготвени да откриват, смекчават и реагират на модерни атаки, докато противниците развиват своите тактики, техники и процедури (TTP). Тези постоянно развиващи се заплахи значително повлияха на киберзастраховането. Силната стратегия за защита на самоличността може да повиши сигурността на предприятието и да стимулира темпото на инициативите за киберзастраховане.
Въздействие на Ransomware върху застрахователните премии
Според проучването на CrowdStrike Global Security Attitude Survey от 2021 г. 66% от организациите са претърпели поне една атака на рансъмуер през 2021 г. и както е показано в доклада за глобалните заплахи на CrowdStrike 2022 г., свързаните с рансъмуер изтичания на данни са се увеличили с 82% от 2020 до 2021 г. Увеличението на ransomware има пряко отношение към киберзастрахователните премии и покритие: Индексът на глобалния застрахователен пазар на Marsh посочва, че киберзастрахователните премии през второто тримесечие на 2021 г. са се увеличили с 56% в САЩ, водени от честотата и тежестта на исковете за ransomware.
Помислете от гледна точка на киберзастрахователя
Когато купуват киберзастраховка, организациите често са загрижени за въздействието върху бизнеса, загубата на приходи и други разходи, свързани с престой след атака, в допълнение към определянето на основната причина за това престой. За тях е изключително важно да оценят цялостната си рискова позиция. Киберзастрахователите работят в тясно сътрудничество с бизнеса, за да създадат холистичен поглед върху системните и динамични рискове, които пряко влияят на тяхната премия и лимит на покритие.
Active Directory (AD), често най-слабото звено в киберотбраната, е пример за такъв риск. Тъй като по-голямата част от атаките на ransomware използват потребителски идентификационни данни, организациите трябва да засилят позицията си за сигурност на самоличността по начин, който работи в унисон с тяхната стратегия за защита на крайната точка. Много от стъпките, включени в това, като прилагане на многофакторно удостоверяване (MFA) и управление на привилегировани акаунти, също са изисквания, които трябва да бъдат изпълнени при закупуване на киберзастрахователни полици.
По-силна защита срещу атаки, фокусирани върху самоличността
Съвременните атаки като ransomware и последните инциденти с Log4j и noPac се състоят предимно от две части:
Обърнете внимание, че противниците, насочени към организации с модерни заплахи като рансъмуер, може да не следват непременно веригата за кибер убийства по линеен начин. Това означава, че те не винаги могат да проникнат в организацията чрез опити за фишинг и след това да изпълняват експлойт код на уязвими крайни точки. (Когато го направят, модулите CrowdStrike Falcon® Endpoint Protection защитават чрез откриване и предотвратяване на изпълнение на код.) Противникът може вместо това да проникне в организация от крайна точка, която не е защитена от технологията CrowdStrike, и след това да използва валидна компрометирана самоличност за достъп до ресурси и странично движение.
Независимо от начина, по който противниците изберат да влязат в организацията, те в крайна сметка могат да използват самоличностите на работната сила, за да се движат в мрежата, възползвайки се от компрометирани идентификационни данни и слаба позиция на сигурност на AD.
Ролята на MFA в защитата на самоличността
MFA се превърна в решаващ метод за контролиране на достъпа до критични приложения и ресурси; още повече с по-голяма отдалечена работна сила във всички вертикали. За да се предпазят от рансъмуер и да се съобразят с основната позиция на сигурност, повечето застрахователи изискват от организациите да наложат MFA върху самоличности. Застрахователите може да откажат да правят бизнес с организации, които не налагат MFA или внедряват технология за сигурност на крайни точки като антивирус от следващо поколение или откриване и реакция на крайни точки (EDR).
Един от начините за налагане на проверка на самоличността е да се задейства MFA всеки път, когато потребител се опита да получи достъп до ресурс или приложение. Това обаче може да създаде умора от MFA, което не само може да намали производителността на потребителите, но също така потенциално създава рисков сценарий, при който потребителят неволно позволява достъп до злонамерен опит за влизане.
Клиентите на CrowdStrike Falcon Identity Protection получават по-добро потребителско изживяване и подобрена сигурност с базирана на риска MFA: доверието на потребителя се оценява в реално време, за да се определи дали да се разреши достъп до конкретни ресурси, дори преди заявката за удостоверяване да достигне AD. С базови линии и динамични рискове, свързани с всяка самоличност и нейното поведение, злонамерената дейност - като странично движение, рисково поведение, необичайно използване на крайна точка, ескалация на привилегии и злонамерени опити за влизане в RDP - се открива и предизвиква в реално време, без да се изисква тромав анализ на журнала или точка решения.
Преминаване от ограничено управление на привилегирован достъп към по-широка защита на самоличността
Повърхността на атаката за самоличност може да бъде повлияна от един непривилегирован акаунт, така че не трябва да ограничавате усилията за сигурност само до привилегировани акаунти. Въпреки че управлението на привилегировани акаунти (PAM) се счита за критична част от киберзастраховането от някои доставчици, важно е да се разбере, че традиционните PAM решения осигуряват видимост само на привилегировани акаунти. В допълнение към изискването за внимателно планиране за внедряване и конфигуриране на PAM решение, организациите трябва да вземат предвид вероятността сървърите за прескачане да бъдат заобиколени и хранилищата за пароли да бъдат компрометирани.
Мислете за PAM като за „оперативно“ решение за „управление“ на привилегировани акаунти. Например решенията на PAM не предотвратяват злоупотребата с валидни идентификационни данни, те управляват само използването на привилегировани акаунти — обаче привилегирован акаунт от PAM все пак може да бъде използван от опитен противник, за да остане незабелязан в клиентска среда.
| Function | PAM | CrowdStrike Falcon Identity Protection |
| ID store visibility | Limited to privileged accounts | All accounts across AD and Azure AD directories |
| Risk posture assessment | Incomplete or limited to privileged accounts | All human, service and privileged identities |
| Deployment | Requires careful planning (jump servers, session brokers and many more) | Rapid deployment and scalability with a cloud-delivered, single lightweight agent architecture |
| User experience (UX) | High user friction (password vaulting, session brokers) | Frictionless MFA/conditional access based on dynamic risk |
| Behavior, deviations monitoring | Limited to only privileged accounts | All accounts |
| Misuse of valid credentials | Not available | Full visibility: detection and prevention |
| Attack path visibility | Limited | Full visibility into the lifecycle of an attack across reconnaissance, lateral movement and persistence |
Falcon Identity Protection автоматично класифицира и оценява привилегиите на всички самоличности — мислете за това като за защита на привилегирован достъп от следващо поколение — с видимост и контрол на сигурността на всички акаунти, свързани с AD, Azure AD и SSO като Okta, Ping и услуги за федерация на Active Directory ( ADFS). Със сегментирането на самоличността и видимостта на поведението и рисковете за всички потребители, организациите могат да ограничат достъпа до ресурси с висока стойност и да спрат напредъка на атаките на ransomware, като по този начин спазват някои от критичните изисквания за киберзастраховане чрез приемане на по-широка стратегия за защита на самоличността. Falcon Identity Protection може също така да допълни вашето PAM решение, като активира холистична видимост, анализи и защита за вашите привилегировани самоличности и акаунти за услуги, както и прилагане на базирано на риска MFA — подобряване на потребителското изживяване за вашите администратори.
