Růst frekvence a závažnosti kybernetických útoků způsobil, že organizace přehodnotily své bezpečnostní strategie. Hlavní nedávné bezpečnostní hrozby, jako jsou útoky ransomwaru s vysokým profilem a zranitelnosti Log4Shell odhalené v roce 2021, vedly k většímu zaměření na ochranu identity, protože protivníci spoléhají na platná pověření, aby se mohli laterálně přesouvat přes cílové sítě.
Kybernetické pojišťovny vědí, že organizace nakupující kybernetické pojištění musí být připraveny detekovat, zmírňovat a reagovat na moderní útoky, protože protivníci vyvíjejí své taktiky, techniky a postupy (TTP). Tyto neustále se vyvíjející hrozby významně ovlivnily kybernetické pojištění. Silná strategie ochrany identity může zvýšit bezpečnost podniku a řídit tempo iniciativ v oblasti kybernetického pojištění.
Vliv ransomwaru na pojistné
Podle průzkumu CrowdStrike Global Security Attitude Survey z roku 2021 utrpělo 66 % organizací v roce 2021 alespoň jeden útok ransomwaru, a jak ukazuje zpráva CrowdStrike 2022 Global Threat Report, úniky dat souvisejících s ransomwarem vzrostly od roku 2020 do roku 2021 o 82 %. ransomware má přímý vliv na pojistné a krytí kybernetického pojištění: Index globálního pojistného trhu společnosti Marsh uvádí, že pojistné za kybernetické pojištění ve 2. čtvrtletí 2021 vzrostlo v USA o 56 %, což je způsobeno četností a závažností žádostí o ransomware.
Přemýšlejte z pohledu kybernetického pojistitele
Při nákupu kybernetického pojištění se organizace kromě určení hlavní příčiny tohoto výpadku často obávají dopadu na podnikání, ztráty příjmů a dalších nákladů souvisejících s prostojem po útoku. Je pro ně důležité, aby zhodnotili svou celkovou rizikovou pozici. Kybernetické pojišťovny úzce spolupracují s podniky, aby vytvořily holistický pohled na systémová a dynamická rizika, která přímo ovlivňují jejich pojistné a limit krytí.
Active Directory (AD), často nejslabší článek kybernetické obrany, je příkladem takového rizika. Protože většina ransomwarových útoků využívá přihlašovací údaje uživatele, měly by organizace posílit svou pozici zabezpečení identity způsobem, který bude fungovat v souladu s jejich strategií ochrany koncových bodů. Mnoho kroků, které s tím souvisí, jako je implementace vícefaktorové autentizace (MFA) a správa privilegovaných účtů, jsou také požadavky, které je třeba splnit při nákupu kybernetických pojistek.
Silnější obrana proti útokům zaměřeným na identitu
Moderní útoky jako ransomware a nedávné incidenty Log4j a noPac se skládají především ze dvou částí:
Všimněte si, že protivníci zaměřující se na organizace s moderními hrozbami, jako je ransomware, nemusí nutně následovat řetězec kybernetického zabíjení lineárním způsobem. To znamená, že nemusí vždy infiltrovat organizaci prostřednictvím pokusů o phishing a následného spuštění zneužitelného kódu na zranitelných koncových bodech. (Pokud tak učiní, moduly CrowdStrike Falcon® Endpoint Protection chrání detekcí a zabráněním spuštění kódu.) Protivník by místo toho mohl infiltrovat organizaci z koncového bodu nechráněného technologií CrowdStrike a poté použít platnou kompromitovanou identitu pro přístup ke zdrojům a laterální přesun.
Ať už se protivníci rozhodnou pro vstup do organizace jakýmkoli způsobem, mohou nakonec využít identit pracovní síly k pohybu po síti a využít tak kompromitovaných přihlašovacích údajů a slabé pozice zabezpečení AD.
Role MZV v ochraně identity
MFA se stala klíčovou metodou pro řízení přístupu ke kritickým aplikacím a zdrojům; ještě více s větší vzdálenou pracovní silou napříč vertikálami. K ochraně před ransomwarem a dodržení základního bezpečnostního postoje většina pojistitelů vyžaduje, aby organizace prosazovaly MFA na identitách. Pojistitelé mohou odmítnout obchodovat s organizacemi, které nevynucují MFA nebo nenasazují technologii zabezpečení koncových bodů, jako je antivirus nové generace nebo detekce a odezva koncových bodů (EDR).
Jedním ze způsobů, jak vynutit ověření identity, je spustit MFA pokaždé, když se uživatel pokusí získat přístup ke zdroji nebo aplikaci. To však může způsobit únavu MFA, která nejenže může snížit produktivitu uživatelů, ale také potenciálně vytváří rizikový scénář, ve kterém uživatel neúmyslně povolí přístup ke škodlivému pokusu o přihlášení.
Zákazníci CrowdStrike Falcon Identity Protection získávají lepší uživatelskou zkušenost a vylepšené zabezpečení s MFA založenou na rizicích: důvěra uživatele je vyhodnocována v reálném čase, aby se určilo, zda povolit přístup ke konkrétním zdrojům ještě předtím, než požadavek na ověření zasáhne AD. Díky základním a dynamickým rizikům spojeným s každou identitou a jejím chováním je škodlivá aktivita – jako je boční pohyb, rizikové chování, neobvyklé používání koncových bodů, eskalace oprávnění a škodlivé pokusy o přihlášení k RDP – detekována a napadena v reálném čase, aniž by bylo potřeba těžkopádné analýzy protokolů nebo bodování. řešení.
Posun od Narrow Privileged Access Management k širší ochraně identity
Plochu útoku na identitu může ovlivnit jeden neprivilegovaný účet, takže byste neměli zúžit bezpečnostní úsilí pouze na privilegované účty. Ačkoli je správa privilegovaných účtů (PAM) některými poskytovateli považována za kritickou součást kybernetického pojištění, je důležité pochopit, že tradiční řešení PAM poskytují přehled pouze pro privilegované účty. Kromě nutnosti pečlivého plánování nasazení a konfigurace řešení PAM by organizace měly zvážit pravděpodobnost, že skokové servery lze obejít a že mohou být ohroženy trezory hesel.
Představte si PAM jako „provozní“ řešení pro „správu“ privilegovaných účtů. Například řešení PAM nezabrání zneužití platných přihlašovacích údajů, pouze spravují použití privilegovaných účtů – privilegovaný účet od PAM by však mohl být stále používán zkušeným protivníkem, který by v zákaznickém prostředí zůstal neodhalen.
| Function | PAM | CrowdStrike Falcon Identity Protection |
| ID store visibility | Limited to privileged accounts | All accounts across AD and Azure AD directories |
| Risk posture assessment | Incomplete or limited to privileged accounts | All human, service and privileged identities |
| Deployment | Requires careful planning (jump servers, session brokers and many more) | Rapid deployment and scalability with a cloud-delivered, single lightweight agent architecture |
| User experience (UX) | High user friction (password vaulting, session brokers) | Frictionless MFA/conditional access based on dynamic risk |
| Behavior, deviations monitoring | Limited to only privileged accounts | All accounts |
| Misuse of valid credentials | Not available | Full visibility: detection and prevention |
| Attack path visibility | Limited | Full visibility into the lifecycle of an attack across reconnaissance, lateral movement and persistence |
Falcon Identity Protection automaticky klasifikuje a posuzuje oprávnění všech identit – berte to jako zabezpečení privilegovaného přístupu nové generace – s viditelností a kontrolou zabezpečení všech účtů spojených s AD, Azure AD a SSO, jako jsou Okta, Ping a Active Directory Federation Services ( ADFS). Díky segmentaci identit a viditelnosti chování a rizik pro všechny uživatele mohou organizace omezit přístup k vysoce hodnotným zdrojům a zastavit postup ransomwarových útoků, a tak splnit některé z kritických požadavků na kybernetické pojištění přijetím širší strategie ochrany identity. Falcon Identity Protection může také doplnit vaše řešení PAM tím, že umožňuje holistický přehled, analýzu a ochranu vašich privilegovaných identit a servisních účtů a prosazování rizikových MFA – zlepšuje uživatelskou zkušenost pro vaše administrátory.
