Priorytety w zarządzaniu dostępem i tożsamością

Dlaczego zarządzanie dostępem i tożsamością jest ważne dla współczesnych organizacji?

Dobre zarządzanie dostępem i tożsamością to fundament bezpieczeństwa. ​To właśnie konta użytkowników są najczęściej celem ataków – od phishingu, przez przejmowanie haseł, po nadużycia uprawnień. Te cyber aataki skupiają się na przejęciu danych logowania i wykorzystaniu ich do dalszych działań przestępczych.  

Według statystyk szacuje się, że 80% włamań na konta społecznościowe odbywa się przy użyciu wcześniej wykradzionych lub wyciekłych danych uwierzytelniających, a według ostatniego Microsoft Defense Raport Polska zajmuje 3. miejsce w Europie i 9. na świecie pod względem ekspozycji na ataki cyberprzestępcze, głównie ukierunkowane właśnie na pozyskanie danych uwierzytelniających użytkowników.    

W ramach serii o priorytetach technologicznych, procesowych i organizacyjnych rozmawiamy z Tomaszem Matułą, ekspertem rynku ICT i cyberbezpieczeństwa.  

Pobierz grafikę z mapą priorytetów technologicznych, procesowych i organizacyjnych w cyberbezpieczeństwie i bezpieczeństwie informacji.

Poziom podstawowy – jak wyglądają pierwsze kroki w ochronie tożsamości?

• Silne i unikalne hasła – wymuszanie złożonych, unikalnych haseł dla wszystkich kont. Hasła należy zmieniać regularnie. UWAGA: regularność zmiany haseł nie może być jednocześnie przesadzona 

• Podstawowe zarządzanie tożsamością – ograniczenie uprawnień i kontrola ról – ręczne zakładanie i usuwanie kont, kontrola ról i uprawnień w systemach (np. Active Directory). Każdy użytkownik powinien mieć dostęp wyłącznie do tych zasobów, które są mu niezbędne do pracy (zasada najmniejszych uprawnień).  

• Stosowanie prostych SSO (Single Sign-On) – jedno logowanie do kilku podstawowych aplikacji (jeśli to możliwe) 

• Monitoring i audyt dostępu do krytycznych systemów 

• Szkolenie pracowników z rozpoznawania phishingu i innych metod wyłudzania danych(najczęstszego wektoru ataku na tożsamość)  

Należy też pamiętać o “martwych kontach” czyli kontach, które nie są już używane. Martwe konta są częstym wektorem ataków. W-g międzynarodowych raportów ponad 24% naruszeń bezpieczeństwa w 2024 roku było związanych z wykorzystaniem nieaktywnych lub rzadko używanych kont, w tym martwych kont użytkowników. Atakujący często wykorzystują je do uzyskania nieautoryzowanego dostępu do infrastruktury IT, ponieważ takie konta rzadko mają włączone MFA i nie są monitorowane na bieżąco.  

W Polsce, według raportu CERT Polska za rok 2024, jednym z najczęściej identyfikowanych wektorów ataku było wykorzystanie kont niechronionych MFA oraz długotrwały dostęp do infrastruktury – co w praktyce często oznacza  wykorzystanie tzw. martwych (nieużywanych) kont.  

Nawet na poziomie podstawowym warto regularnie przeglądać i usuwać nieużywane konta oraz ograniczać liczbę kont z uprawnieniami administracyjnymi. Rekomendowana częstotliwość  przeglądu kont użytkowników to co najmniej raz na kwartał – usuwanie nieużywanych kont i ograniczanie nadmiernych uprawnień zwykle nadawanych „na chwilę”, o których często zapomina się.  

Poziom średniozaawansowany. Jak wdrożyć automatyzację i lepszą kontrolę w zarządzaniu dostępem i tożsamością? 

• Weryfikacja dwuetapowa (2FA/MFA) – wszędzie, gdzie to możliwe, należy włączyć uwierzytelnianie dwuskładnikowe – np. kod SMS, aplikacja mobilna, token sprzętowy. MFA znacząco utrudni przejęcie konta nawet w przypadku wycieku hasła.  

• Systemy IAM (Identity and Access Management) – centralizują zarządzanie cyklem życia użytkownika – automatycznie nadają i odbierają uprawnienia, integrują z HR i systemami kadrowymi. Dodatkowo umożliwiają automatyzację procesów takich jak przyjęcie, zmiana roli, odejście pracownika oraz znacząco usprawniają regularne przeglądy i certyfikację uprawnień, eliminując „martwe konta” i nadmiarowe uprawnienia.  

• PAM (Privileged Access Management)  – kontrolują i monitorują dostęp do kont uprzywilejowanych (administratorów, serwisów, kont technicznych). Wprowadzenie polityk just-in-time (dostęp tylko na czas wykonania zadania) i just-enough privilege (tylko niezbędne uprawnienia) oraz automatyczne rejestrowanie i audytowanie sesji uprzywilejowanych, integracja z SIEM czy platformami zarządzającymi cybersec.  

• SSO (Single Sign-On) z integracją – umożliwia użytkownikom logowanie do wielu aplikacji (lokalnych i chmurowych) za pomocą jednego zestawu poświadczeń. Centralizuje zarządzanie dostępem i ułatwia egzekwowanie polityk bezpieczeństwa. Redukuje ryzyko związane z wieloma hasłami i poprawia doświadczenie użytkownika.  

• Least Privilege Access 

• Wdrożenie zasady minimalnych uprawnień na poziomie systemów, aplikacji i ról.  

• Regularne audyty uprawnień, automatyczne odbieranie niepotrzebnych dostępów.  

• Wykorzystanie RBAC (Role-Based Access Control) i polityk czasowych (just-in-time access).  

• Zero Trust dla Active Directory – każda próba dostępu do zasobu jest weryfikowana – nie ma domyślnego zaufania nawet dla użytkowników wewnętrznych.  

• Wprowadzenie polityk Authentication Policies, ochrona kont Protected Users, segmentacja ról administracyjnych.  

Poziom Zaawansowany. Jak wygląda adaptacyjnosć, Zero Trust i pełna automatyzacja w zarządzaniu dostępem i tożsamością?

Na najwyższym poziomie dojrzałości zarządzanie dostępem i tożsamością to już nie tylko kontrola, ale i ciągła adaptacja do zmieniających się zagrożeń.  

• Zaawansowane rozwiązania IAM z adaptacyjnym uwierzytelnianiem – systemy IAM analizują kontekst logowania (lokalizacja, urządzenie, czas, zachowanie użytkownika) i dynamicznie dostosowują wymagania uwierzytelniania. W przypadku nietypowych prób logowania (np. z nowego kraju, o nietypowej porze) system może wymusić dodatkowe potwierdzenie tożsamości, np. przez MFA, biometrię lub jednorazowy kod.  

Adaptacyjne uwierzytelnianie minimalizuje ryzyko nieautoryzowanego dostępu, a jednocześnie nie utrudnia pracy uprawnionym użytkownikom.  

• Pełna implementacja modelu i architektury Zero Trust  – każda próba dostępu do zasobu jest dynamicznie oceniana – nie ma domyślnego zaufania nawet dla użytkowników wewnętrznych. Wymuszane jest wieloskładnikowe uwierzytelnianie (MFA) oraz ciągła weryfikacja tożsamości i stanu urządzenia. Dostęp przyznawany jest na zasadzie „najmniejszych uprawnień” (Least Privilege), a uprawnienia są regularnie przeglądane i automatycznie odbierane, gdy nie są już potrzebne.  

• Zaawansowane PAM (Privileged Access Management) – Pełna kontrola i monitoring sesji uprzywilejowanych, automatyczne nadawanie i odbieranie uprawnień na czas wykonania zadania (just-in-time access). Zaawansowane PAM automatyzują rotacęi haseł, audytowanie i nagrywanie sesji, wykrywanie anomalii w działaniach administratorów. Pozwalają na integrację z SIEM, SOAR i innymi narzędziami bezpieczeństwa dla szybkiej reakcji na incydenty.  

• Automatyzacja cyklu życia tożsamości 

• Automatyczne nadawanie, modyfikowanie i odbieranie uprawnień na podstawie zmian w systemach HR, strukturze organizacyjnej lub atrybutach użytkownika.  

• Automatyczne przeglądy uprawnień, workflowy zatwierdzania dostępu, automatyczne usuwanie kont po odejściu pracownika.  

• Integracja i orkiestracja  

• IAM, PAM i systemy monitoringu są zintegrowane, co umożliwia centralne zarządzanie, korelację zdarzeń i automatyczną reakcję na incydenty.  

• Wykorzystanie AI i machine learning do wykrywania anomalii i predykcji zagrożeń  

• Regularne przeprowadzanie przeglądów uprawnień i recertyfikacji kont – automatyzacja access review, eliminacja martwych kont i nadmiarowych uprawnień  

• Testowanie i audytowanie polityk – regularne przeprowadzanie testów penetracyjnych, symulacje ataków i audyty zgodności polityk z wymaganiami biznesowymi i regulacyjnymi.  

Podsumowując poziom zaawansowany w zarządzaniu dostępem i tożsamością to możliwie pełna automatyzacja, adaptacyjność i wdrożenie filozofii Zero Trust. Kluczowe są tu: dynamiczne uwierzytelnianie, automatyzacja cyklu życia tożsamości, zaawansowane zarządzanie dostępem uprzywilejowanym oraz integracja i orkiestracja systemów bezpieczeństwa.   

Jaką wartość daje wdrożenie IAM i PAM?

Wdrożenie IAM i PAM to projekty, które są wyzwaniem dla większości organizacji, ale za to przynoszą ogromne korzyści – automatyzują procesy, zmniejszają liczbę błędów i naprawdę znacząco poprawiają bezpieczeństwo. Dodatkowo nie do przecenienia jest znaczenie systemu PAM w kontekście incydentów bezpieczeństwa, takich jak kradzież lub wyciek danych dokonany przez osoby z dostępem uprzywilejowanym. W przypadku podejrzenia przestępstwa (np. kradzieży lub wycieku danych przez administratora lub dostawcę):  

• Dowody cyfrowe: Organy ścigania i sąd wymagają twardych dowodów potwierdzających, kto i w jaki sposób dokonał nieautoryzowanych działań. Logi PAM i nagrania sesji są kluczowym źródłem takich dowodów.  

• Odtworzenie przebiegu incydentu: Nagrania sesji pozwalają zrekonstruować krok po kroku, jak doszło do wycieku lub kradzieży danych.  

• Zabezpieczenie przed podważeniem: Logi generowane przez PAM są chronione przed edycją i zapewniają integralność dowodów, co zwiększa ich wartość procesową.  

Zasadność wdrożenia systemów IAM czy PAM pokazuje między innymi atak ransomware na UnitedHealth Group z 2024 roku – jeden z największych incydentów cyberbezpieczeństwa w amerykańskiej ochronie zdrowia, w wyniku którego skompromitowano dane około 190 milionów osób – czyli jednej trzeciej populacji USA. Grupa ransomware BlackCat uzyskała dostęp do systemów poprzez podatny port i skradzione poświadczenia, a dodatkowo w organizacji nie było włączone wieloskładnikowe uwierzytelnianie MFA. Incydent ujawnił także słabości w monitorowaniu kont uprzywilejowanych, co stało się modelowym przykładem na to, jak krytyczne dla bezpieczeństwa jest właściwe zarządzanie oraz nadzór nad dostępami, szczególnie o podwyższonych uprawnieniach.  

Coraz więcej narzędzi IAM, PAM czy SSO jest dostępnych także dla średnich organizacji – w modelu on-premise, ale też chmurowym, jako usługa, z elastycznym wdrożeniem.  

Podsumowanie – jakie są najważniejsze zasady w zarządzaniu dostępem i tożsamością?

Niezależnie od poziomu dojrzałości, warto pamiętać o kilku uniwersalnych zasadach:  

• Regularnie przeglądaj i aktualizuj uprawnienia użytkowników.  

• Wdrażaj MFA tam, gdzie to możliwe – nawet proste SMS-y czy aplikacje mobilne znacząco podnoszą bezpieczeństwo.  

• Automatyzuj procesy nadawania i odbierania uprawnień – minimalizuje to ryzyko błędów i nadużyć.  

• Edukuj użytkowników – nawet najlepsze narzędzia nie pomogą, jeśli ktoś udostępni swoje hasło.  

• Audytuj i monitoruj dostęp do kont uprzywilejowanych – to one są najcenniejszym celem dla atakujących.  

Zarządzanie dostępem to nie tylko technologia, ale też procesy i świadomość. Każdy obszar cyberbezpieczeństwa i ochrony informacji to połączenie narzędzi, procesów, dobrych praktyk i kultury bezpieczeństwa – o czym do znudzenia przypominamy za każdym razem.