Ai SSO? Încă aveți nevoie de securitate prin parolă

SSO este un instrument excelent de productivitate și securitate, dar lasă lacune de securitate legate de parole.

Soluțiile de conectare unică (SSO) au crescut rapid în popularitate chiar înainte ca pandemia de COVID-19 să provoace o fugă nebună către cloud. Acum, SSO este mai popular ca niciodată datorită avantajelor de confort și securitate pe care le oferă organizațiilor forțe de muncă distribuite, inclusiv:

• O singură parolă pe care angajații și-o pot aminti. Eliminarea „oboselii parolei” este unul dintre cei mai mari factori pentru adoptarea SSO. În loc de o parolă diferită pentru fiecare aplicație și serviciu, angajații trebuie doar să-și memoreze parola de conectare unică.
• O singură parolă de introdus, o dată pe zi. Pe lângă faptul că nu trebuie să-și amintească mai multe parole, angajații nu trebuie să introducă mai multe parole pe parcursul zilei de lucru. Își introduc parola SSO o dată, la începutul zilei de lucru, eliminând timpul pierdut la introducerea parolelor pe parcursul zilei de lucru.
• Tăiați biletele la biroul de asistență la jumătate. Grupul Gartner estimează că resetările parolei reprezintă până la 50% din biletele biroului de asistență. SSO promite să elimine practic aceste bilete, permițând angajaților de asistență să petreacă mai mult timp ajutând utilizatorii finali cu probleme mai complexe.
• Implementare mai ușoară a accesului și gestionării identității (IAM). SSO reduce complexitatea configurării autentificării și controalelor de acces, permițând implementarea mai rapidă și mai simplă a soluțiilor IAM, precum și o cale mai rapidă către un mediu de încredere zero.
• Raportare mai ușoară a conformității. Multe cadre obișnuite de conformitate necesită urmăriri de audit ale utilizatorilor pentru datele de conectare ale utilizatorilor. SSO facilitează includerea acestor date în rapoartele de conformitate.

Deficiența SSO: lacune de securitate legate de parolă

Scopul SSO este de a facilita accesarea resurselor. Este grozav pentru productivitate, dar nu din punct de vedere al securității:

• O singură parolă echivalează cu un singur punct de eșec. Dacă un angajat pierde sau uită o parolă pentru un singur cont, este blocat din acel cont. Dacă își uită parola SSO, vor fi blocați accesul la toate conturile lor. Și mai îngrijorător, dacă un criminal cibernetic deține o parolă SSO, poate intra în toate conturile angajatului legate de muncă. Verizon estimează că peste 80% dintre încălcările de date de succes rezultă din parole compromise, ceea ce reprezintă un dezavantaj enorm.
• Aplicațiile vechi de linie de afaceri (LOB) nu acceptă SSO. În ciuda faptului că pandemia de COVID-19 a accelerat eforturile de transformare digitală cu câțiva ani, majoritatea organizațiilor încă folosesc cel puțin câteva aplicații LOB vechi care nu acceptă SSO. Pentru că sunt atât de vechi, modernizarea lor nu este realistă; pentru că sunt atât de specializați, nici înlocuirea lor nu este fezabilă.
• Nu toate aplicațiile moderne acceptă SSO. Aplicațiile vechi nu sunt singurul punct de conflict. Multe aplicații și servicii moderne nu acceptă nici SSO, în special aplicațiile desktop. Este rar ca implementarea SSO a unei organizații să acopere toate aplicațiile pe care le folosesc angajații lor, în special în întreprinderile mai mari, unde pot fi utilizate literalmente sute de aplicații.
• Diferite aplicații pot utiliza protocoale SSO diferite. Este posibil ca angajații dvs. să fie nevoiți să utilizeze aplicații care utilizează un protocol diferit de cel utilizat de furnizorul de identitate (IdP) al organizației dvs. De exemplu, dacă IdP-ul dvs. utilizează protocolul SAML, soluția dvs. SSO nu va accepta aplicații care utilizează OAuth.
• Nici un control asupra obiceiurilor de parole ale utilizatorului. Implementările SSO nu oferă nicio vizibilitate asupra practicilor proaste de securitate a parolelor. Angajații pot alege o parolă slabă sau compromisă anterior pentru autentificarea SSO sau pot reutiliza o parolă pe care o folosesc pentru mai multe conturi suplimentare. Ei pot face același lucru pentru toate aplicațiile pe care implementarea dvs. SSO nu le acceptă. De asemenea, aceștia își pot împărtăși parolele cu părți neautorizate.
• Fără protecție pentru utilizatorii sau sesiunile privilegiate. De obicei, utilizatorii trebuie să introducă acreditări separate pentru a accesa sisteme și date deosebit de sensibile, dar scopul SSO este de a oferi utilizatorilor un permis de acces complet cu o singură autentificare.

4 moduri de a reduce lacunele de securitate legate de parolă lăsate de SSO

În ciuda acestor riscuri, organizațiile care se ocupă de securitate nu ar trebui să renunțe la implementările SSO. Nicio soluție de securitate nu este un panaceu. Prin împerecherea soluțiilor lor SSO cu tehnologii complementare, organizațiile pot suplini lacunele de securitate legate de parole, păstrând în același timp productivitatea și ușurința avantajelor de utilizare SSO.

#1. Implementați controlul accesului bazat pe roluri (RBAC) cu acces cu cel mai mic privilegiu pentru toți utilizatorii

Principiul cel mai mic privilegiu, care dictează că utilizatorii ar trebui să aibă acces doar la nivelul minim de privilegii de sistem pentru a-și face treaba și nu mai mult, este esențial pentru a reduce suprafața potențială de atac a unei organizații. Introduceți RBAC, care simplifică atribuirea și gestionarea nivelurilor de control al accesului.

Pentru a face atribuirea rolurilor RBAC mai ușor de gestionat, evitați atribuirea de roluri direct utilizatorilor. În schimb, creați grupuri, atribuiți privilegii grupurilor și adăugați utilizatori la grupuri în consecință. Pe lângă reducerea la minimum a numărului de atribuiri de rol, această practică economisește timp dacă trebuie făcută o modificare a privilegiilor fiecărui utilizator dintr-un grup. Asigurați-vă că grupurile dvs. sunt reutilizabile și evitați să creați prea multe roluri personalizate.

#2. Implementați Privileged Access Management (PAM) cu Privileged Session Management (PSM) pentru utilizatorii privilegiați

Spre deosebire de SSO, care se concentrează pe a face accesul cât mai ușor posibil, PAM se concentrează pe restricționarea accesului la cele mai sensibile sisteme și date ale unei companii. Organizațiile folosesc PAM pentru a restricționa și monitoriza accesul la sistemele lor cele mai critice și sensibile. Utilizatorii privilegiați sunt de obicei persoane din interiorul companiei de nivel înalt, cum ar fi administratorii IT și de securitate și directorii de nivel C, deși furnizorii și partenerii de încredere pot intra și ei în această categorie.

PAM și PSM merg mână în mână. În timp ce PAM controlează accesul utilizatorilor la resursele sensibile, PSM îi împiedică pe utilizatorii privilegiați să abuzeze de acel acces prin controlul, monitorizarea și înregistrarea sesiunilor de utilizatori privilegiați. Monitorizarea și înregistrarea PSM tipice sunt foarte granulare și includ apăsări de taste, mișcări ale mouse-ului și capturi de ecran. Pe lângă asigurarea securității, pistele de audit PSM sunt cerute de mai multe cadre de conformitate, inclusiv HIPAA, PCI DSS, FISMA și SOX.

#3. Implementați autentificarea cu mai mulți factori pentru toate aplicațiile și serviciile care o acceptă

Autentificarea cu mai mulți factori (2FA) este una dintre cele mai puternice apărări împotriva parolelor compromise. Chiar dacă un criminal cibernetic compromite o parolă, nu o poate folosi fără al doilea factor de autentificare. 2FA protejează toți utilizatorii de cei cu cel mai mic acces la sisteme la cei mai privilegiați utilizatori ai companiei. Îmbunătățește încrederea zero, permițând organizațiilor să autentifice identitățile utilizatorilor.

Unele organizații ezită să implementeze 2FA de teamă că nu va împiedica productivitatea forțând angajații să parcurgă pași suplimentari pentru a se autentifica. Această problemă este ușor remediată prin asocierea 2FA cu o soluție modernă de securitate a parolei care permite utilizatorilor să-și stocheze acreditările 2FA împreună cu parolele. .

#4. Implementați o platformă de securitate și criptare a parolelor de companie la nivel de companie

Securitatea prin parolă și platforma de criptare le permit angajaților să stocheze în siguranță toate datele de conectare într-un singur depozit centralizat, privat și criptat. La fel ca SSO, utilizatorii memorează o singură „parolă principală”, care este folosită pentru a accesa toate acreditările din depozitul lor digital.

Spre deosebire de SSO, o bună platformă de securitate și criptare a parolelor de întreprindere este concepută pentru a funcționa cu toate serviciile și aplicațiile, inclusiv cu aplicațiile vechi; acestea includ funcții suplimentare, cum ar fi generatoare automate de parole puternice și instrumente de completare automată. De asemenea, oferă administratorilor IT vizibilitate completă asupra obiceiurilor de parole ale utilizatorilor și impun politicile de securitate a parolelor. Asigurați-vă că implementați o platformă de securitate și criptare a parolelor de nivel enterprise care se integrează perfect cu implementarea SSO existentă și oferă suport pentru RBAC, 2FA, auditare și raportare evenimente.

SSO prezintă riscuri de securitate numai dacă organizațiile îl văd ca o soluție de sine stătătoare. Recunoscând lacunele de securitate legate de parole inerente SSO și compensându-le prin implementarea de tehnologii complementare, cum ar fi 2FA, RBAC, PAM/PSM și o platformă de securitate și criptare a parolelor, organizațiile pot spori eficiența, îmbunătăți experiența utilizatorului final, și se protejează împotriva atacurilor cibernetice legate de parole.

Scris de Teresa Rothaar