Dlaczego sama tożsamość nie wystarcza? Bezpieczeństwo urządzeń zmienia nowoczesną kontrolę dostępu - Security Bez Tabu

Dlaczego sama tożsamość nie wystarcza? Bezpieczeństwo urządzeń zmienia nowoczesną kontrolę dostępu

Cybersecurity news

Wprowadzenie do problemu / definicja

Przez lata kontrola dostępu do zasobów firmowych opierała się głównie na potwierdzeniu tożsamości użytkownika. Jeśli logowanie było poprawne, a mechanizm MFA został zaliczony, sesję uznawano za wiarygodną. W nowoczesnych środowiskach IT takie podejście przestaje jednak wystarczać, ponieważ samo uwierzytelnienie nie daje pewności, że dostęp odbywa się z bezpiecznego i zgodnego z polityką urządzenia.

Rosnąca popularność pracy hybrydowej, aplikacji SaaS, prywatnych urządzeń i integracji API sprawia, że decyzja o dostępie musi uwzględniać nie tylko użytkownika, ale też kontekst techniczny jego połączenia. Coraz większą rolę odgrywa więc ocena stanu bezpieczeństwa urządzenia końcowego.

W skrócie

Najważniejszy problem polega na tym, że poprawne logowanie nie jest równoznaczne z bezpieczną sesją. Atakujący coraz częściej nie próbują jedynie kraść haseł, ale przechwytują sesje po zakończeniu procesu MFA, wykorzystując phishing pośredniczący i kradzież tokenów sesyjnych.

W praktyce oznacza to, że system może widzieć legalnie uwierzytelnioną tożsamość, mimo że sesja została odtworzona lub przejęta w środowisku przeciwnika. Dlatego nowoczesne bezpieczeństwo dostępu powinno łączyć silną weryfikację tożsamości z ciągłą oceną zaufania do urządzenia.

Kontekst / historia

Klasyczne modele IAM i podejścia Zero Trust przez długi czas koncentrowały się przede wszystkim na wzmacnianiu logowania. Organizacje inwestowały w MFA, logowanie bezhasłowe, polityki dostępu warunkowego i analizę ryzyka przy próbie uwierzytelnienia. Był to logiczny kierunek rozwoju w odpowiedzi na dominujące wcześniej ataki oparte na kradzieży poświadczeń.

Z czasem krajobraz zagrożeń zaczął się jednak zmieniać. Narzędzia phishingowe stały się bardziej dojrzałe, łatwiej dostępne i skuteczniejsze, a celem atakujących coraz częściej nie jest już samo hasło, lecz aktywna sesja użytkownika. W efekcie ciężar ochrony przesuwa się z samej tożsamości na pełny kontekst dostępu, w tym stan urządzenia, z którego realizowane jest połączenie.

Dodatkowym wyzwaniem pozostaje wzrost liczby urządzeń prywatnych, niezarządzanych lub tylko częściowo objętych kontrolą działów IT. Jednorazowa ocena bezpieczeństwa na początku sesji nie odpowiada już realiom środowisk, w których stan endpointu może zmienić się w dowolnym momencie.

Analiza techniczna

Techniczna słabość wielu modeli dostępu ujawnia się po poprawnym uwierzytelnieniu. W typowym scenariuszu użytkownik przechodzi proces logowania, spełnia wymagania MFA i otrzymuje token sesyjny pozwalający korzystać z aplikacji oraz danych przez określony czas. Jeśli taki token zostanie przechwycony, może zostać wykorzystany przez napastnika bez konieczności ponownego logowania.

Z perspektywy systemu bezpieczeństwa taki token może nadal wyglądać poprawnie. Oznacza to, że tradycyjne logi i kontrole tożsamości nie zawsze są w stanie rozróżnić legalną aktywność od sesji odtworzonej przez atakującego. To właśnie dlatego coraz większego znaczenia nabiera pojęcie device posture, czyli bieżąca ocena bezpieczeństwa urządzenia.

W praktyce ocena ta może obejmować między innymi:

  • stan szyfrowania dysku,
  • aktywność i poprawność działania ochrony endpoint,
  • poziom aktualizacji systemu operacyjnego,
  • zgodność konfiguracji z politykami organizacji,
  • identyfikację zatwierdzonego sprzętu,
  • wykrywanie odchyleń od oczekiwanej konfiguracji.

Kluczowe znaczenie ma jednak nie sama jednorazowa kontrola, lecz jej ciągłość. Urządzenie, które było zgodne z polityką podczas logowania, może po pewnym czasie utracić ochronę, pozostać bez aktualizacji albo zostać zmodyfikowane. Jeśli organizacja nie monitoruje tych zmian w czasie rzeczywistym, utrzymuje zaufanie do sesji na podstawie warunków, które mogły już przestać obowiązywać.

Połączenie informacji o tożsamości z aktualnym stanem urządzenia umożliwia podejmowanie bardziej precyzyjnych decyzji. System może nie tylko stwierdzić, kim jest użytkownik, ale również czy korzysta on z zatwierdzonego, odpowiednio zabezpieczonego i nadal zgodnego z polityką endpointu.

Konsekwencje / ryzyko

Nadmierne poleganie wyłącznie na tożsamości prowadzi do istotnych ryzyk operacyjnych i bezpieczeństwa. Przede wszystkim ogranicza skuteczność MFA w scenariuszach, w których przejęta zostaje już uwierzytelniona sesja. Dodatkowo zwiększa prawdopodobieństwo dopuszczenia do zasobów urządzeń prywatnych, niezarządzanych lub skompromitowanych.

W praktyce taka luka otwiera drogę do szeregu zagrożeń:

  • ataków replay z użyciem tokenów sesyjnych,
  • phishingu pośredniczącego,
  • dostępu z urządzeń niezgodnych z polityką,
  • lateral movement po przejęciu sesji użytkownika uprzywilejowanego,
  • obchodzenia polityk dostępu przez słabiej kontrolowane kanały i protokoły.

Ryzyko dotyczy również zgodności i audytu. Organizacja, która nie potrafi wykazać, że dostęp do danych odbywał się wyłącznie z urządzeń spełniających wymagania bezpieczeństwa, może mieć trudności z kontrolą danych regulowanych, analizą incydentów i obroną swoich procesów przed audytorami.

Rekomendacje

Nowoczesne podejście do kontroli dostępu powinno opierać się na ciągłym zaufaniu kontekstowym, a nie tylko na jednorazowym uwierzytelnieniu. Oznacza to konieczność stałej weryfikacji zarówno użytkownika, jak i urządzenia przez cały czas trwania sesji.

W praktyce warto wdrożyć kilka kluczowych działań:

  • powiązać decyzje o dostępie z aktualnym stanem urządzenia,
  • wymagać użycia zatwierdzonego i zarządzanego sprzętu przy dostępie do wrażliwych zasobów,
  • stosować proporcjonalne polityki egzekwowania, takie jak ograniczenie uprawnień zamiast natychmiastowej blokady,
  • uruchomić samoobsługowe mechanizmy remediacji dla użytkowników,
  • objąć kontrolami również starsze protokoły, narzędzia zdalnego dostępu i integracje API.

Równie ważne jest podejście adaptacyjne. Nie każda niezgodność urządzenia musi automatycznie oznaczać całkowite odcięcie użytkownika. W wielu przypadkach lepiej sprawdza się czasowe ograniczenie dostępu, wymuszenie dodatkowej weryfikacji lub krótki okres na przywrócenie zgodności.

Podsumowanie

Dzisiejsze cyberzagrożenia jasno pokazują, że sama tożsamość użytkownika nie może być już jedynym fundamentem decyzji o dostępie. Poprawne logowanie i MFA pozostają kluczowe, ale nie rozwiązują problemu przejętych sesji, skompromitowanych endpointów oraz dostępu z urządzeń niespełniających wymagań bezpieczeństwa.

Skuteczny model ochrony powinien łączyć silne uwierzytelnianie z ciągłą oceną stanu urządzenia oraz dynamicznym egzekwowaniem polityk. To właśnie połączenie zaufanej tożsamości z zaufanym urządzeniem staje się jednym z najważniejszych filarów odporności organizacji na współczesne ataki.

Źródła

  • https://www.bleepingcomputer.com/news/security/identity-alone-isnt-enough-why-device-security-has-to-share-the-load/
  • https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf
  • https://www.verizon.com/business/resources/reports/dbir/