Niemal przy każdej okazji, gdy wymienia się funkcjonalności systemów IGA, podkreślana jest waga okresowych przeglądów uprawnień. Zresztą bardzo słusznie, ponieważ organizacje podlegające regulacjom zewnętrznym takim jak ISO27001, HIPPA czy też Rekomendacja D, są zobligowane zapisami tychże regulacji do wykonywania takich przeglądów. Jest to zresztą punkt, który obowiązkowo powinien znaleźć się w każdej polityce bezpieczeństwa, nawet organizacji niepodlegających takim regulacjom. Tak więc wiemy, że jest to konieczne, ale z drugiej strony praktyka pokazuje, iż wciąż istnieje poważny problem ze spełnieniem tego wymagania. Treść naszego dzisiejszego opracowania nawiązuje w pewnym zakresie do zagadnień opisanych w jednym z wcześniejszych artykułów (Co to jest RBAC? Porównanie RBAC z ABAC), gdyż kwestie dziś poruszane dosyć często odnoszą się do modelu RBAC i zadań związanych z zapewnieniem zgodności uprawnień z regulacjami.
Atestacja, recertyfikacja czy może certyfikacja?
Z punktu widzenia zgodności z regulacjami wewnętrznymi lub zewnętrznymi, terminy te powiązane są mocno ze sobą i w pierwszej kolejności wiążą się z procesem weryfikacji dostępu do informacji, danych czy zasobów dla autoryzowanych tożsamości. W procesie tym potwierdzenie dostępu oznacza zachowanie uprawnień do korzystania z danych zasobów, odmowa potwierdzenia oznacza odebranie dostępu do informacji, danych czy zasobów dla tożsamości, które utraciły prawo korzystania z nich. Tego rodzaju procesy pełnią kluczową rolę w systemach klasy IGA i oprócz weryfikowania dostępu dla tożsamości są wykorzystywane do weryfikowania stanu danego obiektu, takiego jak na przykład nowa rola biznesowa, czy zmiany uprawnień przypisanych do istniejącej roli biznesowej. Ogólnie proces przeglądu związany jest z określonym obiektem i za realizację, czyli potwierdzenie stanu obiektu odpowiada tożsamość pełniąca określoną rolę w organizacji. Natomiast w praktyce, czyli w konkretnych rozwiązaniach IGA używane są różne słowniki – na przykład certyfikacje i przeglądy dostępów lub obiektów, albo atestacje i certyfikacje dostępów lub obiektów.
Czy zatem istnieje jakaś różnica pomiędzy atestacją, certyfikacją i recertyfikacją? Odpowiedź na to pytanie nie jest łatwa, ponieważ może być odnoszona do konkretnych rozwiązań. Ale można by przyjąć, że atestacja to weryfikacja i potwierdzenie, że uprawnienia posiadane przez daną tożsamość są właściwymi w danym czasie i tożsamość jest uprawniona do ich posiadania. Możemy też stosować ten termin do weryfikacji uprawnień na żądanie lub w odniesieniu do konkretnych zdarzeń, które ją wyzwalają – przykładem może być atestacja uprawnień tożsamości pracownika dla zmiany roli lub jednostki organizacyjnej (zachować stare przydziały czy je odrzucić?). Certyfikacja z kolei jest szerszym pojęciem i może się odnosić do potwierdzenia, że wszystkie kontrole dostępu i uprawnienia użytkowników są zgodne z określonymi standardami lub przepisami. Certyfikacja może być również częścią szerszego procesu audytu lub weryfikacji zgodności. Natomiast recertyfikacja to zwykle okresowy proces, przeprowadzany w zdefiniowanych odstępach czasu (na przykład raz na pół roku) polegający na walidacji przyznanych uprawnień, tak aby mieć potwierdzenie poprawności tychże, przypisanych w kontekście aktualnego stanu ról i obowiązków powiązanych z tożsamością.
Jakie ryzyko i problemy związane są z przeglądem uprawnień?
Automatyzacja i raportowanie. Dla organizacji, które nie posiadają żadnych narzędzi klasy IAM, IDM, IGA procesy przeglądu uprawnień są realizowane manualnie i sprowadzają się do wykonywania półautomatycznych akcji z wykorzystaniem skryptów, arkuszy xls i komunikacji mailowej. Może to być proces nieefektywny, ale znacznie większe znaczenie ma tu fakt, że są to operacje, których wynik nie jest nigdzie odnotowany poza samym systemem, na którym uprawnienia są weryfikowane. Można by powiedzieć: „Ale mamy przecież Excela, więc tam możemy wpisywać wynik takiego przeglądu”. No cóż, nie jest to niestety sprawne podejście przy dużej skali. Jeżeli natomiast przeglądy wykonywane są za pomocą rozwiązań IGA, to w jednym miejscu mamy zebrane wszystkie informacje związane z całym procesem (kto i z jakiego powodu odmówił lub zaakceptował aktualny status), jak i też2, wykorzystując integracje z danym systemem, aplikacją, możemy wykonać automatyczne odebranie uprawnień w przypadku decyzji odmownej.
Co tak naprawdę weryfikujemy? Wydawać się może, że odpowiedź jest w miarę oczywista, weryfikujemy uprawnienia – ale w praktyce nie jest to takie proste. Możemy weryfikować pojedyncze uprawnienia przyznane tożsamości, możemy weryfikować role. Jest to dosyć złożony temat, mocno powiązany ze stopniem dojrzałości organizacji w kontekście zarządzania uprawnieniami. Jeżeli model zarządzania uprawnieniami opiera się na nadawaniu pojedynczych uprawnień, to recertyfikacja uprawnień sprowadza się w tym przypadku do przeglądania długiej listy przypisanych do tożsamości pracownika lub kontraktora uprawnień, kont i przynależności kont do poszczególnych grup w obrębie danej aplikacji czy systemu. Organizacje, które w jakimś stopniu zaimplementowały model zarządzania uprawnieniami z wykorzystaniem ról, mogą okresowo weryfikować przypisania ról do pracowników z wykorzystaniem funkcjonalności systemu IGA. Dotyczy to najczęściej przypadków, w których role te przydzielane są na wniosek. Natomiast dla ról dynamicznych, czyli nadawanych automatycznie zgodnie z regułami, przegląd taki nie jest konieczny, z racji samej automatyzacji przydzielania takiej roli. W tym miejscu podkreślmy, że w obydwu przypadkach istotne znaczenie ma fakt, jakie uprawnienia są przypisane do roli, i tu dochodzimy do miejsca, w którym należy również okresowo wykonywać certyfikację samej roli, lub w przypadku nowych ról potwierdzenie poprawności po jej utworzeniu.
Problem, jaki się w tym miejscu pojawia, polega na tym, że często, nawet w przypadku gdy mamy wdrożone role, zostawiamy możliwość wnioskowania o pojedyncze uprawnienia albo zezwalamy na nadawanie uprawnień poza systemem IGA (np. bezpośrednie dodawanie kont do grup). Powoduje to, iż certyfikacja takich uprawnień nie zawsze jest w pełni jasna dla osoby, która podejmuje decyzje – skąd takie uprawnienie pochodzi, czy dalej jest potrzebne do realizacji obowiązków pracownika?
Jakie rozwiązania stosować w celu uproszczenia i ułatwienia zadań przeglądu uprawnień?
Z punktu widzenia recertyfikacji uprawnień tożsamości najlepszym rozwiązaniem byłoby wykorzystywanie ról – i to ról, które nadawane są dynamicznie. Unikamy wtedy konieczności przeglądów okresowych związanych z uprawnieniami pracownika wynikającymi z funkcji, jaką pełni w organizacji. Możemy się wówczas skupić na przeglądzie tylko tych uprawnień, które są nadane bezpośrednio lub na wniosek. Dla tej grupy powinniśmy koncentrować się w pierwszej kolejności na uprawnieniach i kontach krytycznych, czyli takich, które mają duże znaczenie z punktu widzenia dostępu do ważnych zasobów organizacji. Pomóc w tym mogą takie funkcjonalności systemu IGA jak indeksy ryzyka, które pozwalają wyróżnić spośród wielu zadań przeglądu uprawnień te, nad którymi powinniśmy się skupić najbardziej i podjąć prawidłową decyzję.
Możemy też dla uprawnień nadawanych poza systemem IGA generować przeglądy uprawnień wyzwalane przez zdarzenie wykrycia takiego przydziału – jesteśmy wówczas w stanie zareagować natychmiast po wykryciu takiego faktu. To ostatnie podejście zwane jest również mikrocertyfikacją i może znacząco zwiększyć poziom wykrywania wewnętrznych zagrożeń związanych z przydziałem nadmiarowych uprawnień poza systemem IGA.
Warto również wspomnieć o zasadzie nadawania uprawnień na określony czas, z określonym z góry maksymalnym czasem życia. Wówczas po upłynięciu ważności wniosku system IGA automatycznie może odebrać takie uprawnienia, a tym samym zmniejszyć liczbę przypadków przeglądu uprawnień.
Ostatnio coraz częściej możemy również spotkać próby wykorzystania uczenia maszynowego (przedstawianego jako sztuczna inteligencja – AI) w kontekście redukcji liczby zadań związanych z przeglądem uprawnień. Wydaje się jednak, że o ile może to mieć wpływ na zmniejszenie obciążenia związanego z obsługą kampanii certyfikacyjnych, o tyle dużą uwagę powinniśmy jednak przykładać do świadomej decyzji, czy zaakceptować dane uprawnienia, czy je odrzucić, a bez pełnego kontekstu trudno jest podjąć prawidłową decyzję. Wynik uczenia maszynowego może podać rekomendacje, ale decyzja powinna być podjęta przez człowieka. Tym bardziej, że uczenie maszynowe wykorzystuje jako materiał do nauki sumę naszych akcji w systemie, więc jeżeli każda nasza decyzja jest pozytywna, to wynik uczenia maszynowego będzie fałszywy, a rekomendacje czy decyzje – błędne. Naszym zdaniem o wiele lepszy efekt z punktu widzenia bezpieczeństwa osiągniemy poprzez dokładniejsze modelowanie ról i zbudowanie ich katalogu, który będzie pozwalał w jak największym obszarze pokryć kwestie zarządzania uprawnieniami. Jeżeli jesteście zainteresowani możliwościami oferowanymi przez różne rozwiązania ze świata IGA, które mogą Wam pomóc w rozwiązaniu problemów związanych z audytem uprawnień, zapraszamy do kontaktu z firmą ProLimes.