アイデンティティは長い間、サイバーセキュリティの構造的に重要な壁であってきました。その論理は単純でした:従業員を検証し、アクセスを保護する。しかし、高度な脅威アクターがAIと高度なフィッシングキットを武器化するにつれ、その壁は亀裂が生じています。アイデンティティは、本来設計されていなかった構造的負担を背負わされています。
アイデンティティは廃止されていませんが、SaaS乱立、BYOD、ハイブリッドワークが特徴のエコシステムでは、有効な認証情報はもはや安全な接続の保証ではありません。本当の危険は認証の失敗ではなく、正しいシグナルが検証されているかどうかです。リアルタイムデバイスチェックがなければ、正当なログインは同じように侵害されたセッションである可能性があります。
認証後のブラインドスポット
多要素認証(MFA)はこのギャップを埋めるはずでした。しかし、フィッシングキットは現在、攻撃者がユーザーと実際のログインポータルの間に介入し、認証をリアルタイムでプロキシし、MFAが成功した後に発行されるセッショントークンを盗むことを可能にしています。被害者はすべてのセキュリティチェックを完全に実施します。攻撃者はそれを証明するクッキーを持ち去ります。
NIST Special Publication 800-207(ゼロトラストアーキテクチャの基礎フレームワーク)は、この問題を予測していました。サブジェクトが基本認証レベルを満たした後の暗黙の信頼性に依存することに対して警告し、アクセス決定は要求に使用されたデバイスが適切なセキュリティ姿勢を持っているかどうかを考慮すべきであることを指定しています。
実際には、ほとんどの組織は依然として認証を一度限りのチェックとして扱っています。アイデンティティが検証され、MFAが合格し、セッションが始まり、トークンが期限切れになるまで信頼が保たれます。しかし、攻撃者のブラウザ内のセッショントークンはユーザーのブラウザ内の同じトークンと同じに見えます。従来の認証ログはそれらを区別することができません。
ゼロトラストが機能しない場所
ほとんどのゼロトラスト実装は最終的に大きくアイデンティティ中心になってしまいました。認証の強化、MFAの実行、パスワード依存の削減、リスクベースのサインインポリシーの導入に焦点を当てています。デバイス検証は一方、一貫性なく適用されています。ログインの時点で停止することが多いか、最新の条件付きアクセスフレームワーク内のブラウザベースのワークフローにのみ適用されます。レガシープロトコル、リモートアクセスツール、およびAPI統合は、アイデンティティが確立されたら暗黙的に信頼を継承する傾向があります。
結果は断片化されたモデルです。個人および第三者のデバイスは緩く制御されるか、完全に管理されていない場合があります。セッション信頼は、セッション中にデバイス姿勢が低下しても継続します。アイデンティティシグナルとエンドポイントシグナルは統合が限定された別のツールに位置しています。アイデンティティはログイン時に厳しく精査され、その後アクセスが有意な方法で再評価されることはまれです。
デバイスは答えのもう半分です
攻撃者が制御するラップトップから使用された盗まれたパスワードは、登録済み、暗号化、準拠した企業エンドポイントから使用された同じパスワードと同じ方法で扱われるべきではありません。しかし、アイデンティティだけがアクセスを支配するときは、まさにそれが起こります。
デバイス姿勢はアイデンティティが答えることができない質問に答えます。デバイスは暗号化されていますか?エンドポイント保護はアクティブで健全ですか?オペレーティングシステムはパッチが適用されていますか?構成はポリシーから逸脱しましたか?これは承認されたハードウェアですか?
さらに重要なことに、これらの回答は初期ログインを超えてセッション全体にわたって現在の状態を保つ必要があります。更新は遅延する可能性があり、エンドポイント保護は無効にされる可能性があり、許可されていないソフトウェアをインストールできます。ログイン時の条件はセッションの3時間後の条件ではありません。継続的なデバイス検証により、アクセスがアイデンティティだけでなく信頼でき、健全なエンドポイントに結合されるため、盗まれた認証情報および傍受されたトークンの価値が削減されます。
より強力なモデルのための4つの原則
より防御的なアプローチは、アイデンティティと継続的なデバイス検証を組み合わせています。実際には、それは次のようになります:
- ユーザーとデバイスの両方を継続的に検証する:アクセスはアイデンティティ証明だけでなくデバイスの健康状態に条件付けられるべきです。エンドポイント保護がオフになるか暗号化がセッション中に無効になった場合、信頼はリアルタイムで調整されるべきです。これにより、盗まれた認証情報、トークンリプレイ、MFA疲労、および攻撃者が操作するエンドポイントの有効性が1つの動きで削減されます。
- アクセスを承認されたハードウェアに結合する:デバイスベースの制御により、組織は信頼できるハードウェアを登録し、企業、個人、および第三者のエンドポイント間を区別することができます。認識されていないデバイスから使用された有効な認証情報は、MFAが成功しただけで単に進行されるべきではありません。
- 均衡のとれた実行を適用する:厳格な制御は回避策を生み出します。成熟した姿勢戦略は、硬いブロックにデフォルト設定するのではなく、条件付きの制限、特権の削減、または時間制限の猶予期間を適用できます。そのバランスはハイブリッドチームとリモートチームにとって重要です。
- セルフサービス修復を有効にする:信頼がデバイスの健全性に結合されている場合、ユーザーはその信頼を復元する方法が必要です。暗号化、OS更新、またはエンドポイント保護の修復ガイドにより、従業員はチケットを提出したり、不要にアクセスを失ったりすることなく姿勢の問題を解決できます。
Specops Device Trustのようなソリューションは、信頼決定をアイデンティティを超えて拡張し、条件が変わるときに実行を維持することでこのモデルを実装します。Windows、macOS、Linux、モバイルプラットフォーム全体でユーザーを認証し、ログインの時点だけでなく、デバイスを継続的に検証します。
アイデンティティは依然として重要です。それはもはやアクセス決定の全体の重みを単独で支える必要があります。
アイデンティティセキュリティ戦略を進化させてデバイス信頼を含めることを探している場合は、今すぐSpecopsに連絡するか、デモを予約して、当社のソリューションがどのように環境で機能するかを確認してください。
