A Dimensional Research a minap közzétett egy informatikai és identitással foglalkozó szakemberek körében végzett felmérést. Eszerint szinte minden szervezet (98%) tapasztalja a kezelendő identitások számának gyors növekedését, amelyet a felhőhasználat bővülése, a több harmadik félen keresztül érkező partner és a gépi identitások növekedése hajt. Továbbá a vállalkozások emiatt a jogsértések számának növekedését is tapasztalják: a cégek 84 százaléka szenvedett el identitással kapcsolatos jogsértést az elmúlt 12 hónapban, míg a két évet felölelő korábbi tanulmányban ez az arány 79 százalék volt.
Julie Smith, a felmérést megrendelő Identity Defined Security Alliance (IDSA) ügyvezető igazgatója szerint nem meglepő a jogsértések növekvő száma. "A szervezeteknek egyre több és összetettebb identitást kell kezelniük és biztosítaniuk. Amikor az identitások száma növekszik, ennek megfelelően megnő az identitással kapcsolatos jogsértések kockázata is, mivel ezeket nem megfelelően kezelik és biztosítják, és mivel a támadási felületek is exponenciálisan nőnek, ezek a jogsértések több fronton is bekövetkezhetnek" - mutatott rá az okokra.
Az IDSA azt ajánlja, hogy a vállalatok összpontosítsanak a személyazonossággal kapcsolatos biztonsági eredményekre, amelyek csökkentik az adatbiztonság megsértésének kockázatát és hatásait. Majdnem minden válaszadó (96%) úgy véli, hogy a személyazonosságokra összpontosító biztonsági ellenőrzések - például a többfaktoros hitelesítés (MFA) - bevezetése megelőzhette vagy minimalizálhatta volna a jogsértést.
"A hatékony személyazonosság-menedzsment, a hozzáférés és a viselkedéses észlelés lehetővé tételére összpontosítva a biztonsági eredmények egy védelmi réteget adnak az IT-környezetek köré. Itt a többfaktoros hitelesítés, mint enyhítési stratégia a listán az első helyre ugrott a betörések megelőzésében" - áll a jelentésben.
A felmérés szerint a válaszadók által azonosított három legfontosabb ellenintézkedés, amely potenciálisan tompíthatja a jogsértések hatását, az MFA, a kiváltságos hozzáférések időbeni felülvizsgálata, valamint a kiváltságos hozzáférési jogok folyamatos feltárása és nyomon követése volt. Az IDSA és Smith szerint ez a három biztonsági ellenőrzés fogja a legtöbb befektetést kapni a következő évben.
A jelentés szerint a szervezetek 43 százalékánál a gépi azonosítók - például a rendszerbejelentkezési adatok, a szoftvertitkok és a tárgyak internetének (IoT) jelszavai - a fő tényezők, amelyek a megnövekedett azonosítókhoz vezetnek. Ennek ellenére a vállalatoknak csak a 18 százaléka tartja a gépi identitásokat a betörések jelentős forrásának.
"Mind az emberi, mind a gépi azonosítások sebezhetőek a megfelelő kárenyhítési és biztonsági taktikák nélkül. Tekintettel arra, hogy a gépi identitások sokkal gyorsabban terjedhetnek, mint az emberiek, ha egy gépi identitás nincs megfelelően biztosítva, a gépi identitások hálózatának kezelése gyorsan komoly kockázatot jelenthet" - állítja Smith.
Eközben a felhőalapú munkaterhelések növekvő száma azt jelenti, hogy azok a hitelesítő adatok, amelyek lehetővé teszik a szoftverek számára, hogy beszéljenek, használják az API-kat és kommunikáljanak más szoftverekkel, egyre nagyobb támadási felületet jelentenek - mondta márciusban Alex Simons, a Microsoft Identity részlegének programmenedzsmentért felelős vállalati alelnöke.
Az IDSA jelentése szerint azok a vállalatok, amelyeknek vezetői az identitásbiztonságra összpontosítanak, nagyobb valószínűséggel csökkentik a jogsértések kockázatát. Míg a válaszadóknak csak 30 százaléka tartja nagyon hatékony stratégiának a jelszavak biztonságával kapcsolatos képzést. Azok a vállalatok, amelyeknél a felső szintű vezetők támogatják a jelszavak biztonságát, sokkal nagyobb valószínűséggel bánnak óvatosabban a munkahelyi hitelesítő adatokkal, mint azok a cégek, amelyek a biztonsági csapatokra támaszkodnak, mint elsődleges evangélistákra.