Als we denken aan identiteit en toegang, is authenticatie meestal het eerste dat bij veel IT-beheerders opkomt. Als we iets verder graven, komen we bij provisioning van gebruikersaccounts. Dit brengt ons bij de onbetwiste nummer 1: wachtwoorden.
Het is een eenvoudige workflow die al tijden de hoeksteen is van de beveiliging van toegang tot resources tegen ongeautoriseerde gebruikers. Een combinatie van acht tot twaalf tekens en cijfers — misschien een paar meer als je organisatie een moeilijker te kraken wachtwoord vereist— is het enige wat tussen een kwaadaardige actor en kritieke organisatiegegevens of gevoelige persoonsgegevens en de privacy van gebruikers staat.
Maar... is dat genoeg? Wacht nog even met antwoorden, laat eerst de volgende statistiek tot je doordringen en lees dan verder waarom IAM er nu precies toe zou doen als je identiteits- en toegangsworkflows binnen je organisatie inricht.
"Bij een derde (29%) van de organisaties is in 2021 minstens één gebruiker in een phishingaanval getrapt." - Jamf Threat Labs
Waarom IAM ertoe doet
Voor een effectieve bescherming van je resources tegen het moderne bedreigingslandschap heb je meer nodig dan alleen een sterk wachtwoord. Een sterk wachtwoord is ongetwijfeld nog steeds belangrijk, maar zoals blijkt uit bovenstaande statistiek, zal in bijna een derde van de organisaties ten minste één geautoriseerde gebruiker het slachtoffer worden van een phishingaanval. Dit betekent dat hoe sterk een wachtwoord ook is of wat voor wachtwoordbeleid ook is geïmplementeerd om zwakke wachtwoorden uit te bannen: als de gebruiker gewoon zijn aanmeldgegevens uit handen geeft, kunnen wachtwoorden op geen enkele manier ongeautoriseerde toegang voorkomen.
Als je hier iets aan wil doen, net als aan de andere beveiligingsproblemen die gevolgen hebben voor toegangsbeheer en gebruikersauthenticatie, moet je ervoor zorgen dat oplossingen voor identiteits- en toegangsbeheer samenwerken met beveiliging. Het is immers logisch dat beheer- en beveiligingsworkflows — die er allebei op gericht zijn om de resources van de organisatie veilig te houden — gebruikmaken van dezelfde infrastructuur, toch?
Jamf Connect is een perfect voorbeeld dat laat zien hoe deze onderlinge verbondenheid tussen IAM en beveiliging zorgt voor consistente workflows, afgestemd op al het andere waarmee een gebruiker in contact komt, op welk apparaat dan ook, en zo niet alleen veilige authenticatie garandeert, maar ook continu veilig toegang biedt tot resources.
Moderne authenticatie
Identiteit is stevig verankerd in de beveiliging van alles, van apparaten en gebruikersaccounts tot resources van de organisatie. Het is al iets waar organisaties in investeren en op vertrouwen om de werknemerservaring te verbeteren. Wanneer IT dit koppelt met cloudidentiteitsproviders, zoals Google, Microsoft en Okta, naast vele anderen, kan dat automatische implementatie mogelijk maken. Ook kan IT dan de accountprovisioning stroomlijnen op basis van kenmerken en beheer van de cloudidentiteit van gebruikers die zich uitstrekken tot ver voorbij de fysieke muren van het kantoor.
Dit zorgt er niet alleen voor dat een gebruiksvriendelijke IAM-oplossing bedrijfsapps kan authenticeren op alle apparaten, ook mobiele apparaten, maar zich ook uitstrekt tot alle resources van de organisatie, lokaal en in de cloud, waarbij de toegang veilig wordt beheerd, ongeacht apparaattype, eigendomsniveau of werklocatie van de gebruiker
Beleid afdwingen
Toegangsbeleid dat is ingebouwd in IAM-oplossingen helpt de beveiliging op een aantal manieren te versterken. Een van die manieren is dat IT- en beveiligingsteams beleidsgebaseerde risicobeoordelingen van apparaten opnemen en er zo voor zorgen dat er rekening wordt gehouden met de risicopositie van elk apparaat. We nemen weer het bovenstaande voorbeeld, waarbij het wachtwoord van een gebruiker tijdens een phishingaanval in handen van een kwaadaardige actor kwam. Bij een beleid dat is gekoppeld aan voorwaardelijke toegang, door integratie met Microsoft of Google, zou er een workflow volgen die automatisch de toegangsrechten beperkt van de gebruiker die bij de gecompromitteerde aanmeldgegevens hoort. Dat beperkt de toegang tot de resources van de organisatie effectief wordt beperkt.
Een ander voorbeeld maakt gebruik van Zero Trust Network Access of ZTNA, waar we het later over zullen hebben. Bij ZTNA, een centraal onderdeel van Jamf Private Access, is een geautoriseerde gebruiker nodig om toegang te verlenen tot bedrijfskritische apps. Daarnaast zorgt een beleid voor geautoriseerde apparaten ervoor dat alleen apparaten in je vloot die zijn toegestaan door IT- en beveiligingsteams toegang krijgen.
Modern bedreigingslandschap
Net zoals het moderne computerlandschap de werkomgeving ingrijpend heeft veranderd door het gebruik van mobiele apparaten en doordat organisaties migreren naar externe/hybride werkomgevingen, is tot ons grote verdriet ook het moderne bedreigingslandschap geëvolueerd. Dit nieuwe landschap daagt kwaadaardige actoren uit om steeds weer nieuwe, slimme manieren te ontwikkelen om je apparaten en gebruikers te blijven aanvallen op hun jacht naar organisatiegegevens.
Effectieve IAM-oplossingen vereisen adaptieve en flexibele beveiligingscontroles die zich uitstrekken tot ver voorbij de netwerkperimeter van het kantoor. Eén zo'n oplossing evalueert doorlopend de risicopositie van een apparaat, zoals we eerder al zeiden, maar blijft dit doen gedurende de hele sessie. Ervoor zorgen dat een apparaat niet aangetast wordt voordat toegang wordt verleend is één ding, maar wat gebeurt er als het apparaat tijdens de sessie wordt aangetast? Dat zal dan leiden tot hetzelfde eindresultaat: ongeautoriseerde toegang.
Om dit risico te verkleinen, maakt doorlopende risicobeoordeling via ZTNA of voorwaardelijke toegang gebruik van contextbewuste beleidsregels die toegang tot gevoelige gegevens, apps en resources verlenen of weigeren. Daarnaast zal deze oplossing, doordat die in de cloud werkt, effectieve, schaalbare netwerkbescherming bieden en voldoen aan de eisen voor hun unieke behoeften. En dat alles zonder beveiligingsapparatuur, complexe softwareconfiguraties of dure ondersteuningscontracten.
Meer dan alleen gebruikers met resources verbinden
We blijven het woord 'modern' benadrukken omdat het belangrijk is om onderscheid te maken tussen alleen het bieden van een authenticatiemechanisme en de talloze beschermingsopties die een echte oplossing voor identiteits- en toegangsbeheer naast authenticaties biedt.
Zie IAM als een puzzelstukje. Hoewel het een op zichzelf staande oplossing is die zelfstandig kan werken, is het veel krachtiger als het wordt gekoppeld met andere oplossingen binnen een grotere defense-in-depth strategie. Zoals het puzzelstukje dat zelf al een plaatje is, maar het complete beeld pas zichtbaar wordt als alle stukjes op de juiste plaats liggen.
Sommige van de beveiligingsvoordelen zitten in de oplossing zelf, terwijl andere mogelijk worden door integratie met eigen oplossingen en oplossingen van derden, zoals:
Eén wachtwoord voor alles
We hebben het al eerder gehad over het harmoniseren van identiteitsbeheer op alle bedrijfsapps en resources van de organisatie. Het standaardiseren van beveiliging in je hele infrastructuur, met name de verschillende beheerde en onbeheerde apparaten die er toegang toe hebben, dankzij Single Sign-On (SSO). Niet alleen stroomlijnt dit het toegangsbeheer voor IT, de vereenvoudigde workflow zorgt er ook voor dat gebruikers maar één wachtwoord hoeven te onthouden — en niet meer hoeven te worstelen met de verschillende combinaties aanmeldgegevens die al dan niet in strijd zijn met het bedrijfsbeleid.
Bovendien maakt SSO het beheer van meerdere services, elk met hun eigen set aanmeldgegevens, makkelijker doordat wachtwoorden op de achtergrond worden gesynchroniseerd tussen bedrijfsresources en je Mac-eindpunten. Dit levert een IdP op die werkt voor alle belanghebbenden.
Twee zijn sterker dan één
Wachtwoorden zijn een allegaartje als het op beveiliging aankomt. Hoewel ze een geaccepteerd onderdeel zijn van de beveiliging van toegang tot resources, zitten er toch wat haken en ogen aan — zowel voor de beheerder als voor de gebruiker. En als we dat combineren met wat we eerder hebben gezegd over wachtwoordbeveiliging en het feit dat een phishingaanval, hoe goed we ook ons best doen, vrij makkelijk praktisch alle controles kan omzeilen, dan wensen we toch iets beters en effectievers voor de bescherming van onze resources.
Dat biedt multi-factor authentication (MFA), doordat het gebruikers dwingt te bevestigen dat ze zijn wie ze beweren te zijn met een combinatie van elementen:
- Iets wat je weet
- Iets wat je hebt
- Iets wat je bent
Wanneer je deze functionaliteit inschakelt binnen Jamf Connect en je IdP, weet je zeker dat het de juiste gebruiker op het juiste apparaat is die toegang vraagt tot resources van de organisatie. Daarmee minimaliseer je het risico dat gevoelige gegevens in de verkeerde handen vallen.
Vertrouw nooit zomaar iets, controleer altijd!
We hebben ZTNA al eerder genoemd en nu noemen we een paar beveiligingsvoordelen die een uitbreiding van IAM met ZTNA voor organisaties kan betekenen.
Ten eerste, microtunnels. Het concept van gegevenstunnels is niet nieuw in de beveiligingswereld. VPN's werken tenslotte al tientallen jaren zo. Maar vergeet niet dat we het hier hebben over moderne oplossingen, niet over legacy oplossingen: legacy VPN's hebben beslist een aantal beveiligingsproblemen die alleen ZTNA kan en zal oplossen tegen de achtergrond van het moderne bedreigingslandschap.
Microtunnels zijn zo'n moderne oplossing, waarbij elke beschermde resource een eigen unieke microtunnel moet hebben wanneer een gebruiker toegang aanvraagt. In plaats van toegang te verlenen tot het hele netwerk zoals een legacy VPN doet, gebruikt ZTNA afzonderlijke microtunnels om de toegang tot elke resource te beveiligen. Op die manier worden verkeersstromen van elkaar gescheiden om laterale netwerkaanvallen te voorkomen. En, als een app wordt aangetast, hoeft alleen de toegang tot de getroffen app te worden geweigerd, zodat gebruikers kunnen blijven doorwerken met de niet getroffen apps/resources terwijl IT het probleem oplost.
Daarnaast pakt ZTNA problemen met het gebruik van netwerkbandbreedte aan, omdat het elke microtunnel op het apparaat en in het netwerk bestuurt zonder dat daarvoor verkeer via VPN-hardware hoeft te worden omgeleid. Een bijkomend voordeel voor de efficiëntie is het gebruik van split-tunneling technologie: deze identificeert automatisch zakelijk verkeer en beveiligt dit via een microtunnel, terwijl niet-zakelijk verkeer rechtstreeks naar het internet wordt geleid: daarbij is zowel de privacy van de gebruiker als de beveiliging van de gegevens van de organisatie gewaarborgd, en komen geen van beide in gevaar.
Het beste van alle werelden
Het uitbreiden van functies met die van eigen oplossingen en oplossingen van derden is een krachtige mogelijkheid in een moderne IAM-oplossing. Een mogelijkheid die je niet mag negeren als je bedenkt dat beveiliging zich, net als technologie, razendsnel ontwikkelt. Misschien had je organisatie voorheen alleen een lokale IdP en MDM-oplossing nodig voor het volledige beheer van je Apple-vloot. Maar vandaag de dag heeft de organisatie te maken met werknemers die op afstand werken en daarom zijn er nu IdP-, MFA- en MDM-oplossingen in de cloud nodig, alleen al voor het apparaat- en identiteitsbeheer van je infrastructuur.
We kijken nu snel vooruit en dan zien we dat we straks misschien ook verdediging tegen mobiele bedreigingen nodig hebben, en meer mogelijkheden voor toegangsbeheer, zoals ZTNA. Een flexibele IAM-oplossing maakt een wereld van verschil als het gaat om de huidige en toekomstige behoeften van je organisatie.
Denk nog eens na over wachtwoorden. Stel nu dat we je zouden vertellen dat er een manier is om een MFA-oplossing te implementeren die een extra beveiligingslaag biedt voor toegangsverzoeken en wachtwoorden helemaal overbodig maakt? Is Mac-verificatie zonder wachtwoord wel mogelijk of veilig?
Ja, een volmondig ja! (We durven zelfs te zeggen... nog veiliger.)
Maak kennis met Jamf Unlock, de wachtwoordloze workflow die de integratie van Jamf Connect en Jamf Pro met een iOS-apparaat met versie 14.0 of hoger mogelijk maakt. Omdat wachtwoorden zelf beveiligingslekken kunnen creëren, zoals een lek als gevolg van een datalek, doordat een wachtwoord bij een phishingaanval is buitgemaakt of omdat ze gewoon te zwak of gemakkelijk te raden zijn, kan een wachtwoordloze authenticatieworkflow deze beveiligingsproblemen volledig omzeilen. En dat alles terwijl je personeel veilig is, je gegevens beschermd zijn en de eindgebruiker een naadloze ervaring krijgt.
Belangrijkste leerpunten:
- Identiteits- en toegangsbeheer is een essentiële stap om te voldoen aan de behoeften van de moderne werkplek waar iedereen overal wil en kan werken
- Een integraal onderdeel van een effectieve defense-in-depth strategie van gelaagde beveiligingsoplossingen die samenwerken om bedreigingen te beperken
- Maak automatische implementaties mogelijk en stroomlijn accountprovisioningworkflows met behulp van cloud-IdP
- Beleidsmatig IAM stemt accountbeheer af op het beleid van de organisatie, standaardiseert dit en breidt dit uit naar alle apparaten in de infrastructuur
- Creëer eenvoudigere authenticatieworkflows die gebruikmaken van SSO en MFA om de gebruikerservaring te verbeteren en te beveiligen
- Breid de mogelijkheden uit door integratie met eigen oplossingen en oplossingen van derden om te voldoen aan je huidige behoeften, en leg tegelijkertijd de basis om te voldoen aan toekomstige behoeften
- Omzeil wachtwoordgerelateerde beveiligingsproblemen volledig door naadloos een wachtwoordloze authenticatieworkflow te implementeren met Jamf Unlock
***
Deze blogpost maakt deel uit van een serie over een holistische benadering van beveiliging. Bekijk een overzicht van alle berichten of selecteer een bericht hieronder:
Vertrouw je nog steeds op sterke en complexe maar gemakkelijk te vergeten of te verliezen wachtwoorden om de resources van je organisatie te beveiligen?
Dat is nu wel achterhaald. Betreed de wachtwoordloze toekomst met een moderne oplossing voor identiteits- en toegangsbeheer.
Schrijf je in voor de Jamf blog
Ontvang markttrends, Apple-updates en Jamf-nieuws rechtstreeks in je inbox.
Raadpleeg ons Privacybeleid voor meer informatie over de manier waarop we uw gegevens verzamelen, gebruiken, bekendmaken, verplaatsen en bewaren.