Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

12.04.2022
von: Marco Rohrer - IPG Group

Die schlaue Seite der Identity und Access Governance

Machine Learning oder künstliche Intelligenz – Begriffe, die zusehends auch im Daily Business zum Tragen kommen. Mehr und mehr Geschäftsprozesse werden damit unterstützt und bekommen so eine neue Dynamik. Aktuelle Studien gehen davon aus, dass künftig bis zu 70% der Unternehmensentscheide dadurch beeinflusst werden. Auch im Identity und Access Management beginnt die "Artificial Intelligence" Einzug zu halten. Als wertvolle Hilfe für Entscheider wird sie in diesem Bereich wohl bald nicht mehr wegzudenken sein.

Die heutigen IAG Lösungen sind unbestechliche Automatisierungshilfen. Sie dienen der «Bereitstellung» von Benutzerkonten sowie Zugriffsberechtigungen und unterstützen die Rezertifizierung. Das IAM als Automatisierungshilfe reduziert nicht nur die Durchlaufzeit beim Onbodarding von Mitarbeitenden, vereinfacht die Verarbeitung von Veränderungen (neuer Job, neue Organisationsstruktur etc.) und dies immer mit Blick auf die Standardisierung von Berechtigungen. Dazu werden Geschäftsrollenmodelle etabliert, Workflows definiert und Rezertifizierungskampagnen angelegt. Doch all dies hat, einmal definiert und umgesetzt, statischen Charakter. Hier setzen die Möglichkeiten von maschinellem Lernen und künstlicher Intelligenz an.

Die "dumme" Berechtigungs-Rezertifizierung
In den vergangenen Jahren haben Unternehmen viel Geld in die Hand genommen, um den Führungskräften in den Fachabteilungen die Berechtigungs-Rezertifizierung zu vereinfachen. Geprüft wird, ob zugewiesene Berechtigungen noch angemessen sind. Die Herausforderungen liegen in der Komplexität der Aufgabe, der Masse an zu prüfenden Einzelberechtigungen und dem Zeitdruck wie unser Experte Miodrag Radovanovic in dem Blog zum Thema Rezertifizierung 2.0 berichtet. Kennen die Führungskräfte die exakten Tätigkeitsgebiete ihrer Mitarbeitenden? Wissen sie, welche Geschäfts-Rollen oder Einzelberechtigungen für diese Tätigkeit benötigt werden? Sind die Rollen oder Berechtigungen überhaupt verständlich beschrieben? Und führt der Entzug einer Berechtigung womöglich zum "Produktivitätsverlust", weil die Berechtigung doch angemessen war?

Es liegt auf der Hand, dass viele Führungskräfte dazu neigen könnten, im Zweifelsfall Berechtigungen zu bestätigen, anstatt die Richtigkeit zu klären. Somit haben Unternehmen in der Vergangenheit womöglich viel Geld für eine vorgegaukelte Sicherheit und Compliance investiert. Um die Qualität und Wirksamkeit von Berechtigungsprüfungen zu erhöhen, müssen den Führungskräften Entscheidungshilfen zur Seite gestellt werden. Dies kann mit Machine Learning unterstützt werden.

Wird die künstliche Intelligenz reichlich mit Daten versorgt, die eine unternehmensweite Sicht auf alle Aspekte der Identität darstellen, kann die Intelligenz auch komplexere Zugriffsanträge automatisiert verarbeiten oder zumindest dem Entscheider bei der Genehmigung beziehungsweise Zurückweisung eines solchen Antrags unterstützen. Auch Teile der Rezertifizierung (unkritische Berechtigungen) werden von der Maschine "autonom" ausgeführt. 

Fazit: Erste Ansätze und Funktionalitäten sind mit Identity Analytics oder Identity Intelligence Funktionalitäten in den etablierten IGA-Lösungen schon zu finden. Zudem gibt es einige interessante Produkte, die ergänzend zu den herkömmlichen IAG Lösungen eingesetzt werden können.

Smarte Geschäftsrollen dank Machine Learning
Die Möglichkeiten von künstlicher Intelligenz auch auf der Stufe von Geschäftsrollen sind vielfältig, denn diese sollten periodisch geprüft werden. Dies funktioniert analog einer Berechtigungsüberprüfung, nur dass hier ein Rollenowner die Inhalte prüft. Hier können auf Grund einer breiteren Datenbasis Vorschläge gemacht werden, ob oder mit welchen Zugriffsberechtigungen zusätzlich eine Rolle angereichert werden sollte oder mit anderen "Schnitten" eine grössere Mitarbeiterpopulation abgedeckt werden könnte. Mit Behavioural Analytics könnten auch die «Verwendung» von Rechten mitberücksichtigt werden. Also auch, ob die Rechte, welcher Teil einer Rolle genutzt werden können, künftig in die Modellierung oder aber auch in die Überprüfung der Rollen einfliessen.

Vorschläge für Rollen- und Berechtigungsvergabe
In unserem täglichen Leben haben wir schon oft erlebt, dass wir beim Onlineshopping noch Produkte vorgeschlagen bekommen, die andere Personen mit dem gleichen Einkauf auch noch eingekauft haben. Dies lässt sich auch einfach auf die Berechtigungsvergabe anwenden und ist – kaum verwunderlich – auch bereits ein Defacto-Standard geworden.

Szenario: Ablösung von Geschäftsrollen
Ein etwas radikalerer Gedanke ist es, die heute bekannten Geschäftsrollen komplett zu ersetzen und auf den sogenannten "Decision Support" bei Bereitstellung von Zugriffsrechten zu setzen. So schlägt dann die IAG Lösung, sobald ein neuer Mitarbeiter eingestellt und der Onboardingprozess gestartet wird, ein für diesen Mitarbeitenden optimales Berechtigungsset vor. Dieses ergibt sich aus einer Vielzahl von Faktoren (z.B. Jobtitel, Organisation, Land, Hierarchieebene, etc.). Vereinfacht gesagt, errechnet die Lösung, welche Berechtigungen Mitarbeiter mit der gleichen oder ähnlichen Ausprägung haben und nutzen. Man könnte dies auch mit einem Echtzeit-Rolemining vergleichen. Anstatt mit Geschäftsrollen zu operieren, die «vor langer Zeit einmal» definiert und dann nie mehr aktualisiert wurden, werden die Berechtigungsbündel jedes Mal neu berechnet. Technologisch leicht vorstellbar und durchaus ein logischer Ansatz, jedoch mit einem Nachteil: Es braucht Vertrauen in den maschinell berechneten Vorschlag und Gewöhnungszeit und ist aus Revisionssicht natürlich nicht mehr ganz so einfach zu fassen. Gerade wenn noch Behavioural Analytics dazu kommen, wird sich auch der Datenschützer verstärkt für das Thema interessieren.

Cyberkriminalität als Treiber für Zero Trust / Behavioural Analytics
Mit der zunehmenden Cyberkriminalität wird der Ruf der Unternehmen nach Zero Trust Konzepten und -Architekturen immer lauter. Bis zu 40% aller Vorfälle entstehen durch missbräuchliche Verwendung von Benutzerkonten und Zugriffsrechten, sogenannte Insider Threats.

Hier öffnet sich ein weiteres Feld für die Anwendung von künstlicher Intelligenz bzw. Machine Lerning mit Behavioural Analytics. Ein Unternehmen kann noch so viele Anstrengungen unternehmen, das Least Privilege Prinzip umzusetzen, Berechtigungsrezertifizierungen durchsetzen und auditieren, es wird damit nicht feststellen, ob immer die Person hinter dem Account agiert, welche man vermutet.

Legale Operationen trotz Illegalität?
Beim sogenannten Identitätsdiebstahl verschafft sich der Cyberkriminelle illegal Zugriff auf ein Benutzerkonto. Nutzt der Hacker dann dieses Benutzerkonto und treibt damit seine kriminellen Machenschaften weiter, ist dies aus Sicht des betroffenen Unternehmens eine legale Aktion, denn die Identität ist bekannt und es wird mit dessen Zugriffsberechtigungen operiert.

Neue Lösungen bieten hier interessante Ergänzungen zu den IAG Lösungen. Basierend auf dem Gedanken von Security Information und Event Management (SIEM) erfolgt eine Überwachung von Logs und Aktivitäten auf Businessapplikationen, ausgeführt von Mitarbeitenden, Partnern oder sogar Maschinen.

Konkret wird geprüft, wie sich Anwenderroutinen entwickeln oder eben plötzlich verändern. Wir alle haben unsere Routinen und Arbeitsweisen. Morgens gegen 8 Uhr einloggen am Rechner, Outlook starten, Mails prüfen, usw. Verändern sich diese Verhaltensweisen merklich, ist dies ein guter Indikator für den sogenannten Insider Threat.

Insider-Bedrohungen bauen sich sehr oft über einige Tage und Wochen verteilt auf. Sie können abgefangen werden, indem die "Gewohnheitsänderung" des Benutzers, aufgrund von gestohlene Anmeldeinformationen für Ransomware-Angriffe, sehr früh erkannt wird. Diese können zum Beispiel  ungewöhnlicher Zugriff auf Ordner, ungewöhnliche Zugriffszeiten, wiederholt fehlerhafte Passworteingaben sein. Eine Echtzeit-24x7-Erkennung ist dabei nicht erforderlich.

Am Puls der Zeit
Als Experten sind wir immer am Puls der Zeit und gemeinsam mit unseren Herstellerpartnern arbeiten wir stetig an den optimalen und massgeschneiderten Lösungen für unsere Kunden. Lösungen von Nexis, Sharelock oder Forgerock bieten ergänzend zu den etablierten IAG-Lösungen wertvolle «Artificial Intelligence» für ein noch wirkungsvolleres IAG. Wenn Sie mehr erfahren wollen, besuchen Sie uns gerne bei einen unserer vor Ort-Veranstaltungen oder nehmen Sie hier Kontakt auf.

Quelle und gesamter Artikel: ipg-group.com
IPG auf Security-Finder Schweiz


mySecurityService

  • Consulting, Project, Education
  • Integration, Security
  • SOC-Services
  • Certifications/Standards

Security-Kompetenzen

Kalender Security Schweiz

Keine Ereignisse gefunden.

Security-Finder Schweiz: Newsletter