Bil

Varför icke-mÀnskliga arbetare kan öka sÀkerhetsproblemen i ditt företag

De flesta organisationer ger inte samma tanke och uppmÀrksamhet Ät sina icke-mÀnskliga arbetare, sÄsom bots, RPA:er och tjÀnstekonton, som de gör mÀnskliga arbetare och identitetslivscykler.

Bild: iStock/NanoStockk

MÄste lÀsa sÀkerhetstÀckning

Termen icke-mĂ€nsklig arbetare vĂ€cker flera bilder. I det hĂ€r fallet talar vi om “icke-levande arbetare”, sĂ„ ingen oro över att misshandla nĂ„gra djur. NĂ„gra exempel inkluderar chatbots, robotprocessautomation, robotar och mer. De kommer nu troligen att arbeta tillsammans med oss ​​pĂ„ kontoret.

SER: Robotik i företaget (gratis PDF) (TechRepublic)

“Antalet icke-mĂ€nskliga arbetare vĂ€xer, sĂ€rskilt nĂ€r globala organisationer i allt högre grad prioriterar cloud computing, DevOps, Internet of Things-enheter och andra digitala transformationsinitiativ”, sĂ€ger David Pignolet, VD för SecZetta.

Pignolet har inga problem med icke-mÀnskliga arbetare; hans oro Àr bristen pÄ identitetshantering nÀr det gÀller icke-mÀnskliga arbetare och det ökande antalet cyberattacker och dataintrÄng som orsakas av att de tilltrÀdesrÀttigheter som ges till icke-mÀnskliga arbetare undergrÀvs.

Forrester Research-artikeln How To Secure And Govern Non-Human Identities börjar med att frÄga:

  • Vet du hur mĂ„nga mjukvarurobotar, fysiska robotar eller IoT-enheter som ansluter till ditt nĂ€tverk?
  • Hur mĂ„nga av dessa enheter lagrar kritisk data eller interagerar med den?

“SĂ„dana icke-mĂ€nniskor ökar produktiviteten men förstĂ€rker ocksĂ„ operativa utmaningar relaterade till upptĂ€ckt, livscykelhantering och efterlevnad”, stĂ„r det i artikeln. “De kan ocksĂ„ utöka din hotyta, vilket leder till ohanterade zombiekonton som skadliga aktörer kommer att anvĂ€nda för att utföra attacker.”

NÀr icke-mÀnskliga arbetare fÄr sparken

CybersÀkerhetsavdelningar har identitetshantering under kontroll. AnstÀllda ges vissa privilegier och tilltrÀde vid anstÀllning, med privilegier och tilltrÀde Äterkallas nÀr anstÀllningen upphör. Det Àr inte alltid sant med icke-mÀnskliga anstÀllda.

“Icke-mĂ€nskliga arbetare – inklusive tjĂ€nstekonton, RPA:er, IoT-enheter och bots – har ofta sina Ă„tkomstprivilegier kvar intakta Ă€ven efter att de inte lĂ€ngre behövs,” sa Pignolet. “Detta öppnar upp organisationen för potentiella cyberrisker genom att göra det lĂ€ttare för cyberbrottslingar att fĂ„ obehöriga Ă„tkomstprivilegier som ges till förĂ€ldralösa konton.”

SER: Hur spökkonton kan göra din organisation sÄrbar för ransomware (TechRepublic)

Pignolet diskuterade typerna av icke-mÀnskliga arbetare och de problem de stÀller till med identitetshantering:

Servicekonton: Dessa anvÀnds i operativsystem för att köra applikationer eller köra program. De krÀver privilegierad Ätkomst till applikationerna, databaserna och servrarna de arbetar inom, men dessa konton har:

  • Lösenord som aldrig upphör att gĂ€lla (och mĂ„ste Ă€ndras manuellt)
  • LĂ€tt att hitta autentiseringsuppgifter som ofta Ă€r inbĂ€ddade i konfigurationsfiler

“Dessa faktorer bĂ„dar inte gott för cybersĂ€kerhet, och avslöjar hot pĂ„ flera fronter,” sa Pignolet. “För att inte nĂ€mna, tjĂ€nstekonton Ă€r notoriskt misskött – 73 % av globala organisationer medger att de inte granskar, tar bort eller Ă€ndrar sina tjĂ€nstekonton.”

Robotisk processautomation: Denna teknik gör det möjligt för datorprogram att efterlikna mĂ€nskliga handlingar i samband med digitala system som anvĂ€nds för att köra affĂ€rsprocesser. “RPA utgör oavsiktligt cyberrisker pĂ„ grund av den privilegierade Ă„tkomst de krĂ€ver för att logga in pĂ„ vissa affĂ€rssystem och utföra uppgifter”, sa Pignolet. “Deras privilegierade autentiseringsuppgifter Ă€r vanligtvis hĂ„rdkodade i ett skript, och om uppgifterna inte övervakas under lĂ„nga perioder eller ordentligt sĂ€krade kan cyberbrottslingar starta attacker för att stjĂ€la dem.”

SER: Robotic Process Automation förutspÄs vÀxa med tvÄsiffriga tal under de kommande fyra Ären (TechRepublic)

IoT-enheter: Internet of Things-enheter Ă€r fysiska objekt inbĂ€ddade med sensorer, programvara och annan teknik för att ansluta och utbyta data med andra enheter och system över internet. “Eftersom IoT-enheter lagrar data samt har tillgĂ„ng till kĂ€nslig företags- och personlig data, Ă€r de benĂ€gna att kompromissa med data,” sa Pignolet. “Om enhetens referenser inte uppdateras regelbundet eller Ă„terkallas nĂ€r den icke-mĂ€nskliga arbetaren inte lĂ€ngre behövs, kan det göra dem mottagliga för cyberattacker och dataintrĂ„ng.”

Bots: En bot Ă€r ett datorprogram som fungerar som en agent för en anvĂ€ndare eller annat program, eller för att simulera mĂ€nsklig aktivitet. “Cyberbrottslingar kan förvandla en chatbot till en “ond bot” och anvĂ€nda den för att skanna en organisations nĂ€tverk efter sĂ€kerhetsbrister, sĂ€ger Pignolet. “Onda bots kan ocksĂ„ maskera sig som legitima mĂ€nskliga anvĂ€ndare och fĂ„ tillgĂ„ng till andra anvĂ€ndares data.”

Vad Àr lösningen?

För att hantera identiteterna för icke-mĂ€nskliga arbetare effektivt och skydda organisationer mot de potentiella riskerna de utgör, mĂ„ste en organisation ta en helhetssyn pĂ„ identitetshantering, sa Pignolet. “Detta sĂ€kerstĂ€ller att organisationen kan fortsĂ€tta driva sin digitala transformation, samtidigt som den hĂ„ller sin IT-miljö sĂ€ker.”

SER: IoT Àr sÀrskilt anvÀndbart inom sjukvÄrden, men interoperabilitet Àr fortfarande en utmaning (TechRepublic)

Det första steget Àr att identifiera alla icke-mÀnskliga arbetare. Detta krÀver att man stÀller frÄgor som:

  • Vilka bots anvĂ€nds?
  • Vilken RPA-teknik anvĂ€nds?
  • Vilka tjĂ€nstekonton behöver övervakas?
  • Vilka IoT-enheter behöver hanteras?

Sedan mÄste en organisation upprÀtta processer, procedurer och system för att verifiera att alla icke-mÀnskliga arbetare har skapat en identitet som kan anvÀndas för att fatta vÀlinformerade beslut om Ätkomstprivilegier. Detta krÀver att organisationen tÀnker pÄ:

  • Utföra regelbundna revisioner för att förstĂ„ hur, nĂ€r och varför deras icke-mĂ€nskliga arbetare anvĂ€nds
  • Utveckling av processer för avregistrering och offboarding av icke-mĂ€nskliga arbetare
  • Replikerar rigoriteten kring att hantera livscykler för mĂ€nsklig identitet med sina icke-mĂ€nskliga motsvarigheter

“För att uppnĂ„ detta mĂ„ste organisationer upprĂ€tta och upprĂ€tthĂ„lla ett auktoritativt register för alla icke-mĂ€nskliga arbetare pĂ„ arbetarnivĂ„, inte Ă„tkomstnivĂ„,” sa Pignolet. “Denna post blir en samlande kĂ€lla för att hantera och övervaka livscykeln för icke-mĂ€nskliga arbetare och minskar risken för mĂ€nskliga fel, sĂ€kerhetsluckor och efterlevnadsproblem.”

Varför Àr det viktigt?

Eftersom organisationer i allt högre grad förlitar sig pĂ„ icke-mĂ€nskliga arbetare för att utföra viktiga funktioner inom sina verksamheter, mĂ„ste de ta hĂ€nsyn till identitetslivscykeln för icke-mĂ€nskliga arbetare eller riskera att öppna en dörr som cyberbrottslingar kommer att anvĂ€nda till sin fördel. Pignolet avslutade: “Att behandla icke-mĂ€nskliga arbetare som sina mĂ€nskliga motsvarigheter undviker sĂ€kerhetsrisker, efterlevnadsproblem och en mĂ€ngd andra operativa effektivitetsproblem.”

BotĂłn volver arriba

Annonsblockerare upptÀckt

Du mÄste ta bort AD BLOCKER för att fortsÀtta anvÀnda vÄr webbplats TACK