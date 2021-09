Tiden när perimeterskyddet var kärnan i försvaret mot cyberangrepp är borta sedan länge. Ingen skippar brandväggar och antivirusskydd som skydd för de mindre sofistikerade attackerna för det, men det verkliga skyddet av nätverket står nu identitets- och åtkomsthanteringen för – även kallat IAM, identity and access management.

Perimeterskyddet har blivit mindre relevant när företag och organisationer inte längre har möjlighet att bygga det i hårdvara. De flesta har flyttat till molnet och appar och tjänster läggs till i en strid ström för att stödja anställda och kunder i en värld som alltid är uppkopplad. Den här utvecklingen har gjort de flesta mer effektiva och snabbrörliga, men den har också skapat också betydande risker.

Utan bra koll på sin identitets- och åtkomsthantering är det lätt att tappa kontrollen över de tusentals olika identiteter som verkar inom ett modernt företags nätverk. Varje användare kan ha flera identiteter, och enheter, appar och program behöver också tilldelas identiteter och rättigheter. Enligt en studie så hanterar ett genomsnittligt företag 40 000 behörigheter spridda över de fyra största molnplattformarna: Amazon Web Services, Google Cloud Platform, Microsofts Azure och VMware. Många av de existerande kontona har onödigt stora behörigheter – de skulle klara sig med bara omkring 10 procent av de rättigheter som är knutna till dem. Andra konton inte används alls då de tillhör anställda som slutat, eller applikationer som inte längre används.

Det här har de som vill ta sig in i andras nätverk uppmärksammat, och de mest avancerade attackerna fokuserar nu aktivt på att utnyttja oanvända konton eller konton med onödigt stor behörighet för att kringgå de säkerhetsåtgärder som finns på plats. En rapport från Verizon, 2020 Data Breach Investigations Report, fann att över 80 procent av dataintrången det året använde sig av förlorade eller stulna inloggningsuppgifter. Många av de mer uppmärksammade hoten på senare tid, som Solarwinds, har använt komprometterade identiteter och höjda rättighetsnivåer för att komma förbi cyberförsvaren.

Så fungerar IAM-verktygen

IAM-verktyg bekräftar identiteten hos en användare eller en ansluten applikation eller enhet och ser till att de sedan får rätt behörigheter och rättigheter. I dagens system för cybersäkerhet är identitets- och åtkomsthantering ryggraden – särskilt när det gäller molnet. Avancerade IAM-verktyg analyserar privilegier som styr molnbaserade och nätverksbaserade funktioner. De kan också etablera och genomdriva policyer och procedurer för grupper av användare, så som roller, ansvarsområden och andra detaljer kring användarnas åtkomstförsök.

IAM är nyckeln till zero trust-modellen, där man som utgångspunkt inte litar på några användare eller anslutna apparater. Nolltillit kan inte fungera utan en välfungerande identitets- och åtkomsthantering. Identitet har på så sätt blivit ett nytt slags perimeterskydd – oavsett var en nätverksresurs finns så krävs en identitet med korrekta rättigheter för att komma åt den. Solida IAM-verktyg kan säkra dina nätverksresurser oavsett hur många moln som ingår i företagets nätverk eller hur många olika identiteter ni förvaltar.

IAM-området ändras snabbt. Företag vill implementera IAM men letar efter lösningar som är kompatibla med deras nuvarande nätverksresurser, både äldre system och mer moderna molnsystem. De vill också ha alla IAM-funktioner samlat på ett och samma ställe, så att allt kan hanteras på en enda skärm.

Det här har gjort att marknaden har konsoliderats. Okta köpte Autho och Sailpoint köpte ERP maestro. Genom vidareutveckling eller genom köp av ny funktionalitet från tidigare konkurrenter har de flesta IAM-verktygen blivit mer stabila och mer kompetenta de senaste åren.

Nedan har vi samlat några av de främsta aktörerna på IAM-området, och går igenom vad som skiljer dem från konkurrenterna och varför just de väljs av företag för att skydda molnbaserade nät.

De åtta bästa IAM-verktygen

Cloudknox Permissions Management Platform Cyberark Forgerock Microsoft Azure Active Directory Okta One Login Trusted Experience Platform Ping Identity Intelligent Identity Platform Sailpoint

Cloudknox Permissions Management Platform

Den här plattformen är gjord för att hantera identiteter i molnet. Grunden är en aktivitetsbaserad auktoriseringsmotor som använder maskininlärning för att samla och analysera både användares och icke-mänskliga enheters aktivitet i realtid, över alla molnplattformar.

Verktyget letar efter avvikande aktivitet som tyder på hot eller intrång. Den resulterande datan matas också in i en funktion som kallas privilege creep index – ett index som samlar information om identiteter över hela företaget och ger dem poäng baserat på hur många behörigheter de har och hur många de verkligen behöver för att göra sitt jobb. På så sätt kan man enkelt att hitta identiteter med förhöjd risk och justera deras behörigheter innan någon kan dra nytta av dem.

Cyberark

Cyberark har snabbt blivit ett av de ledande verktygen på IAM-området. Här delas hanteringen av identitet och åtkomst upp i olika delar så att kunden kan få precis den typ av identitets- och åtkomsthantering den behöver utan att behöva installera och underhålla något som inte är användbart för just dem. Här finns till exempel moduler för accesshantering för användare och för leverantörer, men också moduler som cloud entitlements manager och endpoint privilege manager. Genom det som kallas workforce identity platform hanteras åtkomst för egna anställda och Cyberarks customer identity platform kan användas av företag som har externa användare eller de som driver e-handel eller liknande.

Förutom att erbjuda skräddarsydda plattformar för IAM kan också Cyberark användas för devsecops – integration av it-säkerhet redan i programutvecklingen. Här finns verktyg som conjur secrets manager enterprise, conjur secrets manager open source och credential providers som låter företag kontrollera hur identiteter får åtkomst till applikationer och databaser medan koden fortfarande utvecklas. På så sätt är applikationer fria från IAM-sårbarheter redan innan de släpps.

Forgerock

Forgerock erbjuder traditionella IAM-installationer, men de var också en av de första att erbjuda fullständig identitetshantering som en service genom deras ”Identity cloud platform”. Tjänsterna fungerar både i hybrid- och molnmiljöer. Faktum är att även om plattformen är gjord för att fungera i molnet så gör Forgerock också det enkelt att få motsvarande skydd för fysiska nätresurser eller resurser som är utspridda på många olika ställen. Plattformen kan också användas för att skydda resurser som sakernas internet, API:er och andra tjänster.

Plattformen kan också hantera regelefterlevnadsfrågor inom ett antal olika branscher – identiteter är säkrade, men också kontrollerade på ett sätt som säkerställer att man följer olika relevanta regelverk. Som tilläggsval finns möjlighet till tvåfaktorsautentisering och samlad inloggning.

Microsoft Azure Active Directory

Kärnan i Microsofts erbjudande på IAM-området är Azure AD, som både fungerar i molnet och fysiska enheter. Det är gjort för att installeras över hela datacenter om nödvändigt. Enligt Microsoft använder fler än 200 000 kunder Azure AD för att skydda 425 miljoner användare. Plattformen hanterar i genomsnitt 30 miljarder auktoriseringar varje dag, vilket gör den till en av de största i världen.

Microsoft har skapat en mängd olika mallar för populära användningsfall för verktyget, vilket betyder att de flesta kan skapa sin IAM-konfiguration genom att dra och släppa, och kan sedan köra igång med bara mindre konfigurering.

Azure AD automatiserar arbetsflöden och kan se till att auktoriserade användare får tillgång till data och applikationer oavsett var i världen de befinner sig. Systemet stöder samlad inloggning, villkorlig åtkomst och just-in-time-åtkomst som bas för implementering av zero trust-modellen.

Okta

Okta köpte nyligen upp sin största rival inom IAM-området – Autho – för 6,5 miljarder dollar, så man kan nog utgå från att de menar allvar när de säger att de vill förbättra sin plattform. Okta delar upp sin IAM-plattform i många separata erbjudanden som kan levereras inom ramen för en och samma plattform, anpassad till kundens behov. Bland de produkter som Okta erbjuder finns samlad inloggning, autentisering, användarhantering, B2B-integration, avancerad serveraccess, hantering av API-access, ett samlat bibliotek för alla användare, grupper och enheter och livscykelhantering.

Oktas IAM-plattform är känd för att den är bra på att hantera alla identiteter man får på köpet vid uppköp eller sammanslagningar. När ett företag köper ett annat tar de över alla problem med användare som har för stora behörigheter, inaktiva användare och förlegade IAM-verktyg. Oktas verktyg kan konsolidera och centralisera bibliotek, automatisera it-processer och snabbt säkra identiteter hos nyligen uppköpta bolag så att inga stora sårbarheter följer med på köpet.

Onelogin Trusted Experience Platform

Det här är en plattform som vill erbjuda IAM till företag och organisationer så billigt som möjligt. Även om de själva säger sig vara ett budgetalternativ inom IAM så har de verktyg de erbjuder, inklusive möjligheten att hantera identiteter internt och för partners och kunder, testats och utvärderats med goda resultat av exempelvis Gartner.

En av fördelarna med Onelogins plattform är att funktionaliteten är separerad i olika moduler, så att kunden kan lägga till och betala enbart för de komponenter de verkligen behöver i sitt IAM-system. Det här gör IAM tillgängligt också för mindre företag som behöver skydda sin data, även om de bara har några få anställda. Med plattformen på plats kan de sedan växa över tid och lägga till nya anställd, kunder, partners och ny teknik.

Ping Identity Intelligent Identity Platform

Pings plattform är tänkt att kunna låta företag och organisationer göra resan från en säkrare nätverksmiljö hela vägen upp till implementering av en zero trust-modell. Plattformen består av en samling verktyg, både mer generella, såsom samlad inloggning och tvåfaktorautentisering, och mer specialiserade verktyg som kan förbättra säkerheten i Zoom, Slack och Concur.

En av de mer innovativa funktionerna i plattformen har fått namnet ping zero. Det är en funktion som kan ta bort behovet av lösenord i en organisation nästan helt, utan att kompromissa med säkerheten. Genom att utvärdera alla möjliga parametrar, såsom riskpolicyer, biometri och enhetsinställningar kan ping zero avgöra om en användare är den som den utger sig för att vara – oavsett om det är en anställd i det egna företaget, en partner eller en potentiell kund. En riskpoäng räknas fram, och beroende på den och på vad användaren försöker göra, kan systemet ge access, be om mer information för verifiering eller rent av slänga ut användaren.

Sailpoint

Sailpoint sätter affärsperspektivet i centrum med sitt IAM-erbjudande. I deras identitetsplattform finns verktyg som accesshantering, identitetsstyrning, samlad inloggning och hantering av priviligierad access samlat på ett och samma ställe. Andra moduler kan användas för att säkerställa att företagets policyer för åtkomsthantering ligger i linje med relevant reglering, som GDPR eller Sarbanes-Oxley Act (SOX).

En stor skillnad jämfört med många av konkurrenterna är att Sailpoint också kan applicera identitets- och åtkomsthantering för att lösa andra affärsbehov, såsom separation av funktioner och ansvarsområden. Många företag kräver att mer än en person godkänner förändringar i kritiska program, exempelvis finansiella plattformar. Många IAM-plattformar hanterar inte detta alls. Lösningen från Sailpoint kontrollerar varje åtkomstbegäran av kritiska system för att upptäcka om någon bryter mot separationspolicyn. Nyligen köpte Sailpoint upp ERP maestro för att skaffa sig ytterligare kapacitet inom området.

