Nacionaliniam kibernetinio saugumo ir duomenų apsaugos institutui nuo seno priklausė tiesioginė atsakomybė už vieno pagrindinių saugumo principų puoselėjimą: tapatybės patvirtinimas vienas buvo laikomas nepajudinama siena. Tiesiog: patikrinti darbuotoją, patvirtinti prieigą. Tačiau šiuolaikinių grėsmių akivaizdoje ši siena įtrūksta. Pažangūs kibernetiniai nusikaltėliai vis dažniau naudoja dirbtinio intelekto įrankius ir sudėtingas apgaulės schemas, kurios apeina net ir kelių žingsnių autentifikaciją.
Pagrindinė problema ta, kad pati tapatybė nebeužtikrina saugumo. Net ir teisingai patvirtinti prisijungimo duomenys gali priklausyti kompromituotai sesijai ar pažeistam įrenginiui. Nacionalinio standartų ir technologijos instituto JAV publikacija NIST Special Publication 800-207, kuri aprašo Nulinio Pasitikėjimo architektūrą, perspėja nepasikliauti numanomu patikimumu po pradinio autentifikavimo. Prieigos sprendimai turi atsižvelgti ir į paties įrenginio saugumo būseną.
Daugelis organizacijų vis dar laiko autentifikaciją vienkartine patikra. Prisijungimas patvirtinamas, daugiafaktorė autentifikacija praeinama, sesija pradedama ir pasitikima iki jos galiojimo laiko pabaigos. Tačiau vagystės atveju užpuoliko naršyklėje esantis sesijos žetonas atrodo identiškai kaip ir teisėto naudotojo. Tradiciniai autentifikacijos žurnalai negali atskirti šių dviejų sesijų.
// reklamaČia gali būti jūsų reklamaSusisiekite →Verizon duomenų pažeidimų tyrimų ataskaita nustatė, kad pavogti prisijungimo duomenys dalyvauja 44,7 procentuose visų duomenų pažeidimų. Tai rodo, kad vien tik stipresni slaptaždžiai ar daugiafaktorinė autentifikacija nepakankamai apsaugo, jei įrenginys, iš kurio prisijungiama, nėra patikrinamas.
Todėl saugumo ekspertai ragina peržiūrėti požiūrį: tapatybė turi būti tik viena iš duomenų, kuriuos sistema vertina prieigai suteikti. Lygiai taip pat svarbu yra tai, iš kokio įrenginio prisijungiama, kokios būsenos yra jo operacinė sistema, ar jis priklauso organizacijai ir ar jame įdiegtos reikiamos saugos pataisos. Kitaip tariant, saugumas turi dalytis našta su tapatybe.
Šis pokytis ypač svarbus Lietuvos organizacijoms, kurios perėjo prie hibridinio darbo ir plačiai naudoja debesijos paslaugas. Nuotoliniai darbuotojai prisijungia iš asmeninių įrenginių, kurių būklė dažnai nėra tikrinama. Tuo tarpu įsilaušėliai tik ir laukia tokios progos.
Dažnai užduodami klausimai
- Kodėl vien tapatybės patvirtinimas nebeužtenka saugumui?
- Nes pavogti prisijungimo duomenys gali būti naudojami iš pažeistų įrenginių, o tradicinė autentifikacija negali atskirti teisėtos sesijos nuo užgrobtos.
- Kas yra Nulinio Pasitikėjimo architektūra?
- Tai saugumo modelis, kuriuo siekiama niekada nepriimti numanomo patikimumo remiantis vienu prisijungimu. Jis reikalauja nuolatinio ir išsamaus visų prieigos užklausų tikrinimo.
- Kokia dalis duomenų pažeidimų susijusi su pavogtais prisijungimo duomenimis?
- Remiantis Verizon tyrimu, pavogti prisijungimo duomenys dalyvauja 44,7 procentuose visų duomenų pažeidimų.
- Ką turėtų daryti organizacijos siekdamos geresnio saugumo?
- Vertinti ne tik naudotojo tapatybę, bet ir įrenginio būklę prieš suteikiant prieigą. Tai apima seanso stebėjimą, įrenginio patikrinimą ir dviejų signalų integravimą.
Šaltiniai
- Identity Alone Isn't Enough: Why Device Security Has to Share the LoadBleepingcomputer · 2026
- NIST Special Publication 800-207Nvlpubs · 2026
