Identiteits- en toegangsbeheer is altijd een interessegebied geweest voor investeerders in enterprise software-as-a-service (SaaS). Het is een kernpijler van de beveiligingsstrategie van elk bedrijf.
Maar de afgelopen jaren is het een nog grotere prioriteit geworden voor Chief Information Security Officers (CISO’s). Uit een gezamenlijk onderzoek van JumpCloud en ESG Research bleek zelfs dat 97% van de beveiligingsmanagers van plan is om de bestaande uitgaven voor tools voor identiteits- en toegangsbeheer (IAM) in 2021 uit te breiden of voort te zetten.
Waarom is identiteit nog steeds zo’n moeilijk probleem voor de moderne CISO? Elke persoon, machine en apparaat heeft zijn eigen identiteit en elke toepassing en omgeving moet deze identiteiten kunnen benutten met een specifieke set regels en machtigingen die erop worden toegepast.
“97% van de beveiligingsmanagers is van plan om de bestaande uitgaven voor tools voor identiteits- en toegangsbeheer in 2021 uit te breiden of voort te zetten.”
Misschien was dit beheersbaar in het on-prem-tijdperk, waar je elke server in je kast kon zien zitten en het aantal applicaties dat je organisatie gebruikte op twee handen kon tellen. Maar vandaag – in het tijdperk van de cloud, SaaS, bring-your-own-device en het internet der dingen – is de combinatorische complexiteit van identiteit uit de hand gelopen. Met meer dan 40 miljard gebruikers-, apparaat- en IoT-identiteiten die vandaag bestaan, is het geen verrassing dat organisaties worstelen met het beheren, leveren en beveiligen van al die identiteiten.
Als investeerders zien we dit als de ideale marktconditie voor startups om te gedijen. Velen hebben dat al gedaan, met bedrijven als Okta, Duo en Auth0 die alleen al in de afgelopen vijf jaar miljarden dollars aan bedrijfswaarde hebben gecreëerd.
We zien nog meer kansen in de komende jaren, dus we willen onze voorspellingen delen voor wat de toekomst biedt op het gebied van IAM-technologie.
Machine learning tilt autorisatie naar een hoger niveau
Kaitlyn Henry: De meeste vooruitgang in de richting van deze identiteitsgerichte beveiligingsstrategie was historisch gezien rond authenticatie, of het verifiëren dat een gebruiker of systeem is wie hij zegt dat hij is. Maar authenticatie kan alleen bepalen wie in een bepaald systeem wordt toegelaten. Autorisatie gaat een niveau dieper en bepaalt wat een gebruiker of machine kan doen als ze zich eenmaal in een systeem bevinden. Welke gegevens kunnen ze bekijken? Welke acties kunnen ze ondernemen?
CISO’s erkennen dat autorisatie per applicatie niet voldoende is, maar het verkrijgen van superfijne machtigingen is een ontmoedigende taak. Overdrijf het, en u zult voorkomen dat gebruikers cruciale taken uitvoeren en een berg toegangsverzoeken activeren. Doe het te weinig en u mist kritieke mazen en kwetsbaarheden, vooral als het gaat om gegevensbeveiliging.
Machine learning heeft het potentieel om autorisatie naar een hoger niveau te tillen door hypergranulaire toestemmingen voor elke gebruiker of systeem in te schakelen en deze toestemmingen in de loop van de tijd uit te breiden en in te krimpen als dat nodig is. Beleidsautomatisering en anomaliedetectie zijn enkele van de meest opwindende toepassingen die ik in deze ruimte heb gezien, maar ik weet zeker dat er nog veel meer zullen zijn.
Kortstondige en just-in-time toegang
Eliza Loring: Een van de grootste klachten die ik van CISO’s hoor, is hoe om te gaan met ‘privilege creep’, of hoe gebruikers en applicaties machtigingen verzamelen die hun technische en zakelijke behoeften ver te boven gaan. Hoe gedetailleerd iemands machtigingen ook beginnen, ze lijken in de loop van de tijd te groeien door een reeks ad-hocverzoeken die nooit worden verwijderd.
“Just-in-time” provisioning en efemere toegang, of het verlenen van identiteitstoegang tot een resource voor een beperkte periode of totdat een specifieke actie is voltooid, kan hiervoor een oplossing zijn. Maar historisch gezien was het moeilijk op te schalen. De meeste identiteitstools zijn niet ontworpen op een manier die dit naadloos ondersteunt, en het overschakelen naar een kortstondig toegangsmodel vereiste in het verleden een aanzienlijke gedragsverandering van de gebruikers die geacht worden toegangsverzoeken te beheren.
De bedrijven die uitgestrekte ondernemingen kunnen helpen bij het implementeren van just-in-time-toegang of kortstondige toegang op een verantwoorde manier, zullen een betekenisvolle wig vormen in de identiteitsstapel van de volgende generatie. Om hier te winnen, draait het allemaal om het creëren van een herhaalbaar proces om nieuwe apps aan boord te brengen en te integreren in een enkele engine die automatisch vervaldatums voor machtigingen kan verlenen en instellen.
Uiteindelijk zullen dynamische machtigingen en het vermogen om beleid consistent af te dwingen voor beheerde bronnen een belangrijk principe zijn van alle identiteitssystemen.