Audyt bezpieczeństwa, który nie znalazł żadnych współdzielonych haseł

Kwestionariusz przyszedł jako załącznik arkusza z czterdziestoma dwoma wierszami, a jeden z nich zatrzymał account directora w pół kroku: "Opisz, jak kontrolowany jest dostęp do naszych kont reklamowych, w tym zarządzanie poświadczeniami oraz proces nadawania i cofania dostępu". Dla większości agencji, z którymi ten klient kiedykolwiek pracował, to jedno pytanie było miejscem, gdzie rozmowa robiła się niezręczna. To historia o innym wyniku. W tym agency security audit shared ad account passwords były dokładnie tym, czego recenzenci szli szukać, by poddać analizie — a nie było ich. Agencja przeszła nie dzięki sile swoich polityk, lecz dzięki kształtowi swojej architektury.

To historia złożona, oparta na wzorcu, który jest powszechny, gdy agencje zaczynają sprzedawać klientom mid-market i enterprise. Nazwy i dokładne szczegóły są poglądowe; tryb porażki — i architektura, która go omija — są prawdziwe.

Kwestionariusz: zakupy pytają, kto może dotknąć konta

Agencja właśnie zdobyła większego niż zwykle klienta, finansowaną markę konsumencką z prawdziwą funkcją bezpieczeństwa. Zanim umowa mogła zostać podpisana, zakupy wysłały kwestionariusz bezpieczeństwa dostawcy — rodzaj dokumentu, który kiedyś był zarezerwowany dla dostawców oprogramowania, a teraz ląduje u każdej agencji dotykającej kont i danych regulowanej marki. Zakopane w nim były pytania, które rozstrzygają, czy agencja reklamowa wygląda na profesjonalnego partnera, czy na zagrożenie: Kto w waszym zespole może uzyskać dostęp do naszych kont reklamowych? Jak ten dostęp jest nadawany? Jak jest cofany, gdy ktoś odchodzi? Czy jakieś poświadczenia są współdzielone? Czy istnieje zapis tego, co wasz zespół zmienił?

Pierwszym odruchem account directora był odruch, jaki ma większość leadów agencyjnych: zacząć redagować staranne odpowiedzi. Opisać menedżer haseł. Wyjaśnić listę kontrolną offboardingu. Zapewnić recenzenta, że zespół jest zdyscyplinowany. Ale operations lead agencji zatrzymała ten szkic, bo wiedziała coś, czego director jeszcze w pełni nie doceniał — szczere odpowiedzi na te pytania, biorąc pod uwagę sposób, w jaki agencja faktycznie pracowała, wcale nie były uspokajające. Były listą rzeczy, które mogą pójść nie tak.

Dlaczego większość agencji oblewa to na polityce, a nie na architekturze

Oto pułapka. Standardowa odpowiedź agencji na "jak kontrolowany jest dostęp" to zestaw polityk nałożonych na współdzielone poświadczenia. Agencja trzyma login Meta klienta w menedżerze haseł, dokumentuje ziarno dwuskładnikowe, by więcej niż jedna osoba mogła przejść przez monit 2FA, utrzymuje zasadę, że poświadczeń nie wkleja się na czacie, i prowadzi listę kontrolną offboardingu, by gdy buyer odchodzi, ktoś pamiętał o rotacji hasła.

Każde z tych jest obietnicą, a każda obietnica to miejsce, by zawieść. Menedżer haseł jest tak bezpieczny, jak ludzie z dostępem do wpisu. Udokumentowane ziarno 2FA niweczy cały sens 2FA w chwili, gdy opuszcza autentykator. Lista kontrolna offboardingu działa, dopóki nie zostanie pominięta w jeden zapracowany tydzień. Pisaliśmy już o tym, jak współdzielone loginy po cichu zabijają agencję operacyjnie; przegląd bezpieczeństwa to moment, gdy te same współdzielone loginy zabijają agencję komercyjnie, na oczach klienta, na papierze.

Operations lead widziała agencje tracące deale dokładnie na tym kroku. Recenzent prosi o listę osób, które znają hasło klienta, agencja ją produkuje, a rozmowa zamienia się w negocjację o harmonogramach rotacji i uprawnieniach do sejfu — negocjację, którą agencja może tylko przegrać, bo leżący u podstaw fakt nigdy się nie zmienia: ludzie trzymają poświadczenia klienta.

Odpowiedź architektury: token System-User, brak współdzielonych loginów do audytu

Agencja odpowiedziała na pytanie o kontrolę dostępu jednym akapitem, a akapit opisywał architekturę zamiast polityki. Agencja nie trzyma ani nie współdzieli loginu Meta klienta. Podłącza biznes klienta raz przez token System-User — poświadczenie server-to-server — a z tego tokena warstwa operacyjna wykrywa podłączone konta reklamowe automatycznie przez identyfikator biznesowy. Media buyerzy nigdy nie otrzymują hasła klienta, bo nie ma punktu, w którym buyer loguje się do konta klienta poświadczeniem osobistym lub współdzielonym. Pracują przez własną wewnętrzną warstwę dostępu agencji.

Ten jeden wybór architektoniczny rozpuszcza całą kategorię pytań, do których sondowania kwestionariusz został zbudowany. Nie ma współdzielonego hasła do przechowania, więc nie ma nic do wycieku z sejfu. Nie ma udokumentowanego ziarna 2FA, więc nie ma pokonanego drugiego składnika. Nie ma poświadczenia do zrotowania, gdy buyer odchodzi, bo żaden buyer nigdy go nie trzymał. Recenzent poszedł szukać ryzyka współdzielonych poświadczeń, które ujawniała odpowiedź każdego innego dostawcy, a u tej agencji po prostu nie było czego znaleźć — nie dlatego, że agencja była ostrożna, lecz dlatego, że ryzykowny obiekt nie istniał w jej workflow. To architektoniczny odpowiednik punktu operacyjnego z naszego przewodnika po osobnych loginach kontra prawdziwa warstwa operacyjna: warstwa operacyjna to to, co pozwala jednemu połączeniu obsługiwać wielu buyerów bez nigdy dystrybuowania poświadczenia.

Wewnętrzny RBAC: dostęp nadawany przez rolę, cofalny, ograniczony, zalogowany

Bez współdzielonego hasła do zarządzania pytanie o dostęp przeniosło się tam, gdzie zespoły bezpieczeństwa faktycznie go chcą: do wewnętrznej kontroli dostępu opartej na rolach agencji. Każdy buyer, strateg i account lead miał imienne miejsce z określoną rolą. Dostęp był nadawany przez przypisanie roli, ograniczany tak, by rola mogła sięgnąć tylko kont i akcji, których potrzebowała, i cofany w chwili usunięcia miejsca — bez rotacji hasła, bez paniki, bez zależności od czyjejś pamięci.

To strukturalne przeciwieństwo trybów porażki skatalogowanych w naszym tekście o błędach uprawnień, jakie popełniają agencje. Gdy dostęp jest współdzielonym hasłem, nie możesz nadać go wąsko, nie możesz cofnąć go czysto i nie możesz udowodnić, kto go miał. Gdy dostęp jest rolą na imiennym miejscu, wszystkie trzy stają się trywialne. Recenzent zapytał, jak usuwany jest dostęp odchodzącego pracownika; odpowiedź brzmiała "usuwamy jego miejsce, a jego dostęp kończy się wraz z nim" — zdanie, które nie potrzebuje dopytywania, bo nie ma współdzielonego sekretu krążącego po jego odejściu.

Ślad audytowy jako dowód: kto co zmienił, kiedy

Ostatnie pytanie kwestionariusza o dostęp było tym, którego agencje obawiają się najbardziej: czy istnieje zapis tego, co wasz zespół zmienił na naszych kontach? Na współdzielonych loginach szczerą odpowiedzią jest nie — natywne historie stemplują każdą zmianę tą samą tożsamością współdzielonego właściciela, więc nie ma sposobu, by przypisać edycję osobie. Odpowiedzią tej agencji był ekran. Ponieważ każde uruchomienie, zmiana budżetu, pauza i edycja kreacji przechodziły przez warstwę operacyjną, każde z nich było przechwytywane automatycznie i przypisywane do imiennego miejsca, które je wykonało, ze znacznikiem czasu, na każdej platformie, na której działał klient.

Ten ślad audytowy pełnił podwójną rolę. Dla przeglądu bezpieczeństwa odpowiadał na pytanie o zapis zmian wprost: tak, każda zmiana jest przypisana i opatrzona znacznikiem czasu, oto oś czasu. Dla własnych operacji agencji był tym samym zapisem rozliczalności, który opisujemy w dlaczego konta reklamowe potrzebują prawdziwego logu audytowego — rzeczą, która zamienia "myślimy, że ktoś dostosował stawkę" w "ten buyer wprowadził tę zmianę o tej porze". Recenzent potraktował czysty, przypisany log zmian jako oznakę dojrzałego dostawcy, bo nim jest. Agencja, która potrafi pokazać dokładnie, kto co zrobił i kiedy, to agencja, która pomyślała o rozliczalności, zanim ją o to poproszono.

Przejście przeglądu bez przepisywania ani jednej polityki dostępu

Najbardziej uderzającą częścią wyniku było to, czego agencja nie musiała zrobić. Nie napisała nowej polityki kontroli dostępu na potrzeby tej współpracy. Nie postawiła specjalnego procesu dla tego jednego, dbającego o bezpieczeństwo klienta. Nie obiecała częstszej rotacji poświadczeń ani ograniczenia, kto trzyma wpis w sejfie. Odpowiedziała na kwestionariusz, opisując sposób, w jaki już pracowała — połączenie System-User, miejsca oparte na rolach, przypisany log zmian — a opis był zgodnością.

To cicha dźwignia bycia bezpiecznym przez architekturę, a nie przez procedurę. Bezpieczeństwo proceduralne musi być wykonywane, dokumentowane i ponownie wykonywane przy każdym audycie i degraduje się w chwili, gdy uwaga zanika. Bezpieczeństwo architektoniczne to właściwość systemu, która trzyma, niezależnie od tego, czy ktoś patrzy. Agencja przeszła przegląd w czasie, jaki zajęło napisanie kilku akapitów i udostępnienie zrzutu warstwy dostępu, bo praca nad przejściem została wykonana lata wcześniej, gdy zdecydowała się nie dystrybuować poświadczeń.

Co "bezpieczny przez architekturę" wygrywa poza kwestionariuszem

Podpisana umowa była oczywistą nagrodą, ale architektura płaciła dalej po zamknięciu deala. Ta sama konfiguracja, która zadowoliła zespół zakupowy jednego klienta, zadowoliła następnego bez dodatkowej pracy, co oznaczało, że agencja mogła traktować konta dbające o bezpieczeństwo jako rynek, a nie każde jako przypadek specjalny. Każdy przyszły kwestionariusz spotykał tę samą przygotowaną odpowiedź.

Zmieniło to też wewnętrzną postawę ryzyka agencji. Odejście buyera było nie-wydarzeniem — usuń miejsce, gotowe — zamiast próbnym alarmem rotacji poświadczeń na kilkunastu kontach klientów. Przypisany log zmian oznaczał, że wewnętrzne przekazania przychodziły z pełną mapą ostatnich zmian. A brak współdzielonych sekretów oznaczał, że największa pojedyncza powierzchnia naruszenia agencji, sejf pełen loginów klientów, po prostu nie istniała, by ją skompromitować. Architektura, która wygrała kwestionariusz, była tą samą, która czyniła agencję trudniejszą do uszkodzenia w każdy zwykły dzień, na wszystkich sześciu platformach reklamowych, które zarządzała dla klientów.

Lekcja: najsilniejszą odpowiedzią w bezpieczeństwie jest nie mieć nic ryzykownego do wyznania

Zapytana później, co zrobiło różnicę, operations lead ujęła to wprost: agencja nie przeszła przeglądu bezpieczeństwa, będąc lepszą w zarządzaniu ryzykownymi rzeczami. Przeszła, nie mając ryzykownych rzeczy do zarządzania. Nie było współdzielonego hasła do ochrony, ziarna 2FA do kontroli, poświadczenia do rotacji, bo sposób, w jaki buyerzy docierali do kont klientów, nigdy nie obejmował żadnego z nich.

To zasada, którą każda agencja sprzedająca poważnym klientom powinna przyswoić. Gdy idziesz w górę rynku, kwestionariusz bezpieczeństwa przestaje być okazjonalną niespodzianką i staje się rutynową bramką, a pytanie, które naprawdę zadaje, jest zawsze to samo: gdzie jest ryzyko w tym, jak obsługujecie nasze konto? Agencja zbudowana na współdzielonych loginach musi odpowiedzieć na to pytanie listą zabezpieczeń, z których każde to miejsce, by zawieść. Agencja zbudowana na tokenie System-User, wewnętrznym dostępie opartym na rolach i przypisanym śladzie audytowym może odpowiedzieć architekturą — a najsilniejszą możliwą odpowiedzią na "gdzie jest ryzyko" okazuje się ta, która nie ma nic ryzykownego do wyznania. Po resztę playbooka o prowadzeniu agencji w ten sposób zobacz hub narzędzi agencyjnych.