信息來源:安全牛
安全是企業(yè)數(shù)字化轉(zhuǎn)型策略面臨的最大困境。根據(jù)Ponemon Institute的數(shù)據(jù),數(shù)據(jù)泄露的數(shù)量和損失持續(xù)增長,如今網(wǎng)絡犯罪導致的數(shù)據(jù)泄露給企業(yè)帶來的平均損失超過386萬美元。下面這組數(shù)據(jù)可以幫我們快速了解與身份數(shù)據(jù)泄露相關的企業(yè)安全威脅現(xiàn)狀:
-
去年年初,互聯(lián)網(wǎng)上泄露了7.73億個用戶名和密碼的海量緩存,幾乎可以肯定,黑客正在利用這些泄露數(shù)據(jù)實施犯罪活動。
-
暗網(wǎng)上出售的與《財富》500強公司相關的賬戶憑證超過2100萬(其中許多憑證在過去12個月內(nèi)被泄露)。
-
憑據(jù)填充攻擊已急劇增加,Akamai在18個月內(nèi)記錄了610億次嘗試攻擊。
面對數(shù)據(jù)泄露的“潰壩”,加之企業(yè)試圖保護越來越多的云應用程序、數(shù)據(jù)和服務,IT安全性支出的預算占比也在不斷增長。實際上,Gartner預測,今年全球在信息安全方面的支出將超過1240億美元。
那么,隨著數(shù)據(jù)泄露威脅和損失成本持續(xù)增長,企業(yè)安全數(shù)字化轉(zhuǎn)型的最佳實踐方法是什么?
很多人認為是“零信任”,沒錯,零信任是未來10年企業(yè)最重要的安全架構(gòu),同時也是當下最為火爆的安全市場營銷關鍵詞。但是,對于大多數(shù)企業(yè)來說,在跳上零信任的花車之前,首先要練好IAM(身份訪問與管理)的基本功,IAM是實現(xiàn)零信任的基礎和前提。
Gartner在日前發(fā)布《2020年規(guī)劃指南:身份和訪問管理》中也提出關鍵論點:IT必須推進IAM(身份和訪問管理)計劃。IAM安全技術(shù)專家應關注無口令認證、價值驅(qū)動的IGA(身份治理和管理)、增強的消費者隱私要求、混合/多云環(huán)境的趨勢。
在安全牛2020年第七版網(wǎng)絡安全全景圖中,IAM作為一級分類被放到了與數(shù)據(jù)安全密切關聯(lián)的,更為顯著的位置:
以下,在討論IAM的趨勢之前,我們先簡要介紹一下IAM的優(yōu)點及其與零信任之間的關系:
IAM的好處是什么?
IAM可以通過為用戶設備添加指紋并部署多因素身份驗證(MFA)來檢測和拒絕來自無法識別平臺的登錄嘗試,從而防止憑據(jù)填充攻擊。IAM解決方案還限制了每個用戶登錄后能夠訪問的應用程序和服務范圍。
因此,即使惡意行為者獲得了有效的憑據(jù)并可以繞過MFA,IAM解決方案也將嚴格限制攻擊面和減少“橫向移動”,做到“可防可控”。
IAM還是軟件定義邊界(SDP)的重要推動者。SDP創(chuàng)建了“一個虛擬網(wǎng)絡”,其中用戶無權(quán)訪問的軟件和其他資源是不可見的。IAM通過管理和執(zhí)行細粒度訪問管理來安全啟用虛擬網(wǎng)絡。
憑證填充攻擊的日益增長是許多公司采用IAM進行自我保護的原因之一。IAM自身正在迅速發(fā)展,以滿足更多公司的需求,并且變得更加安全,集成且易于使用。
IAM在零信任中的地位
零信任模型需要圍繞強大的身份和訪問管理(IAM)方案構(gòu)建,因此,如果沒有這些IAM工具,零信任就是無根之木。允許用戶進入網(wǎng)絡之前建立用戶身份是實現(xiàn)零信任模型的核心。安全團隊正在使用諸如多因素身份驗證(MFA)、單點登錄(SSO)和其他核心IAM類功能來確保每個用戶使用安全的設備、訪問適當?shù)奈募愋汀⒔踩珪挘⊿ession)。
隨著時間的推移,無論信息位于其網(wǎng)絡中的何處,公司都需要確保對所有敏感信息的訪問進行驗證。IAM將成為組織零信任策略最重要的支柱,在許多不同的場景中發(fā)揮作用,包括:
-
為了幫助安全團隊將數(shù)據(jù)資產(chǎn)和信息包鏈接在一起,以選擇業(yè)務網(wǎng)絡上的用戶,未來的IAM技術(shù)將進一步集成,將身份數(shù)據(jù)植入到數(shù)據(jù)保護和網(wǎng)絡取證系統(tǒng)中。
-
隨著安全專業(yè)人員采用更多IAM解決方案,他們將能夠維護身份記錄并將其綁定到員工訪問權(quán)限。在采取此步驟之前,安全專業(yè)人員應為工作人員分配數(shù)據(jù)訪問權(quán)限,并將數(shù)據(jù)屬性包括在所有訪問驗證活動中。
-
客戶必須安裝每一項技術(shù)的日子即將結(jié)束,代之以基于API的微服務。后者正在對安全性產(chǎn)生影響,預計安全提供商們將采用它。結(jié)果,對于那些遵循零信任理念和方法的企業(yè)安全團隊來說,應用IAM工具的負擔將大幅減輕。
對于組織而言,眼下是實現(xiàn)零信任架構(gòu)理想時機,因為身份泄露造成的數(shù)據(jù)泄露威脅正與日俱增。而IAM“武器庫”的建設,正是企業(yè)邁向零信任的第一步。
2020年,IAM的三大趨勢
趨勢一:身份和訪問管理即服務
管理一組應用程序和文件的訪問可能很棘手,且要求很高。盡管IAM早已遷移到云中(即使Microsoft的古老Active Directory軟件也跳到了Azure),但對應用程序進行精細維護的責任仍然在于管理員。
借助IAM即服務(IAMaaS),許多IAM功能被轉(zhuǎn)移到云中并實現(xiàn)了自動化。遠程用戶可以輕松而輕松地訪問其工具:他們只需使用一次登錄(SSO)即可訪問所需的所有資源和解決方案。
借助IAMaaS,用戶可以輕松、自動化地連接安全和防欺詐保護系統(tǒng),提高應用程序和文件的安全性,而無需付出額外的努力。此外,自動化工具將大大減少管理員的工作負擔。
趨勢二:微服務的身份和訪問管理
微服務已經(jīng)席卷了IT世界。開發(fā)人員使用鏈接的容器化小程序而不是單個整體應用程序來執(zhí)行以前由單個集成應用程序完成的功能。即使一個組件失敗,整個應用程序也不會崩潰。
取而代之的是,自動化系統(tǒng)啟動了故障組件的副本,使用戶的停機時間降至零。
從傳統(tǒng)的IAM的角度來看,這是有問題的?,F(xiàn)在,應用程序的各個組件可以通過網(wǎng)絡進行通信,這意味著攻擊者有可能竊聽或偽造這些通信。有時,這些服務使用公共互聯(lián)網(wǎng)在多個數(shù)據(jù)中心之間進行通信,這使得加密和安全性變得更加重要。
因此,IAM解決方案開始與微服務集成。在一個這樣的解決方案中,微服務之間的每個通信還包括一個唯一的令牌,該令牌在收到后便會得到驗證。應用程序僅在收到有效令牌后才執(zhí)行請求的功能。
這對應用程序造成的性能影響很小,但卻可以防止不良行為者假冒微服務或竊聽您的應用程序。
趨勢三:自主身份
用戶所擁有的身份數(shù)據(jù),需重復證明,也不屬于自己,這是一件怪誕但現(xiàn)實的事情,這不僅僅帶來不便,而且是數(shù)據(jù)泄露的萬惡之源。
自主主權(quán)身份是搭建在區(qū)塊鏈上的數(shù)字身份,也是用戶對數(shù)字身份掌控度最高的形式,此類數(shù)字身份因為結(jié)合了區(qū)塊鏈的去中心化、分布式、共識機制、哈希加密等特性,因此在自主、安全、可控層面更上一層樓。
在物理世界中,用戶可以通過多種方式來驗證其身份,而無需用戶名或密碼。他們可能會出示駕照、護照、社會保險卡或其他身份證。
過去,顯示完整賬號的信用卡收據(jù)使身份盜竊變得容易。而所謂的自主身份,指的是當個人使用這些實體來驗證其身份時,沒有第三方(發(fā)行機構(gòu)除外)維護副本,因此被盜的風險較小。
簡而言之,自我主權(quán)身份使用戶在網(wǎng)上也能夠以“親自證明”相同的方式對自己進行身份驗證。用戶可以存儲自己的個人識別數(shù)據(jù),而不必將其提交到某個公司管理的集中化數(shù)據(jù)庫中,因為如果這些公司被黑客入侵,數(shù)據(jù)泄露將不可避免。
自我主權(quán)身份的問題在于,目前還沒有一種普遍認同的媒介可以用來存儲自己的身份并對其進行驗證。現(xiàn)在,許多自我主權(quán)身份的支持者認為,區(qū)塊鏈是一種加密的去中心化個人信息數(shù)據(jù)庫,代表了個人可以輕松地在線驗證其身份的理想機制。
因此,整合區(qū)塊鏈有可能在很大程度上改變IAM。根據(jù)您的居住地、您的用戶名和密碼可能會替換為政府頒發(fā)的數(shù)字身份。這已經(jīng)在瑞士的楚格(Zug)市發(fā)生,您的城鎮(zhèn)可能是下一個。
總之,可以預見的是,隨著全球主要公司和政府努力“消滅密碼”,在線身份識別和管理方式也正面臨一場巨變。