在IAM公司的大力宣传下,网络安全市场上已经形成了自成体系的“身份”细分市场。
刚结束不久的RSA大会上或许已现端倪:大量讨论围绕身份展开,很多公司将自己的产品往身份与访问管理(IAM)上靠,展位上挂满“身份治理”、“身份上下文”、“特权访问管理”、“隐私”、“行为生物特征识别”、“生物特征平台”、“以人为中心的安全”等等标签。
如果网络安全市场是个星球,每个细分市场占据其中一块,那么终端安全就是广袤的大陆,威胁情报则是群岛;IAM又应该落到哪个位置呢?
或许哪里都不适合,IAM自成体系。
用户的问题在于互动性。企业身份管理工作之所以难做,是因为用户的身份和行为多变,入职、离职、升迁、访问敏感文件系统、共享机密数据、发送带秘密信息的邮件、访问没有权限查看的数据、尝试本不该做的事情等等。身份管理上不存在一劳永逸这码事,想设置一次就不用再管是不可行的。
但幸运的是,IAM正变得越来越容易,Sailpoint和Saviynt之类身份治理工具及CyberArk等特权访问管理工具不仅可控,价格也是企业负担得起的。
这一切来得正好。IAM需求一直都很高,但最近的数据泄露(Equifax)、新合规压力(GDPR)和隐私问题(Cambridge Analytica/Facebook)进一步推高了对身份安全与治理的重压。
Facebook的安全团队超棒,但其监管很糟。Equifax则是彻底的安全悲剧。
到底有哪些力量在塑造身份管理小世界的地形地貌呢?不妨看看下列12个趋势:
1. KBA身份验证已死
Equifax数据泄露之后,传统基于知识的身份验证(KBA)系统就已分崩离析。为什么要让客户通过确认其前雇主、住址或母亲生日的方式来验证客户身份呢?这些东西攻击者也全都知道啊,而且没准儿知道得更多,连用户订阅了哪些杂志,后院有没有泳池都知道。
2. GDPR将身份回归个人手中
公司企业越来越惯于将数据库中的东西当成自己的所有物,几乎毫无顾忌地收集、存储、传输、买卖用户的个人可识别信息(PII)。GDPR改变了这一切,提高了企业对身份治理的需求。
- GDPR要求企业收集或共享个人信息时必须获得用户的明确许可——自动勾选的同意框可不算明确许可,而且个人还应可以随时撤销该许可。个人拥有“被遗忘的权力”。另外,无论数据流向何方,身份信息的使用记录都必须留存。
- GDPR适用于欧盟公民的任何数据,无论该公民及其数据在哪儿,因而其影响范围是全世界,且企业的客户和员工都适用——即涉及公司内部和外部身份的治理与安全。
- GDPR将于今年5月25日正式生效(自GDPR诞生的2年宽限期后),届时将会对违反GDPR的行为处以最高2000万欧元或年营业收入4%的罚款。
- GDPR影响巨大,像PCI一样会推动行业发展,但又与PCI不同,影响的是所有行业。或许,欧盟之后,北美地区也会有自己的GDPR。
3. 保护隐私的身份验证需求上升
人们需要既能护住隐私又能验明自身的方法。
老用例再现的例子不是没有。比如说,酒吧保安能不能不用看身份证就知道客人是否到了法定饮酒年龄?而政府机构又能否在不知道用户饮酒时间和位置的情况下提供该验证信息?
更重要的是,社交媒体和新网站点能不能用此类身份验证方法抵御可扰乱大选的虚假信息行动?投票网站能够验证用户是注册选民还是某国公民吗?
技术上而言,这些东西都是触手可及的。智能手机就能存储私钥。目前的限制,在于监管。
4. 身份监管延伸至云端
监管的落脚点在于谁有权限访问什么东西,谁应该有权限访问什么东西,以及这些权限都用对了没有。大多数客户距离前两条都还差得很远,也就不用担心第三条了。
- SailPoint和其他身份治理及管理(IGA)解决方案提供商致力于在前端为安全人员带来更加用户友好的云管理工具。而在后端,各种云服务却让身份治理问题更加复杂,用户不得不越来越多的地方管理越来越多的账户,更别说原本就有的现场资源身份管理任务了。
- Saviynt是专为云环境设计的IGA解决方案,尝试 IGA 2.0 的急先锋。其他的,比如Sailpoint和 One Identity,则通过云迁移为客户提供支持。
工业控制系统环境中的预置软件尾大不掉,未来几年中云会是个相当复杂的因素,会让该环境下的身份治理更加麻烦。
5. 身份即服务演变
如今,用户需要能在任何地点办公的自由,理解他们需要做什么、需要在哪儿做、需要用到什么设备,才能做好企业访问控制。
- Cloud Identity 公司的服务列表很长,其单点登录支持 SAML 2.0 和OpenID,可与数百个外部应用协作,包括Salesforce、SAP SuccessFactors 和Box及Docs或Drive之类 G Suite 应用。至于使用谷歌云计算平台资源的公司,Cloud Identity 可为其额外提供跨现场及云基础设施的混合环境用户及组管理访问控制。
- Cloud Identity 为安卓和iOS设计了健壮的移动设备管理,像是用户账户清除和强制密码之类功能都是自动启用的。管理员可在集成控制台上实现屏幕锁定、设备查找、两步验证和防网络钓鱼安全密钥,还可管理Chrome浏览器使用,获得可疑登录等行为的安全报告和分析,用户活动报告与审计,以及登录第三方App、站点及扩展。
6. 生物特征识别让安全变得简单易行
眼下智能手机和其他移动设备基本都默认内置了多种生物特征识别身份验证方法。加上新的WebAuthn标准,在线生物特征安全便作为强在线身份验证的低摩擦方法而更加实用了。WebAuthn标准于4月10日由FIDO联盟和W3C联合发布,是个相当梦幻的标准,能使在线服务提供商通过Web浏览器提供FIDO身份验证。谷歌、Mozilla、微软和Opera都加入了。
基于FIDO的生物特征识别身份验证能强化Web访问安全,因为它为每个站点都采用唯一的加密凭证,消除了某一站点的被盗口令可在其他站点使用的风险。
生物特征识别设备的大量涌现也给了集成商兴起的机会。Veridium是ForgeRock和 Ping Identity 之类主流IAM公司的合作商,创建了一个横向的生物特征识别平台,可供这些IAM公司的客户将任意生物特征识别身份验证方法插入其中,无论是指纹、人脸识别还是Veridium自己的四指非触控行为生物特征识别。
坚持只用一种生物特征进行身份验证是愚蠢的,身份管理理应简单易行。
然而,Veridium最近的一次调查中,34%的受访者依然坚信只用口令就足以保护数据。
或许直到我们的孙辈,口令都还健在。
7. 提权攻击推动特权访问管理(PAM)
提权攻击已成针对性攻击的必备要素,甚至不那么针对性的攻击也常使用提权方法。解决这一问题的方法之一,是严密控制特权内部人的访问及活动,毕竟,一旦有了凭证,攻击者基本上就是个内部人了。
PAM是专为管理特权用户的访问凭证而设的。与CyberArk之类PAM解决方案一起进入市场的,还有像OnionID和Remediant这样的新兴云原生PAM解决方案。
CyberArk还试图限制被泄管理员凭证问题的蔓延。该公司去年以4200万美元并购了Conjur,只为帮助开发人员在没有硬编码凭证和SSH密钥的情况下快速推进应用程序。
8. 非结构化数据问题导致IAM与数据治理和UEBA重叠
Varonis最近的研究发现,1/3的内部用户都是“幽灵用户”——有效却不活跃,30%的公司至少有1000个敏感文件夹对所有员工开放。
IAM行业很大程度上关注的是对应用的访问,但文件系统暴露面如此之大,加上Gartner预测到2022年将有80%的数据都是非结构化的,重点放在应用访问上肯定不是什么足够好的做法。作为身份治理公司,SailPoint旨在解决这一问题,也就与Varonis之类数据安全/治理公司和Forcepoint这种“以人为中心”的实体行为分析提供商产生了重合。
你想要一张统一的视图、一个记录系统、一张神奇的电子表格,但用户哪儿哪儿都有ID,用户的权限、权利,他希望的状态和实际的状态都需要同步起来。
9. 风险自适应的身份与行为生物特征识别持续验证
越来越多的公司使用行为生物特征识别来解决合法登录后发生的攻击问题。BioCatch之类的公司应用该技术防止会话劫持,对抗在线欺诈。其他公司用行为生物特征来检测内部用户的异常行为,阻抗攻击者在内部网络上的横向移动。
二级感染的证据显示,事件响应这么多年来都只是个摆设,没什么用处。动态自适应的身份验证才是解决问题的答案。用户设备和网络必须要求一些不太寻常的响应来从生物学上识别出用户身份,比如拍张挖鼻孔的自拍……
自适应身份安全产品的例子可以参考 ID Data Web,该产品使用多个源验证给定身份的准确性,然后提供持续的身份验证——在检测到风险的时候弹出验证挑战并要求用户响应。
BioCatch建立的用户资料中包含用户生物特征行为的数据,但并非用户身份。BioCatch能检测出异常行为,然后在欺诈转账发生前叫停僵尸主机或攻击者。
这些风险自适应的“步进式”身份验证工具也被吹捧为减少摩擦的方法——只要没检测到风险,用户就根本不用经过登录过程。
“零登录”的目标,就是用行为生物特征识别自动拾取用户的独特行为特征并进行身份验证,让用户仅凭自己抓握手机的独特方式而无需扫描面部或按压手指即可自动通过验证。
10. IoT扩展机器身份边界
身份管理遇上IoT可能会遭遇滑铁卢。
物联网极大地扩张了需管理的机器身份数量,并让普通消费者也有了设置、管理和保护这些机器身份并监管机器间相互通信方式的责任。随着越来越多的设备接入互联网,以用户智能手机为中心向周边辐射,一部手机解锁所有设备的方式最终将再也无法扩展。
身份管理公司在大步迈进,但他们正在解决的是昨天的问题,至今尚未解决完毕。
计算机、机器人和IoT设备都需要访问计算和数据资源,都必须归入身份治理的范围内。
11. 依托区块链的数字身份
区块链这种分布式账本平台被广泛用于提供数字身份。商业方面,基于IBM区块链的SecureKey是加拿大第一家专为受监管行业而设的数字身份网络。Shocard则是一家基于区块链的企业级IAM和单点登录(SSO)解决方案。
Evernym没有建立在区块链基础上,而是建立在开源分布式账本平台Sovrin上的信用社数字身份平台。
埃森哲和微软联手为联合国创建了基于区块链的身份基础设施,帮助联合国为全世界100多万名没有官方身份证件的人提供合法身份证明,比如难民。
RSA大会上,美国国土安全部科学与技术部展示了Verified.Me——用区块链将登录功能与属性交付分开的身份管理工具。
12. 身份管理职业发展之路
2017年6月,IDPro成立,这个由Kantara项目孵化的非营利性专业会员组织专属于身份和访问管理人员。
该组织旨在构建IAM知识体系,支持从业者,确保身份及访问管理被大众认为是隐私及信息安全的重要且充满活力的伙伴,并希望能够发展出一套认证机制。