新型智能身份管理系统正在改变公司企业验证用户和设备身份的方式,令身份成为了新的安全边界。
数据和资产保护始于能以可接受的确定性识别要求访问系统的人和设备。传统上,身份通过“秘密握手”(用户ID和口令)确立,赋予用户或设备访问特定系统的权限。一旦通过验证,基本就没有什么后续的进一步身份确认措施了。
如今,公司企业开始从更广泛更复杂的角度来看待身份,以便能提供比用户ID及口令更可靠的基于上下文的身份确认与授权。当前身份是以相当静态的方式在管理组、资源和网络,这种状态需要改变,要能通过智能和机器学习来进行更实时地进行访问控制。
这就需要更加全面地考察能确定身份的其他因素,尤其是行为和环境属性。了解接入公司系统的客户、雇员和设备的方方面面,就能建立非常特别的身份资料,让黑客极端难以复制。
改变公司企业利用身份来验证并授权的方式也能驱动公司内部的结构性变化。负责身份管理的人以往通常与安全部门没有通联。但随着身份越来越被当做防御第一线看待,这种情况正在发生改变,对身份管理和安全两方面也有深远的影响。
安全吸收了身份,但身份却在侵蚀安全。随着公司企业转向建立以强身份验证为起始的安全策略,身份变成了新的边界。
为什么身份管理正在改变
用户ID和口令如今已毫无意义,太容易被黑或被买到了。所以需要保护高价值数据的公司企业都已转为至少需要双因子的身份验证方法。但因为令牌或智能手机也会被盗或被黑,现在即便2FA的安全性也不像以往那么强了。
而且,口令不仅没用,还特别烦人。面向消费者的公司希望消除客户交互中的摩擦,企业也想要为自己的员工清除交互上的障碍。口令就是交互摩擦之源。
业务数字化的趋势也要求有更好的身份管理和强身份验证。数字化驱动着很多过去没有的客户过程,这些过程往往迫使开发人员在安全和便利之间做出取舍平衡。更好的用户体验和安全基础可以增加安全参与率也改善风险态势。
而这更好的用户体验当中,就包括弃用口令的趋势。该趋势扩展至企业环境和B2C场景,为客户、企业用户和联网设备消除掉使用口令的麻烦。
通往数字化的旅程伴随着移动设备使用的增加,而移动设备使用的增加又反过来促进了生物特征识别之类的智能化身份验证技术。消费者现在很乐于用生物特征识别来验证他们的移动设备,再加上开放式身份验证FIDO标准的出台,我们如今已逼近口令灭亡的时间点,数字世界安全强化的坚实基础已然构成。
安全团队越来越重视身份,是因为传统基于边界的安全方法很多年前就已经崩溃了。云计算和移动办公驱动了边界方法的分崩离析。员工都不到办公室坐着,谈何边界?
企业外部应用的激增也是推动这一改变的又一因素。手机App、私有云上的App,或者基于SaaS的App,都是外部应用。要保护这些新型资源,必须采用新的方法,身份管理就是最佳选择。
身份管理是如何识别伪装者和入侵者的
用户登录网站或公司系统时,会产生很多用户自身注意不到的信号,包括用户所处位置、设备IP地址、输入节奏等等。如果用户使用的是移动设备,这些信号甚至更多,比如用户戳手机屏幕的力度等等。同样地,每个联网设备都有自身基于典型使用模式的各种信号。
收集并分析这些信号,可以让身份管理系统能够为每个用户和设备创建特定的身份资料。然后就可以设置确定性阈值,标识什么等级的置信度可以允许访问。从授权的角度看,这么做可以大幅提高访问授权或拒绝操作的准确性。
黑客不会停下入侵的脚步,但智能身份管理会给他们制造大麻烦。单因子的口令不仅弱,还累赘。双因子要强些,但也负担更重,且已经被证明并非无法突破。如今的智能身份管理可以自动验证25个因子而无需用户回答任何问题,这无疑要好得多。
7月11日,SecureAuth + Core Security 公司发布自适应身份验证产品 Login for Windows 和 Login for Mac,称能在后台处理数十个验证因子。其CTO表示,在初始登录时就进行强身份验证,我们就可以信任该身份,让用户在随后访问其他应用和系统时免除“验证麻烦”。
使用智能身份管理达成实时访问控制和更好验证体验的创意很简单,但需要处理的大量数据让实现变得很难。可以利用数据、机器学习和AI来让终端用户实现免密登录的理想验证体验。比如说,如果能通过一定数量的被动信号来识别用户,那就让用户登录,尤其是当用户做的是一些低风险事务的时候。这么做可以带来很棒的用户体验。如果检测到异常行为,那就停止验证,标记异常,要求进一步的身份验证或将用户转交负责授权的人士。
用户的身份资料还可以包含正常的网络行为。如果某用户通过了初始身份验证过程而随后做出了该用户平时不会做的事,身份管理系统可以标记该行为,要求进一步的身份验证,或者直接阻止该行为。
这有助于防御已经进入到系统中的黑客,还能检测潜在的内部人威胁,比如访问超出工作所需的文件或者在奇怪的时间登录的雇员。智能身份系统还可以检测已授权设备的异常行为,帮助阻止或最小化DDoS攻击。
在授权方面,AI和机器学习也能帮助管理权限,即时赋予用户刚好够用的权限。
在够用的前提下,用户拥有的权限越小越好。能不受限制地网上冲浪固然挺美,但在需要更细粒度地控制谁在哪个时间点能看到什么的世界中,这种做法并不适用。给一个App或者App中有限的区域授权一会儿是很难的。这就是所谓即时够用授权的例子。
身份管理的新角色
最近的Identiverse(身份世界)大会上,Ping Identity 发布了 PingIntelligence for APIs,将并购 Elastic Beam 而来的API流量监视技术融合进了Ping的身份技术中。
最近几年API黑客活动有所上升,T-Mobile和美国国税局数据泄露事件充分表明了这一点。API漏洞让黑客可以接管账户和应用,增加了网络运营中心(NOC)的压力。API流量在网络上四处穿行,数据太多,多到人工难以处理。
Elastic Beam 开发的平台就是为此而生的,可以提供对客户API实时情况的深入理解——从自动发现活跃API和检测交易情况,到识别API误用及攻击。API流量监视是一项超级难的工作,追根究底就是个大数据问题。成百上千的API上同时发生着成千上万的连接,来自不同终端用户设备(浏览器、移动应用、桌面应用……),以不同速度发生。基本上,API流量监视就是在大海捞针。
Elastic Beam 产品因具备API网络安全引擎,能够识别并自动封锁威胁。但主动识别源头就是另一码事了。
API如今由采用OAuth之类行业标准协议的令牌保护。Ping Identity 就是在这方面强化了 Elastic Beam 的可见性引擎。其另一款产品PingAccess帮助客户用OAuth保护API。现有安全模型假定令牌未被黑客盗取或劫持,或者说具备合法权限的用户不打算做什么恶意的事。用户一旦经过身份验证,基本就处于监控盲区了。通过监视用户被授权后的API行为,Elastic Beam 为公司引入了全新的安全水准和威胁检测。
在加入Ping之前,Elastic Beam 获取不到令牌里的用户身份资料。加入Ping后,因为构造和读取令牌都是同一拨人在做,Elastic Beam 也就首次具备了将真正验证过的用户身份与API流量联系起来并将该行为与经验证过的已知用户关联起来的能力。
PingIntelligence for APIs 很好设置,一旦建立起风险基线,该产品就能检测并封锁DDoS攻击、内部人威胁、口令破解攻击、被盗凭证攻击和对数据及应用的攻击。如果攻击往API上推送异常流量,鉴于其检测不是基于规则也不依赖已知攻击模式或特征码,PingIntelligence for APIs 还能检测出对App的零日攻击。
这意味着 PingIntelligence for APIs 能够大幅缩短在检测到异常后识别攻击的用时。Ping的新闻发布中宣称,其攻击识别时间从数月降至数分钟。即便市场营销用语只有一半能信,这也是很有意义的改进了。
PingIntelligence for APIs 需与公司企业的现有报告架构、NOC及安全基础设施良好集成。该产品能以所谓的旁带模式运行,也就是流量数据的副本被推送给 PingIntelligence for APIs,可以一定程度上消除某些公司对在自己流量中添加又一个代理的恐慌。
旁带模式下是在 PingIntelligence for APIs 外部进行实际的威胁阻止动作。发现异常或攻击时,PingIntelligence for APIs 会将威胁信息发回给另一个产品,可能是API网关产品也可能是 Ping Access,实际的攻击阻止动作就是在这另一个产品中实现的。
PingIntelligence for APIs 也可以直接作用于数据流,实时分析事件并采取相应操作。提供不同部署模式很重要,每个IT商店都会对其网络拓扑中使用的内容有自己的偏好,提供多种选项或选项组合可以充分满足客户需要。
身份如何改变安全
随着身份逐渐成为新的边界,作为安全功能的身份管理在大多数企业的混合云环境中也越来越现实有效了。公司企业正围绕身份访问管理系统重新定义自己的边界。
传统上,身份不是安全团队的责任。如果是在几年之前,身份管理还是向IT报告,但现在已经向CISO报告了。
这当中出现了管理和技术集的难题。身份管理人员和安全人员往往思维模式不同,极少看到有人同时具备这两套思维,用身份思维连接各种事物而用安全思维防护各类系统。大多数情况下人们惯于以某一种思维方式考虑问题。不过,这一情况正在发生改变。
身份和安全之间一直以来都存在相互理解上的鸿沟,但可以通过对这两方面人员进行培训来解决。Identiverse大会上题为《身份应该拥有安全吗?》的议题得到了专家组成员相当一致的否定答案,所有专家都强调了身份管理团队与安全团队之间需要更紧密的合作。
即便智能身份管理系统充分发挥了作用,也不可能提供100%的用户识别准确率。信任不等于知道。现实生活中,当我们自己不知道或无法确定时,只能被迫信任,且生活中绝大多数事务确定起来要么太不方便要么太过昂贵。比如说,驱车到以前没去过的饭店吃饭时,绝大多数人都只能将自己的车钥匙交给门口一身装束看起来像侍应生的陌生男孩。这是个明智的决定,因为你知道停到3个街区以外实在太不方便了。身份管理领域与现实生活类似,绝大多数生活都太难以确定某个东西,或者确定起来代价太大。所以我们需要智能系统来帮助确定风险并作出更睿智的访问控制决策。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】