安全是企业数字化转型策略面临的最大困境。根据Ponemon Institute的数据,数据泄露的数量和损失持续增长,如今网络犯罪导致的数据泄露给企业带来的平均损失超过386万美元。下面这组数据可以帮我们快速了解与身份数据泄露相关的企业安全威胁现状:
- 去年年初,互联网上泄露了7.73亿个用户名和密码的海量缓存,几乎可以肯定,黑客正在利用这些泄露数据实施犯罪活动。
- 暗网上出售的与《财富》500强公司相关的账户凭证超过2100万(其中许多凭证在过去12个月内被泄露)。
- 凭据填充攻击已急剧增加,Akamai在18个月内记录了610亿次尝试攻击。
面对数据泄露的“溃坝”,加之企业试图保护越来越多的云应用程序、数据和服务,IT安全性支出的预算占比也在不断增长。实际上,Gartner预测,今年全球在信息安全方面的支出将超过1240亿美元。
那么,随着数据泄露威胁和损失成本持续增长,企业安全数字化转型的最佳实践方法是什么?
很多人认为是“零信任”,没错,零信任是未来10年企业最重要的安全架构,同时也是当下最为火爆的安全市场营销关键词。但是,对于大多数企业来说,在跳上零信任的花车之前,首先要练好IAM(身份访问与管理)的基本功,IAM是实现零信任的基础和前提。
Gartner在日前发布《2020年规划指南:身份和访问管理》中也提出关键论点:IT必须推进IAM(身份和访问管理)计划。IAM安全技术专家应关注无口令认证、价值驱动的IGA(身份治理和管理)、增强的消费者隐私要求、混合/多云环境的趋势。
在安全牛2020年第七版网络安全全景图中,IAM作为一级分类被放到了与数据安全密切关联的,更为显著的位置:
以下,在讨论IAM的趋势之前,我们先简要介绍一下IAM的优点及其与零信任之间的关系:
IAM的好处是什么?
IAM可以通过为用户设备添加指纹并部署多因素身份验证(MFA)来检测和拒绝来自无法识别平台的登录尝试,从而防止凭据填充攻击。IAM解决方案还限制了每个用户登录后能够访问的应用程序和服务范围。
因此,即使恶意行为者获得了有效的凭据并可以绕过MFA,IAM解决方案也将严格限制攻击面和减少“横向移动”,做到“可防可控”。
IAM还是软件定义边界(SDP)的重要推动者。SDP创建了“一个虚拟网络”,其中用户无权访问的软件和其他资源是不可见的。IAM通过管理和执行细粒度访问管理来安全启用虚拟网络。
凭证填充攻击的日益增长是许多公司采用IAM进行自我保护的原因之一。IAM自身正在迅速发展,以满足更多公司的需求,并且变得更加安全,集成且易于使用。
IAM在零信任中的地位
零信任模型需要围绕强大的身份和访问管理(IAM)方案构建,因此,如果没有这些IAM工具,零信任就是无根之木。允许用户进入网络之前建立用户身份是实现零信任模型的核心。安全团队正在使用诸如多因素身份验证(MFA)、单点登录(SSO)和其他核心IAM类功能来确保每个用户使用安全的设备、访问适当的文件类型、建立安全会话(Session)。
随着时间的推移,无论信息位于其网络中的何处,公司都需要确保对所有敏感信息的访问进行验证。IAM将成为组织零信任策略最重要的支柱,在许多不同的场景中发挥作用,包括:
- 为了帮助安全团队将数据资产和信息包链接在一起,以选择业务网络上的用户,未来的IAM技术将进一步集成,将身份数据植入到数据保护和网络取证系统中。
- 随着安全专业人员采用更多IAM解决方案,他们将能够维护身份记录并将其绑定到员工访问权限。在采取此步骤之前,安全专业人员应为工作人员分配数据访问权限,并将数据属性包括在所有访问验证活动中。
- 客户必须安装每一项技术的日子即将结束,代之以基于API的微服务。后者正在对安全性产生影响,预计安全提供商们将采用它。结果,对于那些遵循零信任理念和方法的企业安全团队来说,应用IAM工具的负担将大幅减轻。
对于组织而言,眼下是实现零信任架构理想时机,因为身份泄露造成的数据泄露威胁正与日俱增。而IAM“武器库”的建设,正是企业迈向零信任的第一步。
2020年,IAM的三大趋势
趋势一:身份和访问管理即服务
管理一组应用程序和文件的访问可能很棘手,且要求很高。尽管IAM早已迁移到云中(即使Microsoft的古老Active Directory软件也跳到了Azure),但对应用程序进行精细维护的责任仍然在于管理员。
借助IAM即服务(IAMaaS),许多IAM功能被转移到云中并实现了自动化。远程用户可以轻松而轻松地访问其工具:他们只需使用一次登录(SSO)即可访问所需的所有资源和解决方案。
借助IAMaaS,用户可以轻松、自动化地连接安全和防欺诈保护系统,提高应用程序和文件的安全性,而无需付出额外的努力。此外,自动化工具将大大减少管理员的工作负担。
趋势二:微服务的身份和访问管理
微服务已经席卷了IT世界。开发人员使用链接的容器化小程序而不是单个整体应用程序来执行以前由单个集成应用程序完成的功能。即使一个组件失败,整个应用程序也不会崩溃。
取而代之的是,自动化系统启动了故障组件的副本,使用户的停机时间降至零。
从传统的IAM的角度来看,这是有问题的。现在,应用程序的各个组件可以通过网络进行通信,这意味着攻击者有可能窃听或伪造这些通信。有时,这些服务使用公共互联网在多个数据中心之间进行通信,这使得加密和安全性变得更加重要。
因此,IAM解决方案开始与微服务集成。在一个这样的解决方案中,微服务之间的每个通信还包括一个唯一的令牌,该令牌在收到后便会得到验证。应用程序仅在收到有效令牌后才执行请求的功能。
这对应用程序造成的性能影响很小,但却可以防止不良行为者假冒微服务或窃听您的应用程序。
趋势三:自主身份
用户所拥有的身份数据,需重复证明,也不属于自己,这是一件怪诞但现实的事情,这不仅仅带来不便,而且是数据泄露的万恶之源。
自主主权身份是搭建在区块链上的数字身份,也是用户对数字身份掌控度最高的形式,此类数字身份因为结合了区块链的去中心化、分布式、共识机制、哈希加密等特性,因此在自主、安全、可控层面更上一层楼。
在物理世界中,用户可以通过多种方式来验证其身份,而无需用户名或密码。他们可能会出示驾照、护照、社会保险卡或其他身份证。
过去,显示完整账号的信用卡收据使身份盗窃变得容易。而所谓的自主身份,指的是当个人使用这些实体来验证其身份时,没有第三方(发行机构除外)维护副本,因此被盗的风险较小。
简而言之,自我主权身份使用户在网上也能够以“亲自证明”相同的方式对自己进行身份验证。用户可以存储自己的个人识别数据,而不必将其提交到某个公司管理的集中化数据库中,因为如果这些公司被黑客入侵,数据泄露将不可避免。
自我主权身份的问题在于,目前还没有一种普遍认同的媒介可以用来存储自己的身份并对其进行验证。现在,许多自我主权身份的支持者认为,区块链是一种加密的去中心化个人信息数据库,代表了个人可以轻松地在线验证其身份的理想机制。
因此,整合区块链有可能在很大程度上改变IAM。根据您的居住地、您的用户名和密码可能会替换为政府颁发的数字身份。这已经在瑞士的楚格(Zug)市发生,您的城镇可能是下一个。
总之,可以预见的是,随着全球主要公司和政府努力“消灭密码”,在线身份识别和管理方式也正面临一场巨变。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】