身份管理如何驅動安全
新型智能身份管理系統正在改變公司企業驗證用戶和設備身份的方式,令身份成為了新的安全邊界。
數據和資產保護始於能以可接受的確定性識別要求訪問系統的人和設備。傳統上,身份通過「秘密握手」(用戶ID和口令)確立,賦予用戶或設備訪問特定系統的許可權。一旦通過驗證,基本就沒有什麼後續的進一步身份確認措施了。
如今,公司企業開始從更廣泛更複雜的角度來看待身份,以便能提供比用戶ID及口令更可靠的基於上下文的身份確認與授權。當前身份是以相當靜態的方式在管理組、資源和網路,這種狀態需要改變,要能通過智能和機器學習來進行更實時地進行訪問控制。
這就需要更加全面地考察能確定身份的其他因素,尤其是行為和環境屬性。了解接入公司系統的客戶、僱員和設備的方方面面,就能建立非常特別的身份資料,讓黑客極端難以複製。
改變公司企業利用身份來驗證並授權的方式也能驅動公司內部的結構性變化。負責身份管理的人以往通常與安全部門沒有通聯。但隨著身份越來越被當做防禦第一線看待,這種情況正在發生改變,對身份管理和安全兩方面也有深遠的影響。
安全吸收了身份,但身份卻在侵蝕安全。隨著公司企業轉向建立以強身份驗證為起始的安全策略,身份變成了新的邊界。
為什麼身份管理正在改變
用戶ID和口令如今已毫無意義,太容易被黑或被買到了。所以需要保護高價值數據的公司企業都已轉為至少需要雙因子的身份驗證方法。但因為令牌或智能手機也會被盜或被黑,現在即便2FA的安全性也不像以往那麼強了。
而且,口令不僅沒用,還特別煩人。面向消費者的公司希望消除客戶交互中的摩擦,企業也想要為自己的員工清除交互上的障礙。口令就是交互摩擦之源。
業務數字化的趨勢也要求有更好的身份管理和強身份驗證。數字化驅動著很多過去沒有的客戶過程,這些過程往往迫使開發人員在安全和便利之間做出取捨平衡。更好的用戶體驗和安全基礎可以增加安全參與率也改善風險態勢。
而這更好的用戶體驗當中,就包括棄用口令的趨勢。該趨勢擴展至企業環境和B2C場景,為客戶、企業用戶和聯網設備消除掉使用口令的麻煩。
通往數字化的旅程伴隨著移動設備使用的增加,而移動設備使用的增加又反過來促進了生物特徵識別之類的智能化身份驗證技術。消費者現在很樂於用生物特徵識別來驗證他們的移動設備,再加上開放式身份驗證FIDO標準的出台,我們如今已逼近口令滅亡的時間點,數字世界安全強化的堅實基礎已然構成。
安全團隊越來越重視身份,是因為傳統基於邊界的安全方法很多年前就已經崩潰了。雲計算和移動辦公驅動了邊界方法的分崩離析。員工都不到辦公室坐著,談何邊界?
企業外部應用的激增也是推動這一改變的又一因素。手機App、私有雲上的App,或者基於SaaS的App,都是外部應用。要保護這些新型資源,必須採用新的方法,身份管理就是最佳選擇。
身份管理是如何識別偽裝者和入侵者的
用戶登錄網站或公司系統時,會產生很多用戶自身注意不到的信號,包括用戶所處位置、設備IP地址、輸入節奏等等。如果用戶使用的是移動設備,這些信號甚至更多,比如用戶戳手機屏幕的力度等等。同樣地,每個聯網設備都有自身基於典型使用模式的各種信號。
收集並分析這些信號,可以讓身份管理系統能夠為每個用戶和設備創建特定的身份資料。然後就可以設置確定性閾值,標識什麼等級的置信度可以允許訪問。從授權的角度看,這麼做可以大幅提高訪問授權或拒絕操作的準確性。
黑客不會停下入侵的腳步,但智能身份管理會給他們製造大麻煩。單因子的口令不僅弱,還累贅。雙因子要強些,但也負擔更重,且已經被證明並非無法突破。如今的智能身份管理可以自動驗證25個因子而無需用戶回答任何問題,這無疑要好得多。
7月11日,SecureAuth + Core Security 公司發布自適應身份驗證產品Login for Windows 和 Login for Mac,稱能在後台處理數十個驗證因子。其CTO表示,在初始登錄時就進行強身份驗證,我們就可以信任該身份,讓用戶在隨後訪問其他應用和系統時免除「驗證麻煩」。
使用智能身份管理達成實時訪問控制和更好驗證體驗的創意很簡單,但需要處理的大量數據讓實現變得很難。可以利用數據、機器學習和AI來讓終端用戶實現免密登錄的理想驗證體驗。比如說,如果能通過一定數量的被動信號來識別用戶,那就讓用戶登錄,尤其是當用戶做的是一些低風險事務的時候。這麼做可以帶來很棒的用戶體驗。如果檢測到異常行為,那就停止驗證,標記異常,要求進一步的身份驗證或將用戶轉交負責授權的人士。
用戶的身份資料還可以包含正常的網路行為。如果某用戶通過了初始身份驗證過程而隨後做出了該用戶平時不會做的事,身份管理系統可以標記該行為,要求進一步的身份驗證,或者直接阻止該行為。
這有助於防禦已經進入到系統中的黑客,還能檢測潛在的內部人威脅,比如訪問超出工作所需的文件或者在奇怪的時間登錄的僱員。智能身份系統還可以檢測已授權設備的異常行為,幫助阻止或最小化DDoS攻擊。
在授權方面,AI和機器學習也能幫助管理許可權,即時賦予用戶剛好夠用的許可權。
在夠用的前提下,用戶擁有的許可權越小越好。能不受限制地網上衝浪固然挺美,但在需要更細粒度地控制誰在哪個時間點能看到什麼的世界中,這種做法並不適用。給一個App或者App中有限的區域授權一會兒是很難的。這就是所謂即時夠用授權的例子。
身份管理的新角色
最近的Identiverse(身份世界)大會上,Ping Identity 發布了 PingIntelligence for APIs,將併購 Elastic Beam 而來的API流量監視技術融合進了Ping的身份技術中。
最近幾年API黑客活動有所上升,T-Mobile和美國國稅局數據泄露事件充分表明了這一點。API漏洞讓黑客可以接管賬戶和應用,增加了網路運營中心(NOC)的壓力。API流量在網路上四處穿行,數據太多,多到人工難以處理。
Elastic Beam 開發的平台就是為此而生的,可以提供對客戶API實時情況的深入理解——從自動發現活躍API和檢測交易情況,到識別API誤用及攻擊。API流量監視是一項超級難的工作,追根究底就是個大數據問題。成百上千的API上同時發生著成千上萬的連接,來自不同終端用戶設備(瀏覽器、移動應用、桌面應用……),以不同速度發生。基本上,API流量監視就是在大海撈針。
Elastic Beam 產品因具備API網路安全引擎,能夠識別並自動封鎖威脅。但主動識別源頭就是另一碼事了。
API如今由採用OAuth之類行業標準協議的令牌保護。Ping Identity 就是在這方面強化了 Elastic Beam 的可見性引擎。其另一款產品PingAccess幫助客戶用OAuth保護API。現有安全模型假定令牌未被黑客盜取或劫持,或者說具備合法許可權的用戶不打算做什麼惡意的事。用戶一旦經過身份驗證,基本就處於監控盲區了。通過監視用戶被授權後的API行為,Elastic Beam 為公司引入了全新的安全水準和威脅檢測。
在加入Ping之前,Elastic Beam 獲取不到令牌里的用戶身份資料。加入Ping後,因為構造和讀取令牌都是同一撥人在做,Elastic Beam 也就首次具備了將真正驗證過的用戶身份與API流量聯繫起來並將該行為與經驗證過的已知用戶關聯起來的能力。
PingIntelligence for APIs 很好設置,一旦建立起風險基線,該產品就能檢測並封鎖DDoS攻擊、內部人威脅、口令破解攻擊、被盜憑證攻擊和對數據及應用的攻擊。如果攻擊往API上推送異常流量,鑒於其檢測不是基於規則也不依賴已知攻擊模式或特徵碼,PingIntelligence for APIs 還能檢測出對App的零日攻擊。
這意味著 PingIntelligence for APIs 能夠大幅縮短在檢測到異常後識別攻擊的用時。Ping的新聞發布中宣稱,其攻擊識別時間從數月降至數分鐘。即便市場營銷用語只有一半能信,這也是很有意義的改進了。
PingIntelligence for APIs 需與公司企業的現有報告架構、NOC及安全基礎設施良好集成。該產品能以所謂的旁帶模式運行,也就是流量數據的副本被推送給 PingIntelligence for APIs,可以一定程度上消除某些公司對在自己流量中添加又一個代理的恐慌。
旁帶模式下是在 PingIntelligence for APIs 外部進行實際的威脅阻止動作。發現異常或攻擊時,PingIntelligence for APIs 會將威脅信息發回給另一個產品,可能是API網關產品也可能是 Ping Access,實際的攻擊阻止動作就是在這另一個產品中實現的。
PingIntelligence for APIs 也可以直接作用於數據流,實時分析事件並採取相應操作。提供不同部署模式很重要,每個IT商店都會對其網路拓撲中使用的內容有自己的偏好,提供多種選項或選項組合可以充分滿足客戶需要。
身份如何改變安全
隨著身份逐漸成為新的邊界,作為安全功能的身份管理在大多數企業的混合雲環境中也越來越現實有效了。公司企業正圍繞身份訪問管理系統重新定義自己的邊界。
傳統上,身份不是安全團隊的責任。如果是在幾年之前,身份管理還是向IT報告,但現在已經向CISO報告了。
這當中出現了管理和技術集的難題。身份管理人員和安全人員往往思維模式不同,極少看到有人同時具備這兩套思維,用身份思維連接各種事物而用安全思維防護各類系統。大多數情況下人們慣於以某一種思維方式考慮問題。不過,這一情況正在發生改變。
身份和安全之間一直以來都存在相互理解上的鴻溝,但可以通過對這兩方面人員進行培訓來解決。Identiverse大會上題為《身份應該擁有安全嗎?》的議題得到了專家組成員相當一致的否定答案,所有專家都強調了身份管理團隊與安全團隊之間需要更緊密的合作。
即便智能身份管理系統充分發揮了作用,也不可能提供100%的用戶識別準確率。信任不等於知道。現實生活中,當我們自己不知道或無法確定時,只能被迫信任,且生活中絕大多數事務確定起來要麼太不方便要麼太過昂貴。比如說,驅車到以前沒去過的飯店吃飯時,絕大多數人都只能將自己的車鑰匙交給門口一身裝束看起來像侍應生的陌生男孩。這是個明智的決定,因為你知道停到3個街區以外實在太不方便了。身份管理領域與現實生活類似,絕大多數生活都太難以確定某個東西,或者確定起來代價太大。所以我們需要智能系統來幫助確定風險並作出更睿智的訪問控制決策。
TAG:安全牛 |