剖析身份管理是如何驅動安全性的？

新型智能身份管理系統正在改變組織對用戶和設備進行身份驗證的方式，並且它們還將身份置於新的安全邊界。

保護數據和資產的基礎，是能夠以可接受的確定性識別要求訪問系統的人和設備。傳統意義上，身份可以通過「秘密握手」（用戶ID和密碼）建立，該「秘密握手」能夠賦予個人用戶或設備訪問特定系統的許可權。一旦通過驗證，很少再會有什麼後續措施來進一步確認身份。

如今，組織開始採取更廣泛、更複雜的身份視圖來驗證和授權個人用戶及設備，以便能提供比用戶ID和密碼更可靠的且基於上下文的身份確認措施。Ping Identity首席執行官Andre Durand表示，

我們需要改變當前這種基於相當靜態的方式進行身份管理的狀態，替換以通過智能和機器學習來進行更為實時的訪問控制。

這種方法就需要更為全面的了解能夠確定身份的其他因素，特別是行為和環境屬性。了解有關連接到公司系統的客戶、員工和設備的所有信息，就能為每個人或設備創建一個獨特的身份資料，讓黑客難以複製這些信息。

改變企業使用身份進行驗證和授權的方式，也推動了組織內部的結構性變化。就以往來說，負責身份管理的人通常沒有與安全部門相關聯。但是，隨著身份越來越被當作安全防禦第一線看待，這種情況正在發生改變，並且也對身份管理和安全兩方面產生了深遠的影響。

Durand表示，

安全性吸收了身份，但身份卻在侵蝕安全性。

隨著組織開始轉向構建以強身份驗證為始的安全策略，身份將成為新的安全邊界。

為什麼身份管理正在發生改變？

用戶ID和密碼現在已經變得毫無意義，因為它們實在太容易被黑客攻擊或購買到了。這也就解釋了為什麼需要保護高價值數據的企業，都已經開始採用雙因素身份驗證（2FA）這樣的方法了。不過，即便是雙因素身份驗證（2FA）也正變得越來越不安全，因為令牌或智能手機也可能會受到損害或被盜。

如今，對絕大多數用戶而言，密碼不僅已經變得沒用，其使用和管理起來也是特別煩人。面向消費者的企業希望能夠消除客戶交互中的摩擦，當然組織也希望為自己的員工做同樣的事情，來清除交互上的障礙。而密碼正是交互摩擦的根源所在。

除此之外，業務數字化的趨勢也在增加對更好的身份管理和強身份驗證的需求。通用認證供應商Nok Nok Labs的營銷副總裁Jatin Maniar表示，

數字化正在推動許多過去不存在的客戶過程，這些過程往往迫使開發人員在安全性和便利性之間進行權衡。更好的用戶體驗和安全基礎可以提高參與度並改善風險態勢。

Maniar進一步補充道，而想要實現更好的用戶體驗的一個關鍵步驟，就是棄用密碼。這種趨勢同樣需要延伸到企業環境和B2C場景中，以消除客戶、企業用戶和聯網設備使用的密碼。

Maniar解釋稱，數字化的進程與移動設備使用量的增長密切相關，而移動設備使用量的增加反過來又可以實現更為智能的身份識別技術，如生物特徵識別技術等。他說，

好消息是，消費者現在很容易採用並更喜歡生物識別技術作為其移動設備的認證手段。加上開放式身份驗證FIDO標準的出台，我們從未如此接近過密碼消亡的臨界點，其也為數字世界更強大的安全性提供了堅實的基礎。

Ping產品營銷副總裁Derick Townsend表示，

安全團隊越來越重視身份的原因在於，傳統的基於邊界的安全方法已經崩潰或瓦解了很多年，而雲計算和移動辦公正是驅動這種邊界方法分崩離析的關鍵因素。如今，員工都不需要到辦公室或使用辦公設備辦公，還談何邊界問題！而推動這種變化的另一個因素是企業外部應用的激增。這些外部應用可能是移動應用程序、私有雲中運行的應用程序，或者是基於安全即服務（SaaS）的應用程序。如果說想要保護這些新型資源，就必須採用新的方法，身份管理就是實現這一點的最佳選擇。

身份管理如何識別冒名頂替者和惡意行為者？

每次當您登錄網站或公司系統時，都會產生許多您並不知道或並未在意的信號。這些信號可能包括您的所處位置、設備IP地址或是您鍵入的速度或節奏等。如果您使用的是移動設備，則會產生更多信號，例如您點擊手機屏幕的力度等等。同樣的，每個聯網設備都有各種基於典型使用模式的信號。

收集並分析這些信號，可以讓一些身份管理系統為每個用戶和設備創建唯一的身份資料。然後，就可以設置確定性閾值，以標識允許訪問的可信度級別。從授權的角度來看，這麼做可以幫助企業以更高的準確度來授權或拒絕訪問許可權。

黑客仍然會不斷地嘗試入侵，但是智能身份管理會給他們製造入侵難度。SecureAuth + Core Security首席信息安全官Chris Sullivan表示，

如今，單因素密碼對於用戶而言不僅功能薄弱，而且還是一個沉重的負擔。雙因素明顯要強些，但是對用戶來說負擔更重，並且已經被證實能夠被黑客入侵。如今的智能身份管理可以自動驗證25個因素，且無需用戶回答任何問題，這無疑要好很多。

7月11日，SecureAuth + Core Security 公司發布了其「自適應身份驗證」產品——Login for Windows和Login for Mac，這兩款產品可以在後台處理數十個驗證因素。該公司首席技術官Keith Graham表示，

通過在初始登錄時對用戶進行強身份驗證，我們就可以信任該身份，並讓用戶於當天其餘時間訪問其他應用程序和系統時自動消除『登錄驗證麻煩』。

使用智能身份管理實現實時訪問控制，以及更好的用戶驗證體驗的想法看起來很簡單，但其需要處理的大量數據使實現過程變得非常困難。對此，Durand表示，

我們希望利用數據、機器學習和人工智慧，來為終端用戶實現免密登錄的理想身份驗證體驗。如果說我們能夠通過可以訪問的任意數量的被動信號來識別用戶，那就讓用戶登錄，特別是當用戶正在做的是一些低風險事情的時候。這麼做可以實現很好的用戶體驗。當然，如果我們檢測到異常行為，那麼就要停止驗證，標記異常，然後要求進一步的身份驗證或將用戶轉交負責授權的人員。

一個人的身份資料還可以包含正常的網路行為。如果有人通過了初始身份驗證過程，但隨後做出了此人平時不會執行的操作，則身份管理系統可以標記該活動，然後要求該用戶進行進一步的身份驗證或者直接停止其操作。

這有助於防禦設法進入系統的黑客，同時也能檢測潛在的內部威脅——例如，訪問超出工作所需的文件或者在奇怪的時間登錄的員工。類似的，智能身份系統還可以檢測來自授權設備的異常行為，從而幫助阻止或最小化分散式拒絕服務（DDoS）攻擊。

這就涵蓋了身份管理驗證方面的內容。就驗證方面而言，AI和機器學習也可以幫助管理許可權。Durand解釋稱，

這裡的願景就是實現我所說的即時，以及賦予用戶剛好夠用的許可權。我們如何做到只在必要時授予訪問許可權，並在不需要時關閉它呢？我們還希望能夠控制人們可以訪問的表面區域，儘可能細化或減少用戶擁有的許可權。當然，擁有不受限制是網上衝浪是一個不錯的主意，但在需要更細粒度的控制誰在哪個時間點能看到什麼的世界中，這種做法很不切實際。暫時授權一個App或者App中的有限區域是很難的。這就是所謂的『即時』和『夠用授權』的例子。

身份管理的新角色

在最近于波士頓舉辦的Identiverse大會上，Ping Identity公司發布了一款「PingIntelligence for APIs」的產品，將併購Elastic Beam獲得的API流量監控技術融入了Ping的身份技術中。

過去幾年，API黑客攻擊率不斷攀升，T-Mobile和美國國稅局（IRS）數據泄露事件充分表明了這一點。API漏洞能夠允許黑客接管賬戶和應用程序，這無疑為網路運營中心（NOC）帶來了更多的壓力。Ping Identity的高級技術架構師Sarah Squire表示，

如今，所有的API流量在網路上來回傳遞，這些數據量太過龐大，已是遠非人工能夠處理的程度。

為了解決這一問題，Elastic Beam開發了一個平台，可以提供對客戶API實時情況的深入理解——從自動發現活躍API和提供可見性，到識別API上的誤用及網路攻擊情況。Elastic Beam創始人Bernard Harguindeguy表示，

API流量監控是一項非常難的工作，因為一天之內產生的數據量非常龐大。成百上千的API上可能同時發生著成千上萬的連接，這些API來自不同終端用戶設備——瀏覽器、移動應用程序以及桌面應用程序等，且以不同的速度發生著。可以毫不誇張的說，API流量監視就等同於大海撈針。

Elastic Beam產品因具備「API網路安全引擎」，具備識別並自動阻止威脅的能力。但積極識別源頭就是另一回事了。

如今，API主要採用OAuth等行業標準協議的令牌進行保護。Ping Identity 就是在這方面強化了Elastic Beam的可見性引擎。其另一款產品PingAccess可以幫助客戶使用OAuth來保護他們的API。該安全模型假定令牌未被黑客盜取或劫持，或者已被授予訪問許可權的用戶不打算做什麼惡意的事情。用戶一旦經過身份驗證，基本就處於監控盲區了。通過監視用戶被授權後的API行為，Elastic Beam 為公司引入了全新的安全水準和威脅檢測級別。

在加入Ping之前，Elastic Beam無法訪問令牌中實際用戶的身份資料。加入Ping後，因為構建和讀取OAuth令牌都是相同的人在做，所以Elastic Beam也就首次具備了將真正通過身份驗證的用戶身份與API流量聯繫起來，並將該行為與已知且經驗證過的用戶關聯起來的能力。

Squire表示，PingIntelligence for APIs很容易設置，一旦建立了風險基線，該產品就能夠檢測並阻止DDoS攻擊、內部威脅、密碼破解攻擊、被盜憑證攻擊以及對數據和應用程序的攻擊。如果攻擊往API上推送異常流量，PingIntelligence for APIs 還能檢測出對應用程序的零日攻擊，因為其檢測並非基於規則也不依賴已知攻擊模式或簽名來實現。

這就意味著PingIntelligence for APIs能夠大幅縮短在檢測到異常後識別攻擊的用時。Ping在其新聞稿中宣稱，其攻擊識別時間從數月降至數分鐘。即便市場營銷用語只有一半能信，這也是很有意義的改進了。

PingIntelligence for APIs需要與企業的現有報告、NOC和安全基礎架構很好的集成。這一過程可以通過兩種方式實現。它可以在被Ping稱為「旁帶模式」（sideband mode）的情況下運行，也就是流量數據的副本被推送給PingIntelligence for APIs。在旁帶模式下，實際的威脅阻止行為發生在PingIntelligence for APIs外部。當發現異常或攻擊時，PingIntelligence for APIs會將威脅信息反饋給另一個產品，可能是API網關產品也可能是 Ping Access，實際的攻擊阻止動作就是在這另一個產品中實現的。

除此之外，PingIntelligence for APIs還可以直接與數據流一起運行，實時分析和處理事件，在「內聯模式」（inline mode）下阻止攻擊。在此過程中，提供不同部署模式很重要，因為每個IT商店都會對其網路拓撲中使用的內容有自己的偏好，提供多種選項或選項組合可以充分滿足客戶需求。

身份正在如何改變安全性？

隨著身份逐漸成為新的邊界，正如Durand所認為的那樣，作為安全功能的身份管理在大多數企業的混合雲環境中也越來越有效。如今，組織正在圍繞身份訪問管理系統重新定義自己的邊界。

就以往來說，身份並非安全團隊的責任。如果說回到幾年之前，身份管理還要向IT報告，但現在已經是向首席信息安全官（CISO）報告了。

這種現象也為管理和技術集帶來了挑戰。Durand表示，

我經常發現，身份管理專業人士和安全專業人士具備不同的思維模式。極少能夠看到有人同時具備這兩種思維，可以用身份思維連接各種事物而用安全思維保護各類系統。大多數時候，人們都習慣用某一種思維方式考慮問題。但是，這種情況正在發生改變。

身份和安全之間一直都存在相互理解上的鴻溝。對此，Durand建議稱，可以針對身份和安全專業人員組織強大的培訓計劃。在Identiverse大會上，也有小組成員就《身份應該擁有安全嗎？》的議題展開了討論，所有專家都強調了身份管理團隊與安全團隊之間需要更緊密的合作。

即便智能身份管理系統充分發揮其潛力，它們也不可能提供100%的用戶識別準確率。對此，Durand解釋稱，

信任與知道之間存在差異。在現實生活中，當我們自己不知道或無法確定某些事情時，我們就會被迫信任，且生活中絕大多數事務確定起來要麼太不方便，要麼太過昂貴。例如，試想一下，你有多少次開車來到一家新餐館，並將鑰匙交給門口一位穿著看起來像侍應生的陌生男孩？你內心已經做出了一個基於信任的決定，因為你知道把車停到三個街區以外實在太不方便。就身份管理而言，與現實生活類似，想要確定某些事情可能非常困難，或是要付出昂貴的代價。這就是為什麼我們需要智能系統，來幫助我們確定風險並圍繞訪問控制做出更明智的決策。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！