本文译者:安全内参社区研究员 CC
想象一下,在一个炎热干燥的夏日,你的喉咙感到异常干燥。一个人走近你,给了你一瓶水。你喝了吗?如果你对这个问题的直接回答是“是”或“否”,你显然还没有考虑清楚这个问题。如果你完全关心你的人身安全,那么恰当的回答应该是:“这要看情况而定。”
了解完整的上下文的信息对你作出安全决策至关重要。作为千百万年来生存本能的一部分,人类善于根据复杂的上下文信息做出快速判断,这很大程度上依赖于我们天生的模式匹配技能。
然而,开发与人脑一样有效的感知复杂背景信息威胁的IT安全解决方案并非易事。虽然智能技术(包括分析、机器学习、认知计算和自然语言处理)已经得到了很大发展,但有效利用这些资源来确定安全风险仍然取决于它们不断摄取的上下文信息的主体。
上下文感知几乎在每一种现代安全方法中都很重要,对于作为企业安全第一道防线的IAM(Identity and Access Management,身份识别与访问管理)也尤为重要,因为它是授予所有企业IT资源访问权限的入口。实现有效IAM的最大挑战可能是建立一套丰富的上下文信息,并根据这些信息,应用智能技术来确定组织在任何特定访问请求中的信任级别。
但问题也随之出现,有太多潜在的上下文因素需要考虑,而且在发现潜在风险时,并不总是清楚哪些因素最有价值。为了帮助组织采用和实施基于上下文感知的IAM解决方案,企业管理协会(Enterprise Management Associates,EMA)对搜集和评估不同类型上下文信息的企业进行了研究和评估。
该研究目的是对比评估不同方法的结果和经验,以便能够量化哪种方法在确定风险水平方面提供最大价值的方法,并使组织能够认真负责的减少对用户体验的影响。
企业管理协会调查了200名对自己组织IAM管理和使用情况了解的IT专业人员,其中93%的受访者在公司中担任高管。受访者大多位于北美,分布在各种行业类型和规模。
1、上下文数据收集
上下文信息评估
在调查中,96%的受访者表示目前在认证过程中已积累和评估了一些上下文数据,通常是最基本的信息——设备类型、设备操作系统、访问发起时间及用户角色信息(通常从目录服务中获取,如AD),用于支持条件策略。
例如,如果正在使用智能手机,可以通过短信息发送一次性密码。但仅如此不能确定允许访问所带来的风险水平,那些仅采集四类基本信息的组织表达了对IAM解决方案的不满。
有趣的是,受访者称,最有价值的上下文信息往往是IAM解决方案搜集频率最低的信息。
对IAM解决方案满意度最高的组织是收集了公共托管环境安全状态信息的组织——与IAM的最大挑战来自于对公有云和WEB服务的支持认知相一致。
目前只有约三分之一的受访者表示他们采用的解决方案支持这一能力。如果不能与服务提供商直接集成,就很难确定与托管企业应用和数据的公共环境相关联的威胁级别,而现有的IAM解决方案本身无法记录相关信息。
受访者同时对收集了在终端上运行的活动进程的上下文信息和用户行为生物特征信息的IAM解决方案表达了较高的满意程度。目前,普遍认证这两类信息最不可能被收集。
对终端活动进程信息的评估可用于确定设备是否已被恶意软件感染、是否已被root或越狱、是否正在运行风险软件或恶意软件,或是否被监视。
高级功能可支持将当前正在运行的进程与最常运行的进程的基线“指纹”相对比,以确定设备的已知所有者是请求访问的当前用户的可能性。使用收集终端活动进程信息的IAM解决方案的组织被勒索软件或间谍软件感染的可能性降低了46%。
行为特征
行为特征数据是最少搜集,也是搜集起来最为复杂的一类上下文信息。行为特征解决方案通常通过主动评估用户与系统的交互行为来判断访问企业IT资源的是否是用户本人,相关平台使用终端设备(比如移动设备)内置的传感器收集各类用户行为信息。
分析表明,最常被识别的行为特征是用户在刷屏时常用的速度和压力大小。类似的,通过计算用户按下和放开键盘上的键所需的时间,击键动力学也常用来识别用户身份。大部分行为特征分析方案结合多种技术来确定用户身份。对调查对象的调研显示,在刷屏、击键动力学、设备方向、签名识别、用户手势、声音模式、步态分析等7个常见行为特征中,约有3个指标具有一定效果。
行为特征识别最明显的价值在于可以提升身份验证过程的便利性,消除验证过程所带来的问题。能够在用户无感知的情况下对用户进行持续的评估。
当身份足够可信时,用户无需输入密码或执行其他麻烦的操作即可完成对业务的访问。并且,还应注意的是,评估行为特征可以极大的提高安全有效性—能够让违规事件的发生率远远低于采用其他方案的组织。
用一组数据表示,则是:1)用户与对等方共享凭据的事件减少了21%;2)密码泄露事件减少48%;3)未经授权的用户访问业务应用程序的事件减少了74%。
上下文收集工具
58%的受访者表示,上下文信息是由组织采用的IAM平台收集,不同IAM产品搜集的上下文信息也不同。其中,数据通常通过在终端设备、应用和服务托管环境上安装和运行的软件来搜集。也有些方案采用“无代理”方式,利用现有的操作系统服务(如SNMP、WMI或NetFlow)从各种资源收集信息。
但即使效果最好的IAM产品也无法搜集所有可能与每个业务环境相关的上下文信息,因此经常必须诉诸于诉诸于和第三方管理技术的集成,以建立一个全面的上下文数据集。其中,四个管理系统通常用与IAM无直接关联,但都能为IAM提供上下文信息。
- 网络监控系统提供关键信息,说明终端设备和访问的服务间的通信如何路由,以及这些连接提供的安全级别。系统还可以识别终端上发生的任何风险或不安全的通信(可能表明设备已被破坏)。
- 密码监控解决方案不断评估用户凭据的可行性,甚至可以确定密码是否已被泄露,并发表在暗网上。
- 日志分析工具不断地从操作系统、应用、日志文件和数据收集存储库收集信息流,并智能地确定是否发出了可能指示终端或托管服务器处于风险中的任何警报。
- 恶意软件检测工具可以向IAM服务发出警报,当设备感染了病毒、间谍软件、勒索软件或其他恶性软件。
约有24%的受访者认为缺乏整合是目前解决方案的主要问题,需要对IAM平台作出改变,建立一组丰富的上下文信息的关键组件。与第三方平台集合可以有效防止重复数据搜集工作,为IAM产品带来的很大的好处。一组全面的上下文详细信息也为引入动态访问提供了基础。
2、自适应风险检测与认证
智能技术采用
单纯就上下文信息而言,对提高IAM能力作用不大,需要数据分析能力;同时,一组全面的上下文数据非常复杂,手动关联和识别无法识别有价值信息,需要自动化能力。将数据分析能力、自动化流程与上下文数据结合,实时的实现动态身份认证,才可以提高IAM有效性。
93%的受访者表示,组织使用某种类型的智能技术来评估支持IAM的上下文信息;73%的受访者表示在使用分析技术。目前,最常用于支持IAM的是用户行为分析(UBA),身份分析的可用性和采用率也在不断提高。
身份分析方法通过关联与访问事件相关的上下文信息来检测访问风险或访问滥用。常见的示例是访问时间与终端设备的地理位置的关联。如果从北京发出访问请求,而用户最后一次登录是在距纽约一小时之前,则系统可以识别出用户根本不可能在如此短的时间内传送到地球的另一边,并且可以立即拒绝访问。采用此类解决方案的受访者表示,发现他们的用户凭证被泄露并发布在暗网上的可能性降低了65%。
机器学习也在被采用,它可以随着时间的推移监视上下文信息和活动,以便建立可预测的数学算法。基于机器学习技术,提升用户身份认证体验的技术应用较广。采用此类技术的受访者表示,遭受勒索软件攻击的可能性降低了72%,感染计算机病毒的可能性降低了34%。
执行基于条件的活动
一旦完成上下文信息的收集和分析,即可以用各种有价值和有趣的方式利用智能技术。受访者表示,最简单和最常见的用途是通过第三方自动化和编排启动操作。如果某个条件存在,那么它可以执行预定义的操作。
自动操作可能是良性的(例如,在检测到风险活动时向IT管理员发送警报消息),也可能对身份验证过程采取直接操作(例如,如果检测到设备处于根目录或越狱状态,则阻止对业务帐户的访问)。但目前,在大多数评估案例中采用的IAM方案缺乏自动化能力。
受访者还经常提到基于策略的访问控制——访问策略与单个用户配置文件一起说明哪些用户可以访问哪些应用和数据、允许动作如何、访问权限时长度。配置访问策略可以基于非常具体的条件,如用户通过不安全的网络使用非业务设备来访问机密信息,则拒绝访问。
这种方法面临的挑战是,必须界定每种可能的语境条件组合,以适应现实世界中不断变化的条件。这是一项不可能完成的任务。通常,组织无法定义关键的上下文考虑因素,将业务暴露在不可预见的风险中,或者在定义策略时变得过于繁重,从而产生了显著且不必要的访问阻碍,从而降低了最终用户的生产效率。
智能技术可以快速关联复杂的上下文信息以确定安全策略违反的可能性,因此可用于确定访问事件造成的风险级别。单个上下文元素(例如用户通过公共网络访问业务资源)本身可能不会引起警报,但事件组合(例如,运行不可信软件的不安全网络上的不安全设备)可能会越过一个值得关注的阈值。
通常,IAM方案可将潜在威胁表示为单个数值(风险分数),然后引入策略,根据风险评分的值进行自动化响应。例如,较高的风险分数可能会限制允许用户访问的资源的数量和类型。所需认证因素的数量和强度可以根据风险水平进行相应的更改。
智能分析用来进行风险评分也有助于实现逐步增强的多因素身份验证(MFA)。认证因子的数量和强度可根据风险评分改变。在低风险的情况下,一个简单的无密码验证即可安全的启用业务访问。但在高风险情况下,需要额外的强身份验证方式(如输入OTP码)。
随着支持访问各种公共WEB服务的需求日益增长,webhook支持也成为IAM面临的最大挑战,webhook支持的价值变得显而易见。Web开发人员通常构建自定义代码或“钩子”,持续监视预定义的条件并通过执行特定的任务来响应。直接从IAM平台触发这些webhook的能力使该方案能够集中管理和实施访问策略,而无需构建自定义的集成点。
但目前仅有约22%的受访者表示,组织IAM方案可远程触发webhook,而这些受访者对IAM方案总体满意度最高。在具备wehook能力的受访者中,所有类型的违规事件平均比缺乏这一能力的组织低79%,该方法的主要优点包括:
确保用户使用强大且未泄漏密码的挑战排名降低了16%;
安全访问公有云和网站上托管的IT资源的挑战排名降低了11%;
跨异构终端统一身份验证过程的挑战排名降低了13%;
建立适应不断变化的条件的访问策略的挑战排名降低了10%
3、自适应自动化的管理价值
采用智能技术实现IAM自动化,提高了安全效率,也提高了用户生产力,并且为管理过程提供了重要的价值。约90%的受访者表示他们可以量化特定的IT管理改进手段,常用指标为总体IT管理时间。
采用自动化的IAM方式,无需手动定义复杂的访问策略、定期审核访问事件和手动评估潜在风险,而可以动态调整访问过程以满足不断变化的需求,同时收集和报告改进安全策略所需的基本信息。
自动化手段还可以通过减少甚至消除管理员需要执行的任务的数量来最小化管理工作。例如,入职和/或离职用户的流程可以自动化,以便在用户进入公司目录后立即启用或禁用帐户。
此外,自动化可以减少执行凭证重置和启用完全不需要任何管理员交互的用户自助服务进程的需求。大多数受访者还指出,自动化流程可以降低IT管理成本。
4、企业管理协会的观点
为了保证安全性和法规遵从性的要求,企业往往采用强身份认证,复杂的授权流程来确保安全性而牺牲了便利性。现代IAM方案的主要重点是保证安全性的同时,提供良好的用户访问体验和便利性,其中访问发生的上下文信息至关重要。
除了用户角色、设备类型、地理位置等基础信息外,行为特征信息、终端设备运行的活动进程、开放网络连接以及被访问资源的敏感性信息必须综合考虑才能准确评估授权访问业务资源的风险。
企业管理协会的调查评估结果提供了强有力的指标,表明保护企业应用和数据的主要约束因素正在提高IT生态系统的复杂性。
特别是,支持公共WEB和云服务的需求不断增加,为访问管理流程带来了严峻的挑战,加剧了违规事件的风险——因为大多数组织缺乏集中管理分布在多个托管环境中资源的访问策略能力。企业亟需升级IAM解决方案以适应挑战。
调研表明,那些采用具有公有云和WEB支持功能(如触发webhook的能力)的IAM解决方案的组织满意度更高,安全漏洞的发生率更低,具有启发性。
终端设备的广泛异构性及其在本地和远程网络拓扑中的分布也为IAM带来了挑战。建立对复杂环境控制的第一步是识别并关联所有相关条件,实现这点后才可以实现智能化和自动化,以确保应用适当级别的安全控制措施。
收集和分析丰富的上下文信息集的IAM解决方案是能够应对当前和新兴的访问安全挑战的唯一技术。组织可以即时可靠地确定风险水平,并应用适当的认证强度来阻止安全违规行为,同时不影响用户的生产力和体验。
参考资料:
EMA,Contextual Awareness: Advancing Identity and Access Management to the Next Level of Security Effectiveness
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。