你可能已经注意到,在刚结束不久的RSA大会上大量讨论围绕“身份”展开,而且很多公司也开始将自己的产品贴上“身份与访问管理(IAM)”的标签,大谈“身份治理”、“身份背景/上下文”、“特权访问管理”、“隐私”、“行为生物特征识别”、“生物识别平台”以及“以人为中心的安全”等问题。对于这种趋势,请尽可能地习惯它!
如果把网络安全市场看作一颗星球,其中每个细分市场都占据一席之地——终端安全是广袤的大陆,威胁情报则是群岛——那么身份与访问管理(IAM)应该放在哪里才合适呢?
全球IT安全公司Herjavec Group的首席执行官兼Shark Tank投资者Robert Herjavec表示,
“用户的问题在于他们是互动的。身份管理对于企业来说如此具有挑战性的原因是,用户会入职、离职、晋升、访问敏感文件系统、共享机密数据、发送带有潜在秘密信息的电子邮件、尝试访问无权查看的数据,或是尝试做我们本不该做的事情等。所以,‘一劳永逸’这种事根本不适用于我们。”
但是,幸运的是,出色的IAM工具正变得越来越易用。Herjavec指出,诸如Sailpoint和Saviynt等身份治理工具,以及CyberArk等特权访问管理工具不仅易于管理,而且从价格上来说也是企业可以消费得起的。
这一切发生得恰好。对于IAM的需求一直都很高,但最近的数据泄露事件(Equifax)、新合规压力(GDPR)以及隐私泄露问题(Cambridge Analytica剑桥分析公司/Facebook)都进一步增加了对身份安全和治理的压力。正如Ping Identity公司高级技术架构师Sarah Squire所说的那样,
“Facebook的安全团队非常棒,但是在身份安全和治理方面却很糟糕。此外,Equifax的安全性也十分糟糕。”
到底是哪些力量正在塑造身份管理这个星系的地貌形成呢?请继续阅读:
1. KBA(Knowledge-Based Authentication)身份验证已死
在发生了Equifax和Alteryx(一家数据分析公司,泄露了美国三大信用机构之一Experian的1.23亿数据)数据泄露事件之后,许多组织所使用的基于知识的身份验证(KBA)系统遭到了破坏。为什么要让客户通过确认其前雇主、住址或母亲生日的方式来验证他们的身份呢?因为这些信息攻击者也完全有可能知道,甚至可能掌握得更多,例如,用户订阅了哪些杂志,以及他们的后院是否有游泳池等等。
2. GDPR赋予个人拥有其身份的所有权
组织已经习惯将数据库中的任何东西看成自己的所有物,并毫无顾忌地收集、存储、传输以及出售用户的个人身份信息。但是如今,欧盟《通用数据保护条例》(GDPR)改变了这一切,因为它增加了组织对于身份治理的需求。
GDPR要求组织在收集或分享个人信息时,必须获得用户个人的明确许可(自动勾选的同意框不算明确许可)此外,个人还必须能够随时撤销该许可。个人拥有“被遗忘权”。此外,无论数据流向何方,身份信息的使用记录都必须保留。
GDPR适用于任何拥有欧盟公民数据的地方,因而其会影响到全世界各地的公司,而且,它对于企业的客户和员工都适用,因此它将会对企业内部和外部的身份治理与安全产生重要影响。例如,专门为外部用户提供IAM服务的ForgeRock公司,就为他们的产品增加了GDPR仪表盘功能。
GDPR将于今年5月25日正式生效(在该法案正式发布的2年宽限期后),对于违反GDPR的行为将处以最高2000万欧元或年营业收入4%的罚款,具体以较高者为准。
Herjavec表示,
“GDPR真的很有创意!与PCI一样,它将推动行业发展,但与PCI不同的是,它会影响所有行业。可以肯定的是,继欧盟之后,加拿大和美国也会推出属于自己版本的GDPR。”
3. 保护隐私的身份验证需求不断增加
Squire提供了其他一些例子,来说明人们需要既能验明自身,同时又能保持其隐私性的方法。例如,酒吧保安能否验证某人是否到了法定饮酒年龄,而不必知道他们的姓名?而政府机构又能否在不知道该人的饮酒时间和位置的情况下,提供该验证信息?
更重要的是,社交媒体和新网站点是否可以用此类身份验证方法,来打击扰乱选举的虚假情报活动?例如,投票网站能否验证某人是注册选民或是某国公民吗?
Squire认为,技术上来说,这些东西都是触手可及的。但是,现在情况发生了变化,例如,智能手机可以存储私钥,而目前的限制在于监管。”
4. 身份治理延伸至云端
身份管理提供商SailPoint的首席执行官兼联合创始人Mark McClain表示,
“治理的世界是有关谁有权限访问什么东西,谁应该访问什么东西,以及如何正确使用这些权限的世界。但是现实是,大多数消费者距离前两条都差得很远,更不用说第三条了。”
SailPoint和其他身份治理及管理(IGA)解决方案提供商正在致力于加快这一进程,为前端的安全人员提供更多用户友好型的云管理工具。然而,在后端,各种云服务却正在加剧身份治理问题的复杂性,除了原本的现场(on-premise)资源外,用户开始拥有越来越多的账户来访问越来越多的地方。
Saviynt是专门针对云环境设计的IGA解决方案,被称为“IGA 2.0的开拓者”。其他的一些公司(如Sailpoint和One Identity)则通过云迁移为客户提供支持。
One Identity产品管理高级总监Jackson Shaw表示,工业控制系统环境中的预置软件尾大不掉,未来几年中云将成为一个相当复杂的因素,而这也会加剧身份治理的难度和复杂性。
5. 身份即服务(Identity as a Service)的演变
随着治理进入云端,身份即服务也变得越来越真实。一些管理提供商正在发展成为全栈(full-stack)一站式商店,以满足用户的所有身份需求。而在今年3月份,谷歌还发布了完整的“身份即服务”产品,其使用了开放标准:云身份(Cloud Identity)。
Cloud Identity高级产品经理Vidya Nagarajan表示,
“如今,用户需要能在任何地点办公的自由,并且理解他们需要做什么、需要在哪儿做以及需要用到什么设备,如此才能做好企业访问控制。”
Cloud Identity 公司的服务列表非常广泛,其单点登录支持 SAML 2.0 和OpenID,并且可与数百种外部应用协作,包括Salesforce、SAP SuccessFactors 和Box,以及G Suite 应用程序(如Docs或Drive)等。对于使用谷歌云计算平台(GCP)资源的组织来说,Cloud Identity还提供了额外的控制功能,用于管理跨现场及云基础设施的混合环境用户及群组。
Cloud Identity 还为Android和iOS设计了强大的移动设备管理功能,管理员可以使用一个集成控制台来实现屏幕锁定、设备查找、执行两步验证和防网络钓鱼安全密钥,并管理Chrome浏览器的使用情况。此外,管理员还可以获得有关可疑登录、用户活动报告与审计,以及登录第三方App、站点及扩展的安全报告和分析。
6. 生物识别技术使安全变得简单易行
现在,智能手机和其他移动设备都默认内置了多种生物特征识别身份验证方法。将其添加到新的WebAuthn标准中,在线生物特征安全便可以作为强在线身份验证的低摩擦(low-friction)方法,变得更加可行了。4月10日,FIDO联盟和W3C联合发布了WebAuthn标准,它是一个相当精彩的标准,允许在线服务提供商通过Web浏览器提供FIDO身份验证。目前,谷歌、Mozilla、微软以及Opera都采用了WebAuthn标准。
基于FIDO的生物特征识别身份验证增强了Web访问的安全性,因为它为每个站点采用了唯一的加密凭证,消除了从某一站点窃取的密码可能被另一站点使用的风险。
生物特征识别设备的激增也为集成商的兴起提供了机会。作为ForgeRock和 Ping Identity等主流IAM公司的合作伙伴,Veridium创建了一个横向的生物特征识别平台,使这些公司的客户能够将任意生物特征识别身份验证方法插入其中——无论是指纹、面部识别还是Veridium自己的四指无触点行为生物特征识别技术等均可。
Veridium首席执行官James Strickland表示,
“我认为,让人们坚持只用一种生物特征识别技术是非常愚蠢的行为,我已经看到如今身份管理的复杂性和难度,我只想让身份管理变得更为简单易行。”
尽管如此,根据Veridium最近的一项调查显示,34%的受访者依然“非常坚信”仅凭密码就足以保护数据。对此,Shaw表示,
“我认为,可能在我孙子(去年出生)退休之前,密码都不会退出历史舞台。”
7. 提权攻击推动特权访问管理(PAM)发展
提权攻击已经成为有针对性攻击的一部分,甚至不是那么有针对性的攻击也经常使用这种方式。解决该问题的方法之一就是对特权内部人员的访问及活动进行更为密切地控制,因为毕竟,攻击者一旦获取这些证书,就基本上算是成为内部人员了。
特权访问管理(PAM)是专为管理最高特权用户的访问凭证而设计的工具。与CyberArk之类的PAM解决方案一起进入市场的,还有像OnionID和Remediant这样的新型云原生(cloud-native)PAM解决方案。
此外,CyberArk公司也在试图限制泄露的管理员凭证的问题。去年,该公司以4200万美元的价格并购了Conjur,以帮助开发人员在无需硬编码凭证和SSH密钥的情况下,快速推送应用程序。
8. 非结构化数据问题导致IAM与数据治理和UEBA重叠
根据Varonis公司最新研究发现,三分之一的内部用户都是“幽灵用户”(即有效却不活跃),且30%的公司将超过1000个敏感文件夹对所有员工开放。
IAM行业在很大程度上关注的是对应用程序的访问。但是,随着文件系统暴露面不断扩大,Gartner预测称,到2022年所有数据的80%都将是非结构化的,所以只关注应用程序访问显然是不够好的做法。作为一家身份治理公司,SailPoint的目标是解决这一问题,这就导致其与Varonis之类的数据安全/治理公司以及Forcepoint之类的用户和实体行为分析提供商产生了重叠。
McClain表示,
“你想要一张统一的视图、一个记录系统、一张神奇的电子表格。但事实上,用户到处都有自己的ID,以及自己的用户权限和权利。用户所希望的状态和其实际状态需要同步起来。”
9. 风险自适应(Risk-Adaptive)的身份与行为生物特征识别持续验证
越来越多的公司正在使用行为生物特征识别来解决合法登录后发生的攻击问题。像BioCatch这样的公司就正在应用该技术来防止会话劫持,以打击在线欺诈行为。其他一些公司也在使用这种行为生物特征,来检测系统内部用户的异常行为,以对抗攻击者在内部网络上的横向移动。
Carbon Black公司首席网络安全官Tom Kellermann表示,正如二级感染的证据所显示的那样,事件响应多年来一直在失败。动态自适应的身份验证才是解决该问题的答案,用户设备和网络必须挑战一些不太寻常的响应,来从生物学上识别出用户身份,例如拍张挖鼻孔的自拍。
Kellermann指出,ID Data Web就是这种自适应身份安全产品的一个例子,该产品使用多个来源,以验证给定身份的准确性,然后提供续的身份验证——只有在检测到风险的时候才会弹出验证挑战并要求用户响应
BioCatch构建的用户个人资料中包含有关其生物特征行为的数据——但并不包含他们的身份。它可以检测出异常行为,从而能够在非法转移资金之前阻止僵尸主机或攻击者。
这些风险自适应的“步进式”身份验证工具也被吹捧为减少摩擦的一种方式——用户可能根本就不需要经过登录过程,除非检测到风险。
Squire解释称,关于“零登录”的目标,就是可以通过行为生物特征识别技术来自动提取用户的独特行为,并自动对你的身份进行验证。举例来说,如果你握手机的方式比较独特,那么无需扫描面部或指纹,行为生物特征识别技术就能通过这种独特行为自动通过验证。
10. IoT扩大了机器身份的边界
物联网极大地扩张了需要管理的机器身份数量,并赋予了普通消费者设置、管理以及保护这些机器身份,并监管机器间相互通信方式的责任。随着越来越多的设备接入互联网,中心辐射式(hub-and-spoke)方法——即以用户个人智能手机为中心向周边辐射来解锁所有设备的方式,最终将再也无法扩展。
身份管理公司正在取得一定进展,但是,他们正在解决的是昨天的问题,而且至今尚未解决完毕。此外,需要注意的是,设备、机器人以及IoT设备如今都需要访问计算和数据资源,所以它们也都必须纳入身份治理的范畴内。
11. 基于区块链的数字身份
区块链这种分布式账本平台正被广泛用于提供数字身份。在业务方面,基于IBM区块链的SecureKey是加拿大第一家专门用于受监管行业的数字身份网络。而Shocard则是一家面向企业的区块链式IAM和单点登录(SSO)解决方案。
Evernym是一个信用社数字身份平台,其并非建立在区块链基础上,而是建立在开源分布式账本平台Sovrin上。其中,Sovrin的工作方法名为“自我主权身份”(self-sovereign identity),这是一种个人合法身份,每个人可以选择愿意透露的信息。如果你是Sovrin网络的一员,可以构建和维护自己的身份声明组合。你可以挑选和选择在任何特定情况下共享哪些数据。借助身份声明组合,你可以逐渐拥有、构建和控制自己的在线身份。避免了让某人未经授权就能访问你的银行和信用账户这一风险,因为除非通过你发布的身份声明,否则那些账户永远无法识别。
目前,Accenture和微软已经联手创建了基于区块链的身份基础设施,以帮助联合国为全世界100多万名没有官方身份认证的人(比如难民)提供了合法身份证明。
此外,在今年的RSA大会上,美国国土安全部科学与技术部也展示了一种名为“Verified.Me”的身份管理工具,其也是使用区块链技术将登录功能与属性交付分开的。
12. 身份管理的专业发展道路
2017年6月,IDPro成立,它是由Kantara项目孵化的非营利性专业会员组织,专属于身份和访问管理从业人员。
该组织旨在构建IAM知识体系,为该领域的专业人士提供支持,确保身份及访问管理“被广泛接受为隐私及信息安全的重要且充满活力的伙伴”,此外,该组织还希望能够开发出一套认证机制。
声明:本文来自FreeBuf,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。