SailPoint公司首席信息安全官雷克斯·布斯 (Rex Booth) 认为,生物识别技术可能会提供一种通向无摩擦访问(Frictionless Access)的途径,有效平衡安全性和用户业务需求之间的矛盾。
在过去几年中,随着组织探索新的安全方法,“无口令”、“零信任”和“数字化转型”等术语变得越来越流行。行业当中比较厌倦的人可能会将这些术语视为流行语,但它们的流行意味着它们是行业关注的有意义的指标。
最近,另一个新术语开始出现:“无摩擦访问”。随着世界数字化进程的加速,组织希望确保他们的员工能够在正确的时间访问正确的系统和正确的信息,并尽可能减少障碍。显然,许多障碍的存在都是有原因的。如果没有登录屏幕、多因素身份验证 (MFA)、访问请求和其他形式的“摩擦”,组织就会陷入易受网络攻击的窘境。
那么,无摩擦访问什么时候变得太无摩擦了?安全团队如何安全地消除摩擦,以及他们可以在哪些方面减少干扰?企业必须找到正确的平衡点:弄清楚如何在不让企业容易受到攻击的情况下实现无摩擦访问。
无摩擦访问需求在上升
对无摩擦访问的推动反映了CISO和安全办公室不断扩大的期望。仅仅防止坏事发生已经不够了——CISO还需要成为业务推动者。用户对出于好意而建立的控制措施的容忍度越来越低,他们认为这阻碍了正常的业务运营。即使是最基本的安全功能也会让员工感到沮丧。当人们最后一次被告知更改口令时,会作何感想?
用“因为:安全”来证明这种挫败感在今天已经站不住脚了。CISO应该了解业务并支持业务——而不是妨碍业务。安全团队应该与业务一起发展,并且永远了解用户。这意味着找到更智能地实施安全性的方法,并优先考虑能够适应业务不断发展变化的需求的工具。就像之前的“零信任”一样,将“无摩擦”更多地看作是一段旅程而不是目的:即使不可能部署真正的无摩擦访问,为减少摩擦而采取的每一步都可以作为有价值的业务推动因素。
摩擦发生在什么地方?
寻求减少摩擦的组织需要了解存在摩擦的地方。帮助台票是一个很好的起点。票证不会总是揭示需要发生什么变化——毕竟用户报告的是症状而不是根本原因。但只需进行最少的分析,企业就可以发现改善用户体验的绝佳机会。这些门票可以提供对更广泛问题的微小但重要的一瞥。
分布在CISO和运营安全团队之外的人员对于理解摩擦点也很重要。随着组织将安全运营导向业务支持,许多组织正在设立业务信息安全官 (BISO) 职位。这些职位的工作人员专门花时间学习这部分业务,找出痛点,并为业务和网络安全提出双向建议。
但从没有正式安全角色的员工那里收集反馈同样重要。积极从不同业务部门的不同资历的利益相关者那里寻求不同的观点,有助于形成对摩擦点的全面理解,并让安全领导者最好地优先考虑他们的补救工作。寻找对安全感兴趣的同事并作为联络人与他们一起工作,使他们成为强大的安全冠军计划的一部分。此类计划有助于提供“脚踏实地”的观点,了解不同的安全举措如何影响员工的日常生活。
实用的无摩擦访问方法
团队收到员工的意见后,优先考虑最重要的痛点进行重新设计。同样,这里的目标不一定是消除摩擦,而是将其最小化。员工可能不喜欢当前的MFA实施,但消除交互中的所有摩擦将意味着完全消除MFA,从而使组织暴露在外。相反,考虑一种低摩擦的MFA方法,例如,相当容易部署的生物识别技术。我们仍然可能会有一些摩擦,但与等待一次性口令通过SMS到达或要求员工从身份验证应用程序输入数字相比,生物识别技术远没有那么令人沮丧和耗时。
一旦实施了影响大、工作量小的补救措施,请考虑团队可以将其与更广泛的安全目标相结合的改进机会。例如,如果过期的证书或频繁而繁重的访问请求是问题所在,也许是时候重新评估组织的身份识别方法了。证书管理和授权管理等任务曾经可以手动执行,但即使是中等规模的企业也可能拥有数以千计的身份乘以数以千计的企业应用程序。庞大的数字使手动管理实际上变得不可能,并增加了人为错误的可能性。找到一款可以满足不断变化的访问需求的产品,让员工更轻松地获取所需信息,而无需让帮助台被无休止的请求淹没。
最后,不要在全新项目中引入额外的摩擦。安全团队需要采用交付服务而非控制的视角。很多时候,安全从业者只专注于阻止坏事发生。虽然重要,但转变这种思维方式以包括改善用户体验和将安全视为业务推动因素可能会产生重大影响。这种微妙但重要的视角变化有助于促进安全团队与业务团队之间的协作关系,而不是对抗关系。
预计无摩擦访问将继续成为热门话题。但重要的是要记住,我们需要一定程度的摩擦——没有它,组织会让自己处于危险的攻击者面前。公司需要在保护和支持之间取得平衡。转向无摩擦访问意味着有意识地确定摩擦有意义的地方以及团队可以安全地减少摩擦的地方,以使员工的生活更轻松。通过盘点组织中存在摩擦的地方并寻求将其最小化的方法,安全团队可以不再是“拒绝办公室”,而是开始被视为真正的业务推动者。
参考资源
https://www.scmagazine.com/perspective/identity-and-access/frictionless-access-the-next-buzzword-and-why-it-matters
声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。