身份驗(yàn)證是現(xiàn)代CISO的重大難題
事實(shí)上,身份驗(yàn)證之所以繼續(xù)困擾CISO主要存在以下幾點(diǎn)原因:首先,就是身份驗(yàn)證的“現(xiàn)代含義”問題。我們使用了大量術(shù)語來描述解決設(shè)備、應(yīng)用程序和系統(tǒng)所需的身份驗(yàn)證和授權(quán)方法的含義。過去,我們?cè)诜浅;镜慕Y(jié)構(gòu)中實(shí)現(xiàn)了身份驗(yàn)證:如果我需要訪問權(quán)限,在大多數(shù)情況下,我必須在不使用多因素身份驗(yàn)證(MFA)的情況下通過每個(gè)用戶/服務(wù)請(qǐng)求的憑據(jù)測試(登錄名/密碼)。
然而,現(xiàn)代身份驗(yàn)證必須考慮API和基于令牌的身份驗(yàn)證以及MFA功能,這無疑會(huì)增加復(fù)雜性。
其次,身份驗(yàn)證是一個(gè)不斷變化的攻擊目標(biāo),需要不斷重新評(píng)估新的威脅和漏洞,以安全地對(duì)用戶和設(shè)備進(jìn)行身份驗(yàn)證。超越傳統(tǒng)網(wǎng)絡(luò)的持續(xù)擴(kuò)展以及向云轉(zhuǎn)型也都起著關(guān)鍵作用。CISO要么缺乏可見性和擴(kuò)展這些環(huán)境的能力,要么需要不斷配置和更新身份驗(yàn)證網(wǎng)關(guān)及身份提供者,以跟上不斷變化的需求。
此外,不斷提高的身份驗(yàn)證嚴(yán)格程度和用戶體驗(yàn)之間的摩擦也是一個(gè)重要問題。在某些時(shí)候,最嚴(yán)格的身份驗(yàn)證對(duì)企業(yè)和員工來說都是過于繁重的負(fù)擔(dān),甚至可能無法獲得理想的效果。
身份驗(yàn)證的挑戰(zhàn)包括互操作性、可用性和漏洞
現(xiàn)代身份驗(yàn)證為CISO及其企業(yè)帶來的挑戰(zhàn)有很多,包括互操作性、可用性、技術(shù)限制和漏洞。如今,許多企業(yè)仍在努力解決用戶身份問題,但要知道,并非所有技術(shù)都足夠成熟,因此,你可能擁有不同的治理模型,甚至有時(shí)還會(huì)“隱性支持”引入安全漏洞的遺留協(xié)議。此外,API的使用和訪問方法管理可能也會(huì)因API的成熟度/功能而異。
Cybereason公司的CISOGregDay認(rèn)為,用戶體驗(yàn)才是最大的挑戰(zhàn)。沒人喜歡嘗試記住長而復(fù)雜的密碼,或者每五分鐘被提示輸入一次密碼,亦或必須為他們使用的不同進(jìn)程記住100個(gè)不同的密碼。要求用戶為每筆交易輸入自己唯一的PIN碼確實(shí)可以提高安全性,但也會(huì)增加完成交易的時(shí)長。
不斷變化的身份驗(yàn)證范式,需要安全和技術(shù)團(tuán)隊(duì)重新考慮使用零信任模型之類的方法。零信任等新策略需要對(duì)機(jī)器或設(shè)備進(jìn)行強(qiáng)身份驗(yàn)證才能予以授權(quán)。大多數(shù)企業(yè)現(xiàn)在才開始使用機(jī)器身份策略和機(jī)器憑據(jù)管理,就像人類身份識(shí)別/驗(yàn)證一樣,機(jī)器身份識(shí)別/驗(yàn)證也有多種形式和因素。因此,有效管理所有基于機(jī)器的身份驗(yàn)證可能是一項(xiàng)巨大的挑戰(zhàn)。
此外,新興的生物特征認(rèn)證概念也存在明顯的障礙。人體生物識(shí)別技術(shù)雖然更有保障,但大規(guī)模部署要困難得多,甚至這些系統(tǒng)也存在被欺騙的可能性。個(gè)人的固有生理特征(如虹膜、指紋等)以及行為特征(如筆記、步態(tài)等)都會(huì)成為鑒定個(gè)人身份的因素。然而,早在2015年,來自著名Chaos計(jì)算機(jī)俱樂部(CCC)的安全研究員JanKrissler便利用她的“標(biāo)準(zhǔn)照相機(jī)”拍攝的照片克隆了德國聯(lián)邦國防部長的指紋。之后,她又使用同樣的技術(shù)欺騙虹膜生物識(shí)別安全系統(tǒng)。
無效的身份驗(yàn)證導(dǎo)致未經(jīng)授權(quán)的訪問和數(shù)據(jù)泄露風(fēng)險(xiǎn)
無效授權(quán)會(huì)給企業(yè)帶來重大風(fēng)險(xiǎn),其結(jié)果可能體現(xiàn)在特權(quán)用戶、系統(tǒng)/機(jī)器、服務(wù)和設(shè)備上,可能導(dǎo)致未經(jīng)授權(quán)的訪問和數(shù)據(jù)泄露。在DevOps生態(tài)系統(tǒng)中,API組件可能存在多個(gè)漏洞,例如損壞的對(duì)象級(jí)授權(quán)。無效的授權(quán)還會(huì)引入泄漏的API,進(jìn)而導(dǎo)致隱私受損以及勒索軟件攻擊,為企業(yè)帶來罰款威脅。
事實(shí)上,數(shù)據(jù)是每個(gè)企業(yè)擁有的最具價(jià)值的資產(chǎn)之一,如果無法控制誰可以訪問它,那么企業(yè)必將面臨風(fēng)險(xiǎn)。我們經(jīng)常通過勒索軟件及其帶來的巨額支付需求,才清楚地意識(shí)到身份驗(yàn)證和訪問授權(quán)對(duì)現(xiàn)實(shí)世界的影響。控制誰可以訪問數(shù)據(jù)以及與誰共享數(shù)據(jù),是每個(gè)企業(yè)成功的基礎(chǔ)。
勒索軟件組織LAPSUS$入侵Okta(基于云的身份驗(yàn)證軟件提供商)內(nèi)部系統(tǒng),并造成數(shù)據(jù)泄露的案例就是最好的證明。據(jù)報(bào)道,LAPSUS$并未直接針對(duì)Okta的數(shù)據(jù)庫,而是針對(duì)Okta客戶以獲取對(duì)系統(tǒng)的超級(jí)用戶訪問權(quán)限。出于謹(jǐn)慎考慮,Okta決定重置過去四個(gè)月內(nèi)更改密碼的任何員工的Okta憑據(jù)。
有效的現(xiàn)代身份驗(yàn)證的最佳實(shí)踐
SynopsysSoftwareIntegrityGroup首席科學(xué)家SammyMigues倡導(dǎo)努力實(shí)現(xiàn)無密碼身份驗(yàn)證,并確保API到API(API-to-API)身份驗(yàn)證與員工訪問敏感文件一樣受到重視。他建議在規(guī)劃身份驗(yàn)證策略時(shí)使用NIST800-63B和類似指南。此外,要了解針對(duì)身份驗(yàn)證服務(wù)的攻擊無法避免,因此請(qǐng)?jiān)诟魈幉渴饁elocity檢查裝置以減緩自動(dòng)攻擊。
在Netskope公司的CISOLamontOrange看來,讓治理、風(fēng)險(xiǎn)和合規(guī)(GRC)團(tuán)隊(duì)參與進(jìn)來,以幫助提供現(xiàn)代身份驗(yàn)證的要求;持續(xù)測試以識(shí)別弱點(diǎn);通過部署的解決方案重新獲得可見性和上下文分析,以及積極地對(duì)員工進(jìn)行相關(guān)威脅的教育和培訓(xùn),這些也是可行的重要最佳實(shí)踐。
Cybereason公司的CISOGregDay則敦促CISO不要忽視用戶體驗(yàn)的重要性,并警告稱,如果身份驗(yàn)證過程太難或太復(fù)雜,員工會(huì)想辦法繞過現(xiàn)有的身份驗(yàn)證工具。所以,企業(yè)的長遠(yuǎn)目標(biāo)必須是找到一種方法,在所有信息系統(tǒng)中進(jìn)行基于風(fēng)險(xiǎn)的統(tǒng)一訪問管理。
