在大流行颠覆了我们的工作、学习、娱乐和生活管理方式之后,我们发现自己比以往任何时候都更紧密地联系在一起,可以更方便地访问范围更广的在线工具和体验。但随着我们在全球的数字足迹不断增长,网络威胁的风险也在不断增加。现在,经济的不确定性正在挑战组织防御不断升级的攻击所需的资源。
身份作为第一道防线,成为了新的战场。根据微软拦截的攻击数据就可以明显地看出这一点。例如,每秒钟发现1287次密码攻击,每天超过1.11亿次。在过去的一年里,密码泄露重放攻击增加到每月58亿次,而网络钓鱼攻击增加到每月3100万次,密码喷射攻击飙升至每月500万次。
图1:2018-2022年间密码相关的攻击增长情况
显然,恶意行为者并没有原地踏步。所以,我们也不能。
随着组织寻求事半功倍的机会,他们无疑会考虑安全团队的贡献。考虑到这一点,以下5个身份优先事项将以可衡量的方式为组织提供优势:
使用“纵深防御”方法防止身份泄露;
实现身份安全现代化,以更少的成本做更多的事情;
通过配置身份和网络访问解决方案协同工作,全面保护访问;
简化并自动化身份治理;
以更便宜、更快、更可靠的方式验证远程用户。
通过采用最新的身份创新,组织可以更好地保护自己的数字资产和预算。
虽然凭据攻击仍然具有毁灭性的效果,但网络犯罪分子也在以更难发现的方式升级;例如,绕过基本的多因素身份验证,诱骗用户交出他们的凭据或第二因素。他们还会通过供应商渗透到组织中,在GitHub存储库中搜索嵌入在代码中的凭据,并窃取令牌。最复杂和资金雄厚的攻击者甚至会试图接管发布令牌的基础设施。
保护用户帐户很重要,但现在的实践已经远远不够。现在必须保护标识生态系统的每一层,包括非人或工作负载标识,以及提供、存储和管理所有标识的基础设施。组织最好的选择是纵深防御方法,这需要组织的安全运营中心(SOC)和身份团队之间的密切合作:
安全态势管理:监视组织的标识系统并识别错误配置、漏洞以及缺失或不良的策略和控制;
基于身份的实时保护和补救:对目录中与用户帐户相关的任何可疑活动,根据从多个来源汇总的风险强制执行条件访问策略(Conditional Access policies);
身份威胁检测和调查:检查来自数字资产各个角落的信号,以揭示任何个人工具或团队都无法检测到的异常模式。
组织可以采取的第一步——也能获得最好的投资回报——是启用多因素身份验证。根据微软的数据显示,在一个月内被泄露的所有帐户中,超过99.9%的帐户没有使用多因素身份验证。采用防钓鱼的多因素身份验证方法,如Windows Hello、FIDO 2安全密钥和密码密钥,以及基于证书的身份验证(CBA),将能进一步降低组织风险。此外,建议阻塞遗留的身份验证,因为不太安全的协议(如POP和IMAP)不能强制执行多因素身份验证。
当传统技术经过测试、为人所熟悉时,人们可能会倾向于坚持使用这些技术,就像一辆老爷车,即便在引擎警示灯闪烁的情况下,也能顺利送你上下班。组织可能会担心业务中断以及从旧到新过渡的成本,这都是可以理解的,但是由缺乏灵活性和集成程度较低的技术组成的“拼盘”的维护成本很高,并且会在您的防御中留下漏洞。由于网络犯罪分子正在不断创新他们的策略,组织面临的风险也会增加。
现代的云原生身份解决方案具有更强的弹性、可扩展性,更够更安全的抵御现代威胁。他们还能更好地适应在当今不可预测的业务环境中竞争所必需的产品、服务和业务流程的快速变化。
如果把现代化分解成定义明确、有时间限制、好处明显的项目,它就不那么令人生畏了。从迁移Active Directory Federation Services(AD FS)开始,以简化组织的环境并退役那些本地服务器。接下来,将预集成的应用程序连接到Azure AD以获得单点登录等优势。最后,盘点您的安全环境,合并任何冗余工具以减轻管理负担,并将节省的订阅费用用于其他优先事项。
任何一个体育迷都知道,技术高超的后卫在一起沟通和合作时效率更高。组织可以通过集成当前在“孤岛”中操作的工具来加强整体安全态势。例如,许多组织采用网络访问解决方案来识别与设备和网络相关的风险,并防止恶意行为者通过网络破坏内部部署和遗留的基于web的应用程序。但是许多这些工具缺乏深入的身份识别,这可能会削弱组织的安全访问态势。
应用零信任方法意味着使用每个可用信号显式地验证每个访问请求。通过将网络访问解决方案所知道的关于网络和设备的所有信息,与身份解决方案所知道的关于用户会话的所有信息结合起来,组织可以获得最详细的会话风险图。
安全意识和缓解工作通常侧重于保护组织免受外部威胁,例如黑客使用被盗或容易猜到的凭据。但威胁也可能来自内部。例如,用户倾向于积累他们不再需要的应用程序和资源的访问权限。类似地,当项目或合同结束时,组织有时会忘记删除授予外部合作者的访问权限。组织甚至会发现前员工仍然活跃的账户,这些账户保留了对关键资源的访问权限。
这就是身份治理的用武之地。因为治理有助于降低内部风险——无论是简单的疏忽还是实际的渎职——它对各种规模、地理位置和行业的组织都至关重要。
如果组织已经有了身份治理解决方案,那么通过整合多点解决方案并采用与组织同步发展的解决方案,将能节省资金、降低复杂性并消除安全漏洞。
对许多组织来说,客户和员工的身份验证是一项重大支出。当人们申请入学、贷款和工作时,很多时间都花在手工收集和验证文件上,以证明年龄、公民身份、收入、技能、专业经验等等。如果组织将这些信息收集并存储在一个集中的数据库中,那么就要对充分保护这些信息所需要的一切负责。这不仅会给组织带来风险,也会给员工或客户带来风险——他们自然希望控制谁可以访问他们的个人信息,以及如何使用这些信息。
数字凭据最新的演进方向是可验证凭据(Verifiable credential,VC):通过加密算法与数字签名等技术实现,将物理凭据的有效性与可移植性转移至数字设备,其声明的内容、签名、元数据在几秒钟甚至毫秒内即可被进行数字验证。例如,信贷员可以通过请求雇主颁发的数字证书并实时验证来确认您当前的工作。
可验证凭据不同于物理凭据的直接电子化,且在身份层、应用层和信任层都有着本质的区别,既弥补了物理凭据的局限性,也是数字凭据的重要演进形态。它对于企业与个人的核心价值与驱动力体现在以下三方面:
市场价值:业务效率和客户体验的提升。主要体现在大幅提升企业数据安全性,优化工作流程实现降本增效,以及提供更好的用户体验来增加竞争力;
安全价值:隐私安全的保护。在类似GDRP数权法完善的大势下,VC是对个人隐私诉求的响应,也是对现有互联网商业模式的挑战,同时也是各大互联网平台面对数权运动的主要战略性选择,用来规避数据安全带的挑战。
用户价值:自主数权。基于数权法的完善,用户数权意识的觉醒,数据经济时代越来越多的人需要夺回对其生活和数据的控制权与所有权。
对于企业,VC在重塑信任与数据治理的场景上有得天独厚的优势,使用VC而不是传统电子化凭据在保证了真实可信的基础上,既保护了数据隐私,又实现了数字格式与交互的标准化,大幅降低了信任与数据治理的摩擦系数。除此之外,VC也是企业规避数据安全风险的有效手段。
参考及来源:https://www.microsoft.com/en-us/security/blog/2023/01/09/microsoft-entra-5-identity-priorities-for-2023/