快捷搜索:  网络  渗透  后门  CVE  扫描  木马  黑客  as

观点|谈谈身份与走访治理(IAM)的12大趋向

你可能已经注意到,在刚结束不久的RSA大会上大批讨论围绕“身份”放开,而且很多公司也最先将本人的产品贴上“身份与走访治理(IAM)”的标签,大谈“身份管理”、“身份违景/上下文”、“特权走访治理”、“隐衷”、“举动生物特征识别”、“生物识别平台”和“以人为中心的安全”等问题。对于这类趋向,请绝可能地习性它!

要是把收集安全市场看作一颗星球,其中每一个细分市场都盘踞一席之地——终端安满是广袤的大陆,威胁情报则是群岛——那么身份与走访治理(IAM)应该放在那里才合适呢?

环球IT安全公司Herjavec Group的首席执行官兼Shark Tank投资者Robert Herjavec表示,

“用户的问题在于他们是互动的。身份治理对于企业来说云云具有挑战性的缘故起因是,用户会入职、离职、晋升、走访敏感文件体系、同享秘要数据、发送带有潜伏隐秘信息的电子邮件、尝试走访无权查看的数据,或是尝试做我们本不该做的事情等。所以,‘一劳永逸’这类事根本不适用于我们。”

然则,荣幸的是,出色的IAM工具正变得越来越易用。Herjavec指出,诸如Sailpoint以及Saviynt等身份管理工具,和CyberArk等特权走访治理工具不仅易于治理,而且从价格上来说也是企业可以损耗得起的。

这统统发生得正好。对于IAM的需求始终都很高,但近来的数据泄露事故(Equifax)、新合规压力(GDPR)和隐衷泄露问题(Cambridge Analytica剑桥阐发公司/Facebook)都进一步增添了对身份安全以及管理的压力。正如Ping Identity公司高级手艺架构师Sarah Squire所说的那样,

“Facebook的安全团队无比棒,然则在身份安全以及管理方面却很糟糕。此外,Equifax的安全性也十分糟糕。”

到底是哪些力量正在塑造身份治理这个星系的地貌形成呢?请继续涉猎:

1. KBA(Knowledge-Based Authentication)身份验证已死

在发生了Equifax以及Alteryx(一家数据阐发公司,泄露了美国三大信用机构之一Experian的1.23亿数据)数据泄露事故以后,许多构造所使用的基于知识的身份验证(KBA)体系遭到了损坏。为什么要让客户通过确认其前雇主、住址或母亲寿辰的方式来验证他们的身份呢?因为这些信息攻击者也完全有可能知道,甚至可能把握得更多,例如,用户订阅了哪些杂志,和他们的后院是否有拍浮池等等。

2. GDPR赋予小我私人拥有其身份的所有权

 03take2.jpg

构造已经习性将数据库中的任何器械看成本人的所有物,并毫无顾忌地网络、存储、传输和出售用户的小我私人身份信息。然则如今,欧盟《通用数据维护条例》(GDPR)改变了这统统,因为它增添了构造对于身份管理的需求。

GDPR请求构造在网络或分享小我私人信息时,必须获得用户小我私人的明确许可(自动勾选的同意框不算明确许可)此外,无线黑客,小我私人还必须能够随时撤销该许可。小我私人拥有“被忘掉权”。此外,无论数据流向何方,身份信息的使用记录都必须保留。

GDPR适用于任何拥有欧盟公民数据之处,于是其会影响到全全国各地的公司,而且,它对于企业的客户以及员工都适用,因此它将会对企业内部以及外部的身份管理与安全产生重要影响。例如,专程为外部用户提供IAM服务的ForgeRock公司,就为他们的产品增添了GDPR仪表盘功能。

GDPR将于今年5月25日正式见效(在该法案正式发布的2年宽期限后),对于背反GDPR的举动将处以最高2000万欧元或年业务收入4%的罚款,详细以较高者为准。

Herjavec表示,

“GDPR真的颇有创意!与PCI同样,它将推动行业发铺,但与PCI不同的是,它会影响所有行业。可以肯定的是,继欧盟以后,加拿大以及美国也会推出属于本人版本的GDPR。”

3. 维护隐衷的身份验证需求不断增添

Squire提供了其他一些例子,来说明人们需要既能验明自身,同时又能保持其隐衷性的要领。例如,酒吧保安能否验证某人是否到了法定饮酒岁数,而无须知道他们的姓名?而当局机构又能否在不知道该人的饮酒时间以及地位的情形下,提供该验证信息?

更重要的是,交际媒体以及新网站点是否可以用此类身份验证要领,来袭击侵扰推举的虚假情报活动?例如,投票网站能否验证某人是注册选民或是某国公民吗?

Squire认为,手艺上来说,这些器械都是触手可及的。然则,现在情形发生了变迁,例如,智能手机可以存储私钥,而目前的制约在于监管。”

4. 身份管理延伸至云端

05Cloud.jpg

身份治理提供商SailPoint的首席执行官兼联合创始人Mark McClain表示,

“管理的全国是有关谁有权限走访什么器械,谁应该走访什么器械,和怎么样正确使用这些权限的全国。然则现实是,大多数损耗者距离前两条都差得很遥,更不用说第三条了。”

SailPoint以及其他身份管理及治理(IGA)解决方案提供商正在致力于加快这一进程,为前端的安全人员提供更多用户友爱型的云治理工具。然而,在后端,种种云服务却正在加重身份管理问题的复杂性,除了原有的现场(on-premise)资源外,用户最先拥有越来越多的账户来走访越来越多之处。

Saviynt是专程针对云环境设计的IGA解决方案,被称为“IGA 2.0的开拓者”。其他的一些公司(如Sailpoint以及One Identity)则通过云迁移为客户提供支持。

One Identity产品治理高级总监Jackson Shaw表示,工业控制体系环境中的预置软件尾大不掉,未来几年中云将成为一个至关复杂的身分,而这也会加重身份管理的难度以及复杂性。

5. 身份即服务(Identity as a Service)的演化

06asaservice.jpg

随着管理进入云端,身份即服务也变得越来越真实。一些治理提供商正在发铺成为全栈(full-stack)一站式市肆,以餍足用户的所有身份需求。而在今年3月份,谷歌还发布了完备的“身份即服务”产品,其使用了开放标准:云身份(Cloud Identity)。

Cloud Identity高级产品经理Vidya Nagarajan表示,

“如今,用户需要能在任何所在办公的自由,并且理解他们需要做什么、需要在哪儿做和需要用到什么设备,云云才能做好企业走访控制。”

Cloud Identity 公司的服务列表无比广泛,其单点登录支持 SAML 2.0 以及OpenID,并且可与数百种外部应用协作,包括Salesforce、SAP SuccessFactors 以及Box,和G Suite 应用程序(如Docs或Drive)等。对于使用谷歌云计算平台(GCP)资源的构造来说,Cloud Identity还提供了额外的控制功能,用于治理跨现场及云基础举措措施的混合环境用户及群组。

Cloud Identity 还为Android以及iOS设计了强盛的挪移设备治理功能,治理员可以使用一个集成控制台来完成屏幕锁定、设备查找、执行两步验证以及防收集钓鱼安全密钥,并治理Chrome阅读器的使用情形。此外,治理员还可以获得有关可疑登录、用户活动讲演与审计,和登录第三方App、站点及扩大的安全讲演以及阐发。

6. 生物识别手艺使安全变得简单易行

07biometrics.jpg

现在,智能手机以及其他挪移设备都默认内置了多种生物特征识别身份验证要领。将其添加到新的WebAuthn标准中,在线生物特征安全便可以作为强在线身份验证的低摩擦(low-friction)要领,变得愈加可行了。4月10日,FIDO联盟以及W3C联合发布了WebAuthn标准,它是一个至关精彩的标准,允许在线服务提供商通过Web阅读器提供FIDO身份验证。目前,谷歌、Mozilla、微软和Opera都采用了WebAuthn标准。

基于FIDO的生物特征识别身份验证增强了Web走访的安全性,因为它为每一个站点采用了唯一的加密凭据,消除了从某一站点窃取的暗码可能被另一站点使用的危害。

生物特征识别设备的激增也为集成商的兴起提供了机会。作为ForgeRock以及 Ping Identity等支流IAM公司的合作伙伴,Veridium创建了一个横向的生物特征识别平台,使这些公司的客户能够将任意生物特征识别身份验证要领插入其中——无论是指纹、脸部识别照样Veridium本人的四指无触点举动生物特征识别手艺等均可。

Veridium首席执行官James Strickland表示,

“我认为,让人们坚持只用一种生物特征识别手艺是无比愚蠢的举动,我已经看到如今身份治理的复杂性以及难度,我只想让身份治理变得更为简单易行。”

绝管云云,根据Veridium近来的一项调查显示,34%的受访者依然“无比坚信”仅凭暗码就足以维护数据。对此,Shaw表示,

“我认为,可能在我孙子(客岁出生)退休之前,暗码都不会退出历史舞台。”

7. 提权攻击推动特权走访治理(PAM)发铺

08privesc.jpg

提权攻击已经成为有针对性攻击的一部分,甚至不是那么有针对性的攻击也常用这类方式。解决该问题的要领之一就是对特权内部人员的走访及活动进行更为慎密亲密地控制,因为毕竟,攻击者一旦获取这些证书,就基本上算是成为内部人员了。

特权走访治理(PAM)是专为治理最高特权用户的走访凭据而设计的工具。与CyberArk之类的PAM解决方案一块儿进入市场的,还有像OnionID以及Remediant如许的新型云原生(cloud-native)PAM解决方案。

此外,CyberArk公司也在试图制约泄露的治理员凭据的问题。客岁,该公司以4200万美元的价格并购了Conjur,以帮助开发人员在无需硬编码凭据以及SSH密钥的情形下,快速推送应用程序。

8. 非结构化数据问题导致IAM与数据管理以及UEBA重叠

09unstructured.jpg

根据Varonis公司最新研究发现,三分之一的内部用户都是“幽灵用户”(即有用却不活跃),且30%的公司将超过1000个敏感文件夹对所有员工开放。

IAM行业在很大程度上关注的是对应用程序的走访。然则,随着文件体系暴出面不断扩铺,Gartner预测称,到2022年所稀有据的80%都将是非结构化的,所以只关注应用程序走访显著是不够好的做法。作为一家身份管理公司,SailPoint的目标是解决这一问题,这就导致其与Varonis之类的数据安全/管理公司和Forcepoint之类的用户以及实体举动阐发提供商产生了重叠。

McClain表示,

“你想要一张统一的视图、一个记录体系、一张神奇的电子表格。但究竟上,用户四处都有本人的ID,和本人的用户权限以及权利。用户所希翼的状态以及实在际状态需要同步起来。”

9. 危害自适应(Risk-Adaptive)的身份与举动生物特征识别持续验证

越来越多的公司正在使用举动生物特征识别来解决合法登录后发生的攻击问题。像BioCatch如许的公司就正在应用该手艺来防止会话挟制,以袭击在线欺诈举动。其他一些公司也在使用这类举动生物特征,来检测体系内部用户的异常举动,以匹敌攻击者在内部收集上的横向挪移。

Carbon Black公司首席收集安全官Tom Kellermann表示,正如二级感染的证据所显示的那样,事故响应多年来始终在失败。动态自适应的身份验证才是解决该问题的谜底,用户设备以及收集必须挑战一些不太寻常的响应,来从生物学上识别出用户身份,例如拍张挖鼻孔的自拍。

Kellermann指出,ID Data Web就是这类自适应身份安全产品的一个例子,该产品使用多个来源,以验证给定身份的准确性,然后提供续的身份验证——只有在检测到危害的时辰才会弹出验证挑战并请求用户响应

BioCatch构建的用户小我私人资料中包含有关其生物特征举动的数据——但并不包含他们的身份。它可以检测出异常举动,从而能够在非法转移资金之前阻止僵尸主机或攻击者。

这些危害自适应的“步进式”身份验证工具也被吹捧为缩小摩擦的一种方式——用户可能根本就不需要经过登录过程,除非检测到危害。

Squire诠释称,关于“零登录”的目标,就是可以通过举动生物特征识别手艺来自动提取用户的独特举动,并自动对你的身份进行验证。举例来说,要是你握手机的方式比较独特,那么无需扫描脸部或指纹,举动生物特征识别手艺就能通过这类独特举动自动通过验证。

10. IoT扩铺了机器身份的边界

11IoT.jpg

物联网极大地扩张了需要治理的机器身份数量,并赋予了普通损耗者配置、治理和维护这些机器身份,并监管机器间相互通讯方式的责任。随着越来越多的设备接入互联网,中心辐射式(hub-and-spoke)要领——即以用户小我私人智能手机为中心向周边辐射来解锁所有设备的方式,终极将再也没法扩大。

身份治理公司正在取得一定进铺,然则,他们正在解决的是昨天的问题,而且至今还没有解决完毕。此外,需要注意的是,设备、机器人和IoT设备如今都需要走访计算以及数据资源,所以它们也都必须纳入身份管理的范畴内。

11. 基于区块链的数字身份

区块链这类分布式账本平台正被广泛用于提供数字身份。在营业方面,基于IBM区块链的SecureKey是加拿大第一家专程用于受监管行业的数字身份收集。而Shocard则是一家面向企业的区块链式IAM以及单点登录(SSO)解决方案。

Evernym是一个信用社数字身份平台,其并非确立在区块链基础上,而是确立在开源分布式账本平台Sovrin上。其中,Sovrin的工作要领名为“自我主权身份”(self-sovereign identity),这是一种小我私人合法身份,每一小我私人可以选择愿意流露的信息。要是你是Sovrin收集的一员,可以构建以及珍爱本人的身份声明组合。你可以挑选以及选择在任何特定情形下同享哪些数据。借助身份声明组合,你可以逐渐拥有、构建以及控制本人的在线身份。避免了让某人未经授权就能走访你的银行以及信用账户这一危害,因为除非通过你发布的身份声明,否则那些账户永遥没法识别。

目前,Accenture以及微软已经联手创建了基于区块链的身份基础举措措施,以帮助联合国为全全国100多万名没有官方身份认证的人(譬如难民)提供了合法身份证实。

此外,在今年的RSA大会上,美国国土安整个科学与手艺部也铺示了一种名为“Verified.Me”的身份治理工具,其也是使用区块链手艺将登录功能与属性交付分开的。

12. 身份治理的专业发铺道路

2017年6月,IDPro成立,它是由Kantara项目孵化的非营利性专业会员构造,专属于身份以及走访治理从业人员。

该构造旨在构建IAM知识系统,为该领域的专业人士提供支持,确保身份及走访治理“被广泛接受为隐衷及信息安全的重要且充满活力的伙伴”,此外,该构造还希翼能够开发出一套认证机制。

*参考来源:darkreading,米雪儿编译收拾整理,

您可能还会对下面的文章感兴趣: