导语:新型智能身份管理系统正在改变组织对用户和设备进行身份验证的方式,并且它们还将身份置于新的安全边界。
新型智能身份管理系统正在改变组织对用户和设备进行身份验证的方式,并且它们还将身份置于新的安全边界。
保护数据和资产的基础,是能够以可接受的确定性识别要求访问系统的人和设备。传统意义上,身份可以通过“秘密握手”(用户ID和密码)建立,该“秘密握手”能够赋予个人用户或设备访问特定系统的权限。一旦通过验证,很少再会有什么后续措施来进一步确认身份。
如今,组织开始采取更广泛、更复杂的身份视图来验证和授权个人用户及设备,以便能提供比用户ID和密码更可靠的且基于上下文的身份确认措施。Ping Identity首席执行官Andre Durand表示,
我们需要改变当前这种基于相当静态的方式进行身份管理的状态,替换以通过智能和机器学习来进行更为实时的访问控制。
这种方法就需要更为全面的了解能够确定身份的其他因素,特别是行为和环境属性。了解有关连接到公司系统的客户、员工和设备的所有信息,就能为每个人或设备创建一个独特的身份资料,让黑客难以复制这些信息。
改变企业使用身份进行验证和授权的方式,也推动了组织内部的结构性变化。就以往来说,负责身份管理的人通常没有与安全部门相关联。但是,随着身份越来越被当作安全防御第一线看待,这种情况正在发生改变,并且也对身份管理和安全两方面产生了深远的影响。
Durand表示,
安全性吸收了身份,但身份却在侵蚀安全性。
随着组织开始转向构建以强身份验证为始的安全策略,身份将成为新的安全边界。
为什么身份管理正在发生改变?
用户ID和密码现在已经变得毫无意义,因为它们实在太容易被黑客攻击或购买到了。这也就解释了为什么需要保护高价值数据的企业,都已经开始采用双因素身份验证(2FA)这样的方法了。不过,即便是双因素身份验证(2FA)也正变得越来越不安全,因为令牌或智能手机也可能会受到损害或被盗。
如今,对绝大多数用户而言,密码不仅已经变得没用,其使用和管理起来也是特别烦人。面向消费者的企业希望能够消除客户交互中的摩擦,当然组织也希望为自己的员工做同样的事情,来清除交互上的障碍。而密码正是交互摩擦的根源所在。
除此之外,业务数字化的趋势也在增加对更好的身份管理和强身份验证的需求。通用认证供应商Nok Nok Labs的营销副总裁Jatin Maniar表示,
数字化正在推动许多过去不存在的客户过程,这些过程往往迫使开发人员在安全性和便利性之间进行权衡。更好的用户体验和安全基础可以提高参与度并改善风险态势。
Maniar进一步补充道,而想要实现更好的用户体验的一个关键步骤,就是弃用密码。这种趋势同样需要延伸到企业环境和B2C场景中,以消除客户、企业用户和联网设备使用的密码。
Maniar解释称,数字化的进程与移动设备使用量的增长密切相关,而移动设备使用量的增加反过来又可以实现更为智能的身份识别技术,如生物特征识别技术等。他说,
好消息是,消费者现在很容易采用并更喜欢生物识别技术作为其移动设备的认证手段。加上开放式身份验证FIDO标准的出台,我们从未如此接近过密码消亡的临界点,其也为数字世界更强大的安全性提供了坚实的基础。
Ping产品营销副总裁Derick Townsend表示,
安全团队越来越重视身份的原因在于,传统的基于边界的安全方法已经崩溃或瓦解了很多年,而云计算和移动办公正是驱动这种边界方法分崩离析的关键因素。如今,员工都不需要到办公室或使用办公设备办公,还谈何边界问题!而推动这种变化的另一个因素是企业外部应用的激增。这些外部应用可能是移动应用程序、私有云中运行的应用程序,或者是基于安全即服务(SaaS)的应用程序。如果说想要保护这些新型资源,就必须采用新的方法,身份管理就是实现这一点的最佳选择。
身份管理如何识别冒名顶替者和恶意行为者?
每次当您登录网站或公司系统时,都会产生许多您并不知道或并未在意的信号。这些信号可能包括您的所处位置、设备IP地址或是您键入的速度或节奏等。如果您使用的是移动设备,则会产生更多信号,例如您点击手机屏幕的力度等等。同样的,每个联网设备都有各种基于典型使用模式的信号。
收集并分析这些信号,可以让一些身份管理系统为每个用户和设备创建唯一的身份资料。然后,就可以设置确定性阈值,以标识允许访问的可信度级别。从授权的角度来看,这么做可以帮助企业以更高的准确度来授权或拒绝访问权限。
黑客仍然会不断地尝试入侵,但是智能身份管理会给他们制造入侵难度。SecureAuth + Core Security首席信息安全官Chris Sullivan表示,
如今,单因素密码对于用户而言不仅功能薄弱,而且还是一个沉重的负担。双因素明显要强些,但是对用户来说负担更重,并且已经被证实能够被黑客入侵。如今的智能身份管理可以自动验证25个因素,且无需用户回答任何问题,这无疑要好很多。
7月11日,SecureAuth + Core Security 公司发布了其“自适应身份验证”产品——Login for Windows和Login for Mac,这两款产品可以在后台处理数十个验证因素。该公司首席技术官Keith Graham表示,
通过在初始登录时对用户进行强身份验证,我们就可以信任该身份,并让用户于当天其余时间访问其他应用程序和系统时自动消除‘登录验证麻烦’。
使用智能身份管理实现实时访问控制,以及更好的用户验证体验的想法看起来很简单,但其需要处理的大量数据使实现过程变得非常困难。对此,Durand表示,
我们希望利用数据、机器学习和人工智能,来为终端用户实现免密登录的理想身份验证体验。如果说我们能够通过可以访问的任意数量的被动信号来识别用户,那就让用户登录,特别是当用户正在做的是一些低风险事情的时候。这么做可以实现很好的用户体验。当然,如果我们检测到异常行为,那么就要停止验证,标记异常,然后要求进一步的身份验证或将用户转交负责授权的人员。
一个人的身份资料还可以包含正常的网络行为。如果有人通过了初始身份验证过程,但随后做出了此人平时不会执行的操作,则身份管理系统可以标记该活动,然后要求该用户进行进一步的身份验证或者直接停止其操作。
这有助于防御设法进入系统的黑客,同时也能检测潜在的内部威胁——例如,访问超出工作所需的文件或者在奇怪的时间登录的员工。类似的,智能身份系统还可以检测来自授权设备的异常行为,从而帮助阻止或最小化分布式拒绝服务(DDoS)攻击。
这就涵盖了身份管理验证方面的内容。就验证方面而言,AI和机器学习也可以帮助管理权限。Durand解释称,
这里的愿景就是实现我所说的即时,以及赋予用户刚好够用的权限。我们如何做到只在必要时授予访问权限,并在不需要时关闭它呢?我们还希望能够控制人们可以访问的表面区域,尽可能细化或减少用户拥有的权限。当然,拥有不受限制是网上冲浪是一个不错的主意,但在需要更细粒度的控制谁在哪个时间点能看到什么的世界中,这种做法很不切实际。暂时授权一个App或者App中的有限区域是很难的。这就是所谓的‘即时’和‘够用授权’的例子。
身份管理的新角色
在最近于波士顿举办的Identiverse大会上,Ping Identity公司发布了一款“PingIntelligence for APIs”的产品,将并购Elastic Beam获得的API流量监控技术融入了Ping的身份技术中。
过去几年,API黑客攻击率不断攀升,T-Mobile和美国国税局(IRS)数据泄露事件充分表明了这一点。API漏洞能够允许黑客接管账户和应用程序,这无疑为网络运营中心(NOC)带来了更多的压力。Ping Identity的高级技术架构师Sarah Squire表示,
如今,所有的API流量在网络上来回传递,这些数据量太过庞大,已是远非人工能够处理的程度。
为了解决这一问题,Elastic Beam开发了一个平台,可以提供对客户API实时情况的深入理解——从自动发现活跃API和提供可见性,到识别API上的误用及网络攻击情况。Elastic Beam创始人Bernard Harguindeguy表示,
API流量监控是一项非常难的工作,因为一天之内产生的数据量非常庞大。成百上千的API上可能同时发生着成千上万的连接,这些API来自不同终端用户设备——浏览器、移动应用程序以及桌面应用程序等,且以不同的速度发生着。可以毫不夸张的说,API流量监视就等同于大海捞针。
Elastic Beam产品因具备“API网络安全引擎”,具备识别并自动阻止威胁的能力。但积极识别源头就是另一回事了。
如今,API主要采用OAuth等行业标准协议的令牌进行保护。Ping Identity 就是在这方面强化了Elastic Beam的可见性引擎。其另一款产品PingAccess可以帮助客户使用OAuth来保护他们的API。该安全模型假定令牌未被黑客盗取或劫持,或者已被授予访问权限的用户不打算做什么恶意的事情。用户一旦经过身份验证,基本就处于监控盲区了。通过监视用户被授权后的API行为,Elastic Beam 为公司引入了全新的安全水准和威胁检测级别。
在加入Ping之前,Elastic Beam无法访问令牌中实际用户的身份资料。加入Ping后,因为构建和读取OAuth令牌都是相同的人在做,所以Elastic Beam也就首次具备了将真正通过身份验证的用户身份与API流量联系起来,并将该行为与已知且经验证过的用户关联起来的能力。
Squire表示,PingIntelligence for APIs很容易设置,一旦建立了风险基线,该产品就能够检测并阻止DDoS攻击、内部威胁、密码破解攻击、被盗凭证攻击以及对数据和应用程序的攻击。如果攻击往API上推送异常流量,PingIntelligence for APIs 还能检测出对应用程序的零日攻击,因为其检测并非基于规则也不依赖已知攻击模式或签名来实现。
这就意味着PingIntelligence for APIs能够大幅缩短在检测到异常后识别攻击的用时。Ping在其新闻稿中宣称,其攻击识别时间从数月降至数分钟。即便市场营销用语只有一半能信,这也是很有意义的改进了。
PingIntelligence for APIs需要与企业的现有报告、NOC和安全基础架构很好的集成。这一过程可以通过两种方式实现。它可以在被Ping称为“旁带模式”(sideband mode)的情况下运行,也就是流量数据的副本被推送给PingIntelligence for APIs。在旁带模式下,实际的威胁阻止行为发生在PingIntelligence for APIs外部。当发现异常或攻击时,PingIntelligence for APIs会将威胁信息反馈给另一个产品,可能是API网关产品也可能是 Ping Access,实际的攻击阻止动作就是在这另一个产品中实现的。
除此之外,PingIntelligence for APIs还可以直接与数据流一起运行,实时分析和处理事件,在“内联模式”(inline mode)下阻止攻击。在此过程中,提供不同部署模式很重要,因为每个IT商店都会对其网络拓扑中使用的内容有自己的偏好,提供多种选项或选项组合可以充分满足客户需求。
身份正在如何改变安全性?
随着身份逐渐成为新的边界,正如Durand所认为的那样,作为安全功能的身份管理在大多数企业的混合云环境中也越来越有效。如今,组织正在围绕身份访问管理系统重新定义自己的边界。
就以往来说,身份并非安全团队的责任。如果说回到几年之前,身份管理还要向IT报告,但现在已经是向首席信息安全官(CISO)报告了。
这种现象也为管理和技术集带来了挑战。Durand表示,
我经常发现,身份管理专业人士和安全专业人士具备不同的思维模式。极少能够看到有人同时具备这两种思维,可以用身份思维连接各种事物而用安全思维保护各类系统。大多数时候,人们都习惯用某一种思维方式考虑问题。但是,这种情况正在发生改变。
身份和安全之间一直都存在相互理解上的鸿沟。对此,Durand建议称,可以针对身份和安全专业人员组织强大的培训计划。在Identiverse大会上,也有小组成员就《身份应该拥有安全吗?》的议题展开了讨论,所有专家都强调了身份管理团队与安全团队之间需要更紧密的合作。
即便智能身份管理系统充分发挥其潜力,它们也不可能提供100%的用户识别准确率。对此,Durand解释称,
信任与知道之间存在差异。在现实生活中,当我们自己不知道或无法确定某些事情时,我们就会被迫信任,且生活中绝大多数事务确定起来要么太不方便,要么太过昂贵。例如,试想一下,你有多少次开车来到一家新餐馆,并将钥匙交给门口一位穿着看起来像侍应生的陌生男孩?你内心已经做出了一个基于信任的决定,因为你知道把车停到三个街区以外实在太不方便。就身份管理而言,与现实生活类似,想要确定某些事情可能非常困难,或是要付出昂贵的代价。这就是为什么我们需要智能系统,来帮助我们确定风险并围绕访问控制做出更明智的决策。