上下文感知:現代IAM應對新興訪問威脅的關鍵技術
責編:gltian |2020-06-22 13:36:29想象一下,在一個炎熱干燥的夏日,你的喉嚨感到異常干燥。一個人走近你,給了你一瓶水。你喝了嗎?如果你對這個問題的直接回答是“是”或“否”,你顯然還沒有考慮清楚這個問題。如果你完全關心你的人身安全,那么恰當的回答應該是:“這要看情況而定。”
了解完整的上下文的信息對你作出安全決策至關重要。作為千百萬年來生存本能的一部分,人類善于根據復雜的上下文信息做出快速判斷,這很大程度上依賴于我們天生的模式匹配技能。
然而,開發與人腦一樣有效的感知復雜背景信息威脅的IT安全解決方案并非易事。雖然智能技術(包括分析、機器學習、認知計算和自然語言處理)已經得到了很大發展,但有效利用這些資源來確定安全風險仍然取決于它們不斷攝取的上下文信息的主體。
上下文感知幾乎在每一種現代安全方法中都很重要,對于作為企業安全第一道防線的IAM(Identity and Access Management,身份識別與訪問管理)也尤為重要,因為它是授予所有企業IT資源訪問權限的入口。?實現有效IAM的最大挑戰可能是建立一套豐富的上下文信息,并根據這些信息,應用智能技術來確定組織在任何特定訪問請求中的信任級別。
但問題也隨之出現,?有太多潛在的上下文因素需要考慮,而且在發現潛在風險時,并不總是清楚哪些因素最有價值。?為了幫助組織采用和實施基于上下文感知的IAM解決方案,企業管理協會(Enterprise Management Associates,EMA)對搜集和評估不同類型上下文信息的企業進行了研究和評估。
該研究目的是對比評估不同方法的結果和經驗,以便能夠量化哪種方法在確定風險水平方面提供最大價值的方法,并使組織能夠認真負責的減少對用戶體驗的影響。
企業管理協會調查了200名對自己組織IAM管理和使用情況了解的IT專業人員,其中93%的受訪者在公司中擔任高管。受訪者大多位于北美,分布在各種行業類型和規模。
一、上下文數據收集
- 上下文信息評估
在調查中,?96%的受訪者表示目前在認證過程中已積累和評估了一些上下文數據,通常是最基本的信息?——設備類型、設備操作系統、訪問發起時間及用戶角色信息(通常從目錄服務中獲取,如AD),用于支持條件策略。
例如,如果正在使用智能手機,可以通過短信息發送一次性密碼。但僅如此不能確定允許訪問所帶來的風險水平,那些僅采集四類基本信息的組織表達了對IAM解決方案的不滿。
有趣的是,?受訪者稱,最有價值的上下文信息往往是IAM解決方案搜集頻率最低的信息。
對IAM解決方案滿意度最高的組織是收集了?公共托管環境安全狀態信息?的組織——與IAM的最大挑戰來自于對公有云和WEB服務的支持認知相一致。
目前只有約三分之一的受訪者表示他們采用的解決方案支持這一能力。如果不能與服務提供商直接集成,就很難確定與托管企業應用和數據的公共環境相關聯的威脅級別,而現有的IAM解決方案本身無法記錄相關信息。
受訪者同時對收集了?在終端上運行的活動進程的上下文信息?和?用戶行為生物特征信息?的IAM解決方案表達了較高的滿意程度。目前,普遍認證這兩類信息最不可能被收集。
對終端活動進程信息的評估可用于確定設備是否已被惡意軟件感染、是否已被root或越獄、是否正在運行風險軟件或惡意軟件,或是否被監視。
高級功能可支持將當前正在運行的進程與最常運行的進程的基線“指紋”相對比,以確定設備的已知所有者是請求訪問的當前用戶的可能性。?使用收集終端活動進程信息的IAM解決方案的組織被勒索軟件或間諜軟件感染的可能性降低了46%?。
- 行為特征
行為特征數據是最少搜集,也是搜集起來最為復雜的一類上下文信息。行為特征解決方案通常通過主動評估用戶與系統的交互行為來判斷訪問企業IT資源的是否是用戶本人,相關平臺使用終端設備(比如移動設備)內置的傳感器收集各類用戶行為信息。
分析表明,?最常被識別的行為特征是用戶在刷屏時常用的速度和壓力大小?。類似的,通過計算用戶按下和放開鍵盤上的鍵所需的時間,擊鍵動力學也常用來識別用戶身份。大部分行為特征分析方案結合多種技術來確定用戶身份。對調查對象的調研顯示,在?刷屏、擊鍵動力學、設備方向、簽名識別、用戶手勢、聲音模式、步態分析?等7個常見行為特征中,約有3個指標具有一定效果。
行為特征識別最明顯的價值在于可以提升身份驗證過程的便利性,消除驗證過程所帶來的問題。能夠在用戶無感知的情況下對用戶進行持續的評估。
當身份足夠可信時,用戶無需輸入密碼或執行其他麻煩的操作即可完成對業務的訪問。并且,還應注意的是,?評估行為特征可以極大的提高安全有效性—能夠讓違規事件的發生率遠遠低于采用其他方案的組織?。
用一組數據表示,則是:1)用戶與對等方共享憑據的事件減少了21%;2)密碼泄露事件減少48%;3)未經授權的用戶訪問業務應用程序的事件減少了74%。
- 上下文收集工具
58%的受訪者表示,上下文信息是由組織采用的IAM平臺收集,?不同IAM產品搜集的上下文信息也不同。其中,數據通常通過在終端設備、應用和服務托管環境上安裝和運行的軟件來搜集。也有些方案采用“無代理”方式,利用現有的操作系統服務(如SNMP、WMI或NetFlow)從各種資源收集信息。
但即使效果最好的IAM產品也無法搜集所有可能與每個業務環境相關的上下文信息,因此經常必須訴諸于訴諸于?和第三方管理技術的集成,以建立一個全面的上下文數據集?。其中,四個管理系統通常用與IAM無直接關聯,但都能為IAM提供上下文信息。
- 網絡監控系統提供關鍵信息,說明終端設備和訪問的服務間的通信如何路由,以及這些連接提供的安全級別。系統還可以識別終端上發生的任何風險或不安全的通信(可能表明設備已被破壞)。
- 密碼監控解決方案不斷評估用戶憑據的可行性,甚至可以確定密碼是否已被泄露,并發表在暗網上。
- 日志分析工具不斷地從操作系統、應用、日志文件和數據收集存儲庫收集信息流,并智能地確定是否發出了可能指示終端或托管服務器處于風險中的任何警報。
- 惡意軟件檢測工具可以向IAM服務發出警報,當設備感染了病毒、間諜軟件、勒索軟件或其他惡性軟件。
約有24%的受訪者認為缺乏整合是目前解決方案的主要問題,需要對IAM平臺作出改變,?建立一組豐富的上下文信息的關鍵組件。?與第三方平臺集合可以有效防止重復數據搜集工作,為IAM產品帶來的很大的好處。一組全面的上下文詳細信息也為引入動態訪問提供了基礎。
二、自適應風險檢測與認證
- 智能技術采用
單純就上下文信息而言,對提高IAM能力作用不大,需要數據分析能力;同時,一組全面的上下文數據非常復雜,手動關聯和識別無法識別有價值信息,需要自動化能力。?將數據分析能力、自動化流程與上下文數據結合,實時的實現動態身份認證,才可以提高IAM有效性。
93%的受訪者表示,組織使用某種類型的智能技術來評估支持IAM的上下文信息;73%的受訪者表示在使用分析技術。目前,最常用于支持IAM的是用戶行為分析(UBA),身份分析的可用性和采用率也在不斷提高。
身份分析方法通過關聯與訪問事件相關的上下文信息來檢測訪問風險或訪問濫用。?常見的示例是訪問時間與終端設備的地理位置的關聯。如果從北京發出訪問請求,而用戶最后一次登錄是在距紐約一小時之前,則系統可以識別出用戶根本不可能在如此短的時間內傳送到地球的另一邊,并且可以立即拒絕訪問。采用此類解決方案的受訪者表示,發現他們的用戶憑證被泄露并發布在暗網上的可能性降低了65%。
機器學習?也在被采用,它?可以隨著時間的推移監視上下文信息和活動,以便建立可預測的數學算法?。基于機器學習技術,提升用戶身份認證體驗的技術應用較廣。采用此類技術的受訪者表示,遭受勒索軟件攻擊的可能性降低了72%,感染計算機病毒的可能性降低了34%。
- 執行基于條件的活動
一旦完成上下文信息的收集和分析,即可以用各種有價值和有趣的方式利用智能技術。受訪者表示,最簡單和最常見的用途是通過第三方自動化和編排啟動操作。如果某個條件存在,那么它可以執行預定義的操作。
自動操作?可能是良性的(例如,在檢測到風險活動時向IT管理員發送警報消息),也可能對身份驗證過程采取直接操作(例如,如果檢測到設備處于根目錄或越獄狀態,則阻止對業務帳戶的訪問)。但目前,?在大多數評估案例中采用的IAM方案缺乏自動化能力?。
受訪者還經常提到?基于策略的訪問控制?——訪問策略與單個用戶配置文件一起說明哪些用戶可以訪問哪些應用和數據、允許動作如何、訪問權限時長度。配置訪問策略可以基于非常具體的條件,如用戶通過不安全的網絡使用非業務設備來訪問機密信息,則拒絕訪問。
這種方法面臨的挑戰是,?必須界定每種可能的語境條件組合,以適應現實世界中不斷變化的條件?。這是一項不可能完成的任務。通常,組織無法定義關鍵的上下文考慮因素,將業務暴露在不可預見的風險中,或者在定義策略時變得過于繁重,從而產生了顯著且不必要的訪問阻礙,從而降低了最終用戶的生產效率。
智能技術?可以快速關聯復雜的上下文信息以確定安全策略違反的可能性,因此可用于確定訪問事件造成的風險級別。單個上下文元素(例如用戶通過公共網絡訪問業務資源)本身可能不會引起警報,但事件組合(例如,運行不可信軟件的不安全網絡上的不安全設備)可能會越過一個值得關注的閾值。
通常,IAM方案可將潛在威脅表示為單個數值(風險分數),然后引入策略,根據風險評分的值進行自動化響應。例如,較高的風險分數可能會限制允許用戶訪問的資源的數量和類型。所需認證因素的數量和強度可以根據風險水平進行相應的更改。
智能分析用來進行風險評分也有助于實現?逐步增強的多因素身份驗證(MFA)?。認證因子的數量和強度可根據風險評分改變。在低風險的情況下,一個簡單的無密碼驗證即可安全的啟用業務訪問。但在高風險情況下,需要額外的強身份驗證方式(如輸入OTP碼)。
隨著支持訪問各種公共WEB服務的需求日益增長,?webhook支持?也成為IAM面臨的最大挑戰,webhook支持的價值變得顯而易見。Web開發人員通常構建自定義代碼或“鉤子”,持續監視預定義的條件并通過執行特定的任務來響應。直接從IAM平臺觸發這些webhook的能力使該方案能夠集中管理和實施訪問策略,而無需構建自定義的集成點。
但目前僅有約22%的受訪者表示,組織IAM方案可遠程觸發webhook,而這些受訪者對IAM方案總體滿意度最高。在具備wehook能力的受訪者中,所有類型的違規事件平均比缺乏這一能力的組織低79%,該方法的主要優點包括:
- 確保用戶使用強大且未泄漏密碼的挑戰排名降低了16%;
- 安全訪問公有云和網站上托管的IT資源的挑戰排名降低了11%;
- 跨異構終端統一身份驗證過程的挑戰排名降低了13%;
- 建立適應不斷變化的條件的訪問策略的挑戰排名降低了10%
三、自適應自動化的管理價值
采用智能技術實現IAM自動化,提高了安全效率,也提高了用戶生產力,并且為管理過程提供了重要的價值。?約90%的受訪者表示他們可以量化特定的IT管理改進手段,常用指標為總體IT管理時間。
采用自動化的IAM方式,無需手動定義復雜的訪問策略、定期審核訪問事件和手動評估潛在風險,而可以動態調整訪問過程以滿足不斷變化的需求,同時收集和報告改進安全策略所需的基本信息。
自動化手段還可以通過減少甚至消除管理員需要執行的任務的數量來最小化管理工作。例如,入職和/或離職用戶的流程可以自動化,以便在用戶進入公司目錄后立即啟用或禁用帳戶。
此外,自動化可以減少執行憑證重置和啟用完全不需要任何管理員交互的用戶自助服務進程的需求。大多數受訪者還指出,自動化流程可以降低IT管理成本。
四、企業管理協會的觀點
為了保證安全性和法規遵從性的要求,企業往往采用強身份認證,復雜的授權流程來確保安全性而犧牲了便利性。現代IAM方案的主要重點是保證安全性的同時,提供良好的用戶訪問體驗和便利性,其中訪問發生的上下文信息至關重要。
除了用戶角色、設備類型、地理位置等基礎信息外,行為特征信息、終端設備運行的活動進程、開放網絡連接以及被訪問資源的敏感性信息必須綜合考慮才能準確評估授權訪問業務資源的風險。
企業管理協會的調查評估結果提供了強有力的指標,表明保護企業應用和數據的主要約束因素正在提高IT生態系統的復雜性。
特別是,支持公共WEB和云服務的需求不斷增加,為訪問管理流程帶來了嚴峻的挑戰,加劇了違規事件的風險——因為大多數組織缺乏集中管理分布在多個托管環境中資源的訪問策略能力。企業亟需升級IAM解決方案以適應挑戰。
調研表明,那些?采用具有公有云和WEB支持功能(如觸發webhook的能力)的IAM解決方案的組織滿意度更高,安全漏洞的發生率更低,具有啟發性?。
終端設備的廣泛異構性及其在本地和遠程網絡拓撲中的分布也為IAM帶來了挑戰。?建立對復雜環境控制的第一步是識別并關聯所有相關條件?,實現這點后才可以實現智能化和自動化,以確保應用適當級別的安全控制措施。
收集和分析豐富的上下文信息集的IAM解決方案是能夠應對當前和新興的訪問安全挑戰的唯一技術。?組織可以即時可靠地確定風險水平,并應用適當的認證強度來阻止安全違規行為,同時不影響用戶的生產力和體驗。
轉載自:安全內參