身份管理的12個趨勢
責編:gltian |2018-05-11 13:22:34在IAM公司的大力宣傳下,網絡安全市場上已經形成了自成體系的“身份”細分市場。
剛結束不久的RSA大會上或許已現端倪:大量討論圍繞身份展開,很多公司將自己的產品往身份與訪問管理(IAM)上靠,展位上掛滿“身份治理”、“身份上下文”、“特權訪問管理”、“隱私”、“行為生物特征識別”、“生物特征平臺”、“以人為中心的安全”等等標簽。
如果網絡安全市場是個星球,每個細分市場占據其中一塊,那么終端安全就是廣袤的大陸,威脅情報則是群島;IAM又應該落到哪個位置呢?
或許哪里都不適合,IAM自成體系。
用戶的問題在于互動性。企業身份管理工作之所以難做,是因為用戶的身份和行為多變,入職、離職、升遷、訪問敏感文件系統、共享機密數據、發送帶秘密信息的郵件、訪問沒有權限查看的數據、嘗試本不該做的事情等等。身份管理上不存在一勞永逸這碼事,想設置一次就不用再管是不可行的。
但幸運的是,IAM正變得越來越容易,Sailpoint和Saviynt之類身份治理工具及CyberArk等特權訪問管理工具不僅可控,價格也是企業負擔得起的。
這一切來得正好。IAM需求一直都很高,但最近的數據泄露(Equifax)、新合規壓力(GDPR)和隱私問題(Cambridge Analytica/Facebook)進一步推高了對身份安全與治理的重壓。
Facebook的安全團隊超棒,但其監管很糟。Equifax則是徹底的安全悲劇。
到底有哪些力量在塑造身份管理小世界的地形地貌呢?不妨看看下列12個趨勢:
1. KBA身份驗證已死
Equifax數據泄露之后,傳統基于知識的身份驗證(KBA)系統就已分崩離析。為什么要讓客戶通過確認其前雇主、住址或母親生日的方式來驗證客戶身份呢?這些東西攻擊者也全都知道啊,而且沒準兒知道得更多,連用戶訂閱了哪些雜志,后院有沒有泳池都知道。
2. GDPR將身份回歸個人手中
公司企業越來越慣于將數據庫中的東西當成自己的所有物,幾乎毫無顧忌地收集、存儲、傳輸、買賣用戶的個人可識別信息(PII)。GDPR改變了這一切,提高了企業對身份治理的需求。
GDPR要求企業收集或共享個人信息時必須獲得用戶的明確許可——自動勾選的同意框可不算明確許可,而且個人還應可以隨時撤銷該許可。個人擁有“被遺忘的權力”。另外,無論數據流向何方,身份信息的使用記錄都必須留存。
GDPR適用于歐盟公民的任何數據,無論該公民及其數據在哪兒,因而其影響范圍是全世界,且企業的客戶和員工都適用——即涉及公司內部和外部身份的治理與安全。
GDPR將于今年5月25日正式生效(自GDPR誕生的2年寬限期后),屆時將會對違反GDPR的行為處以最高2000萬歐元或年營業收入4%的罰款。
GDPR影響巨大,像PCI一樣會推動行業發展,但又與PCI不同,影響的是所有行業。或許,歐盟之后,北美地區也會有自己的GDPR。
3. 保護隱私的身份驗證需求上升
人們需要既能護住隱私又能驗明自身的方法。
老用例再現的例子不是沒有。比如說,酒吧保安能不能不用看身份證就知道客人是否到了法定飲酒年齡?而政府機構又能否在不知道用戶飲酒時間和位置的情況下提供該驗證信息?
更重要的是,社交媒體和新網站點能不能用此類身份驗證方法抵御可擾亂大選的虛假信息行動?投票網站能夠驗證用戶是注冊選民還是某國公民嗎?
技術上而言,這些東西都是觸手可及的。智能手機就能存儲私鑰。目前的限制,在于監管。
4. 身份監管延伸至云端
監管的落腳點在于誰有權限訪問什么東西,誰應該有權限訪問什么東西,以及這些權限都用對了沒有。大多數客戶距離前兩條都還差得很遠,也就不用擔心第三條了。
SailPoint和其他身份治理及管理(IGA)解決方案提供商致力于在前端為安全人員帶來更加用戶友好的云管理工具。而在后端,各種云服務卻讓身份治理問題更加復雜,用戶不得不越來越多的地方管理越來越多的賬戶,更別說原本就有的現場資源身份管理任務了。
Saviynt是專為云環境設計的IGA解決方案,嘗試 IGA 2.0 的急先鋒。其他的,比如Sailpoint和 One Identity,則通過云遷移為客戶提供支持。
工業控制系統環境中的預置軟件尾大不掉,未來幾年中云會是個相當復雜的因素,會讓該環境下的身份治理更加麻煩。
5. 身份即服務演變
如今,用戶需要能在任何地點辦公的自由,理解他們需要做什么、需要在哪兒做、需要用到什么設備,才能做好企業訪問控制。
Cloud Identity 公司的服務列表很長,其單點登錄支持 SAML 2.0 和OpenID,可與數百個外部應用協作,包括Salesforce、SAP SuccessFactors 和Box及Docs或Drive之類 G Suite 應用。至于使用谷歌云計算平臺資源的公司,Cloud Identity 可為其額外提供跨現場及云基礎設施的混合環境用戶及組管理訪問控制。
Cloud Identity 為安卓和iOS設計了健壯的移動設備管理,像是用戶賬戶清除和強制密碼之類功能都是自動啟用的。管理員可在集成控制臺上實現屏幕鎖定、設備查找、兩步驗證和防網絡釣魚安全密鑰,還可管理Chrome瀏覽器使用,獲得可疑登錄等行為的安全報告和分析,用戶活動報告與審計,以及登錄第三方App、站點及擴展。
6. 生物特征識別讓安全變得簡單易行
眼下智能手機和其他移動設備基本都默認內置了多種生物特征識別身份驗證方法。加上新的WebAuthn標準,在線生物特征安全便作為強在線身份驗證的低摩擦方法而更加實用了。WebAuthn標準于4月10日由FIDO聯盟和W3C聯合發布,是個相當夢幻的標準,能使在線服務提供商通過Web瀏覽器提供FIDO身份驗證。谷歌、Mozilla、微軟和Opera都加入了。
基于FIDO的生物特征識別身份驗證能強化Web訪問安全,因為它為每個站點都采用唯一的加密憑證,消除了某一站點的被盜口令可在其他站點使用的風險。
生物特征識別設備的大量涌現也給了集成商興起的機會。Veridium是ForgeRock和 Ping Identity 之類主流IAM公司的合作商,創建了一個橫向的生物特征識別平臺,可供這些IAM公司的客戶將任意生物特征識別身份驗證方法插入其中,無論是指紋、人臉識別還是Veridium自己的四指非觸控行為生物特征識別。
堅持只用一種生物特征進行身份驗證是愚蠢的,身份管理理應簡單易行。
然而,Veridium最近的一次調查中,34%的受訪者依然堅信只用口令就足以保護數據。
或許直到我們的孫輩,口令都還健在。
7. 提權攻擊推動特權訪問管理(PAM)
提權攻擊已成針對性攻擊的必備要素,甚至不那么針對性的攻擊也常使用提權方法。解決這一問題的方法之一,是嚴密控制特權內部人的訪問及活動,畢竟,一旦有了憑證,攻擊者基本上就是個內部人了。
PAM是專為管理特權用戶的訪問憑證而設的。與CyberArk之類PAM解決方案一起進入市場的,還有像OnionID和Remediant這樣的新興云原生PAM解決方案。
CyberArk還試圖限制被泄管理員憑證問題的蔓延。該公司去年以4200萬美元并購了Conjur,只為幫助開發人員在沒有硬編碼憑證和SSH密鑰的情況下快速推進應用程序。
8. 非結構化數據問題導致IAM與數據治理和UEBA重疊
Varonis最近的研究發現,1/3的內部用戶都是“幽靈用戶”——有效卻不活躍,30%的公司至少有1000個敏感文件夾對所有員工開放。
IAM行業很大程度上關注的是對應用的訪問,但文件系統暴露面如此之大,加上Gartner預測到2022年將有80%的數據都是非結構化的,重點放在應用訪問上肯定不是什么足夠好的做法。作為身份治理公司,SailPoint旨在解決這一問題,也就與Varonis之類數據安全/治理公司和Forcepoint這種“以人為中心”的實體行為分析提供商產生了重合。
你想要一張統一的視圖、一個記錄系統、一張神奇的電子表格,但用戶哪兒哪兒都有ID,用戶的權限、權利,他希望的狀態和實際的狀態都需要同步起來。
9. 風險自適應的身份與行為生物特征識別持續驗證
越來越多的公司使用行為生物特征識別來解決合法登錄后發生的攻擊問題。BioCatch之類的公司應用該技術防止會話劫持,對抗在線欺詐。其他公司用行為生物特征來檢測內部用戶的異常行為,阻抗攻擊者在內部網絡上的橫向移動。
二級感染的證據顯示,事件響應這么多年來都只是個擺設,沒什么用處。動態自適應的身份驗證才是解決問題的答案。用戶設備和網絡必須要求一些不太尋常的響應來從生物學上識別出用戶身份,比如拍張挖鼻孔的自拍……
自適應身份安全產品的例子可以參考 ID Data Web,該產品使用多個源驗證給定身份的準確性,然后提供持續的身份驗證——在檢測到風險的時候彈出驗證挑戰并要求用戶響應。
BioCatch建立的用戶資料中包含用戶生物特征行為的數據,但并非用戶身份。BioCatch能檢測出異常行為,然后在欺詐轉賬發生前叫停僵尸主機或攻擊者。
這些風險自適應的“步進式”身份驗證工具也被吹捧為減少摩擦的方法——只要沒檢測到風險,用戶就根本不用經過登錄過程。
“零登錄”的目標,就是用行為生物特征識別自動拾取用戶的獨特行為特征并進行身份驗證,讓用戶僅憑自己抓握手機的獨特方式而無需掃描面部或按壓手指即可自動通過驗證。
10. IoT擴展機器身份邊界
身份管理遇上IoT可能會遭遇滑鐵盧。
物聯網極大地擴張了需管理的機器身份數量,并讓普通消費者也有了設置、管理和保護這些機器身份并監管機器間相互通信方式的責任。隨著越來越多的設備接入互聯網,以用戶智能手機為中心向周邊輻射,一部手機解鎖所有設備的方式最終將再也無法擴展。
身份管理公司在大步邁進,但他們正在解決的是昨天的問題,至今尚未解決完畢。
計算機、機器人和IoT設備都需要訪問計算和數據資源,都必須歸入身份治理的范圍內。
11. 依托區塊鏈的數字身份
區塊鏈這種分布式賬本平臺被廣泛用于提供數字身份。商業方面,基于IBM區塊鏈的SecureKey是加拿大第一家專為受監管行業而設的數字身份網絡。Shocard則是一家基于區塊鏈的企業級IAM和單點登錄(SSO)解決方案。
Evernym沒有建立在區塊鏈基礎上,而是建立在開源分布式賬本平臺Sovrin上的信用社數字身份平臺。
埃森哲和微軟聯手為聯合國創建了基于區塊鏈的身份基礎設施,幫助聯合國為全世界100多萬名沒有官方身份證件的人提供合法身份證明,比如難民。
RSA大會上,美國國土安全部科學與技術部展示了Verified.Me——用區塊鏈將登錄功能與屬性交付分開的身份管理工具。
12. 身份管理職業發展之路
2017年6月,IDPro成立,這個由Kantara項目孵化的非營利性專業會員組織專屬于身份和訪問管理人員。
該組織旨在構建IAM知識體系,支持從業者,確保身份及訪問管理被大眾認為是隱私及信息安全的重要且充滿活力的伙伴,并希望能夠發展出一套認證機制。