身份驗證是現(xiàn)代CISO的重大難題
事實上,身份驗證之所以繼續(xù)困擾CISO主要存在以下幾點原因:首先,就是身份驗證的“現(xiàn)代含義”問題。我們使用了大量術(shù)語來描述解決設(shè)備、應(yīng)用程序和系統(tǒng)所需的身份驗證和授權(quán)方法的含義。過去,我們在非常基本的結(jié)構(gòu)中實現(xiàn)了身份驗證:如果我需要訪問權(quán)限,在大多數(shù)情況下,我必須在不使用多因素身份驗證(MFA)的情況下通過每個用戶/服務(wù)請求的憑據(jù)測試(登錄名/密碼)。
然而,現(xiàn)代身份驗證必須考慮API和基于令牌的身份驗證以及MFA功能,這無疑會增加復(fù)雜性。
其次,身份驗證是一個不斷變化的攻擊目標,需要不斷重新評估新的威脅和漏洞,以安全地對用戶和設(shè)備進行身份驗證。超越傳統(tǒng)網(wǎng)絡(luò)的持續(xù)擴展以及向云轉(zhuǎn)型也都起著關(guān)鍵作用。CISO要么缺乏可見性和擴展這些環(huán)境的能力,要么需要不斷配置和更新身份驗證網(wǎng)關(guān)及身份提供者,以跟上不斷變化的需求。
此外,不斷提高的身份驗證嚴格程度和用戶體驗之間的摩擦也是一個重要問題。在某些時候,最嚴格的身份驗證對企業(yè)和員工來說都是過于繁重的負擔,甚至可能無法獲得理想的效果。
身份驗證的挑戰(zhàn)包括互操作性、可用性和漏洞
現(xiàn)代身份驗證為CISO及其企業(yè)帶來的挑戰(zhàn)有很多,包括互操作性、可用性、技術(shù)限制和漏洞。如今,許多企業(yè)仍在努力解決用戶身份問題,但要知道,并非所有技術(shù)都足夠成熟,因此,你可能擁有不同的治理模型,甚至有時還會“隱性支持”引入安全漏洞的遺留協(xié)議。此外,API的使用和訪問方法管理可能也會因API的成熟度/功能而異。
Cybereason公司的CISOGregDay認為,用戶體驗才是最大的挑戰(zhàn)。沒人喜歡嘗試記住長而復(fù)雜的密碼,或者每五分鐘被提示輸入一次密碼,亦或必須為他們使用的不同進程記住100個不同的密碼。要求用戶為每筆交易輸入自己唯一的PIN碼確實可以提高安全性,但也會增加完成交易的時長。
不斷變化的身份驗證范式,需要安全和技術(shù)團隊重新考慮使用零信任模型之類的方法。零信任等新策略需要對機器或設(shè)備進行強身份驗證才能予以授權(quán)。大多數(shù)企業(yè)現(xiàn)在才開始使用機器身份策略和機器憑據(jù)管理,就像人類身份識別/驗證一樣,機器身份識別/驗證也有多種形式和因素。因此,有效管理所有基于機器的身份驗證可能是一項巨大的挑戰(zhàn)。
此外,新興的生物特征認證概念也存在明顯的障礙。人體生物識別技術(shù)雖然更有保障,但大規(guī)模部署要困難得多,甚至這些系統(tǒng)也存在被欺騙的可能性。個人的固有生理特征(如虹膜、指紋等)以及行為特征(如筆記、步態(tài)等)都會成為鑒定個人身份的因素。然而,早在2015年,來自著名Chaos計算機俱樂部(CCC)的安全研究員JanKrissler便利用她的“標準照相機”拍攝的照片克隆了德國聯(lián)邦國防部長的指紋。之后,她又使用同樣的技術(shù)欺騙虹膜生物識別安全系統(tǒng)。
無效的身份驗證導(dǎo)致未經(jīng)授權(quán)的訪問和數(shù)據(jù)泄露風險
無效授權(quán)會給企業(yè)帶來重大風險,其結(jié)果可能體現(xiàn)在特權(quán)用戶、系統(tǒng)/機器、服務(wù)和設(shè)備上,可能導(dǎo)致未經(jīng)授權(quán)的訪問和數(shù)據(jù)泄露。在DevOps生態(tài)系統(tǒng)中,API組件可能存在多個漏洞,例如損壞的對象級授權(quán)。無效的授權(quán)還會引入泄漏的API,進而導(dǎo)致隱私受損以及勒索軟件攻擊,為企業(yè)帶來罰款威脅。
事實上,數(shù)據(jù)是每個企業(yè)擁有的最具價值的資產(chǎn)之一,如果無法控制誰可以訪問它,那么企業(yè)必將面臨風險。我們經(jīng)常通過勒索軟件及其帶來的巨額支付需求,才清楚地意識到身份驗證和訪問授權(quán)對現(xiàn)實世界的影響。控制誰可以訪問數(shù)據(jù)以及與誰共享數(shù)據(jù),是每個企業(yè)成功的基礎(chǔ)。
勒索軟件組織LAPSUS$入侵Okta(基于云的身份驗證軟件提供商)內(nèi)部系統(tǒng),并造成數(shù)據(jù)泄露的案例就是最好的證明。據(jù)報道,LAPSUS$并未直接針對Okta的數(shù)據(jù)庫,而是針對Okta客戶以獲取對系統(tǒng)的超級用戶訪問權(quán)限。出于謹慎考慮,Okta決定重置過去四個月內(nèi)更改密碼的任何員工的Okta憑據(jù)。
有效的現(xiàn)代身份驗證的最佳實踐
SynopsysSoftwareIntegrityGroup首席科學家SammyMigues倡導(dǎo)努力實現(xiàn)無密碼身份驗證,并確保API到API(API-to-API)身份驗證與員工訪問敏感文件一樣受到重視。他建議在規(guī)劃身份驗證策略時使用NIST800-63B和類似指南。此外,要了解針對身份驗證服務(wù)的攻擊無法避免,因此請在各處部署velocity檢查裝置以減緩自動攻擊。
在Netskope公司的CISOLamontOrange看來,讓治理、風險和合規(guī)(GRC)團隊參與進來,以幫助提供現(xiàn)代身份驗證的要求;持續(xù)測試以識別弱點;通過部署的解決方案重新獲得可見性和上下文分析,以及積極地對員工進行相關(guān)威脅的教育和培訓,這些也是可行的重要最佳實踐。
Cybereason公司的CISOGregDay則敦促CISO不要忽視用戶體驗的重要性,并警告稱,如果身份驗證過程太難或太復(fù)雜,員工會想辦法繞過現(xiàn)有的身份驗證工具。所以,企業(yè)的長遠目標必須是找到一種方法,在所有信息系統(tǒng)中進行基于風險的統(tǒng)一訪問管理。
