這里有六種方法可以判斷公司的IAM策略是否失敗。
1.用戶無(wú)法訪問(wèn)他們的應(yīng)用程序,但犯罪分子可以
IAM平臺(tái)的主要目標(biāo)是允許合法用戶訪問(wèn)他們需要的資源,同時(shí)阻止壞人。如果發(fā)生相反的情況,則說(shuō)明有問(wèn)題。根據(jù)最新的Verizon數(shù)據(jù)泄露事件報(bào)告,被盜憑據(jù)是去年最常見(jiàn)的攻擊方法,涉及一半的泄露事件和超過(guò)80%的Web應(yīng)用程序泄露事件。
Bretzmann說(shuō),公司通常會(huì)嘗試做的第一件事是擺脫簡(jiǎn)單的用戶名和密碼組合,并添加短信一次性密碼。他說(shuō),這并沒(méi)有多大幫助,而且會(huì)加重用戶的啟動(dòng)情緒。“做得對(duì),IAM不僅僅是單點(diǎn)登錄和多因素身份驗(yàn)證,”他說(shuō)。“這是關(guān)于了解請(qǐng)求訪問(wèn)IT系統(tǒng)并解決他們的連接問(wèn)題的用戶的多樣性。”
根據(jù)Forrester公司分析師AndrasCser的說(shuō)法,企業(yè)IAM系統(tǒng)范圍內(nèi)的用戶包括員工、業(yè)務(wù)合作伙伴和最終客戶。所有這些都需要不同的方法。對(duì)于員工而言,企業(yè)通常會(huì)求助于身份即服務(wù)提供商,例如Okta、AzureActiveDirectory或本地IAM系統(tǒng),他說(shuō),這些系統(tǒng)仍然比基于云的選項(xiàng)更強(qiáng)大、功能更豐富。對(duì)于客戶來(lái)說(shuō),一些公司開始從用戶名和密碼轉(zhuǎn)向谷歌和Facebook等社交登錄。
最后一個(gè)IAM訪問(wèn)類別是機(jī)器身份。根據(jù)Pulse和KeyFactor去年秋天發(fā)布的一項(xiàng)調(diào)查,機(jī)器身份的優(yōu)先級(jí)低于用戶身份,但95%的CIO表示他們的IAM策略可以保護(hù)機(jī)器身份免受攻擊。
企業(yè)還需要注意這樣一個(gè)事實(shí),即他們必須在各種環(huán)境(本地、云、SaaS、移動(dòng)和在家工作)中保護(hù)所有這些不同類型的用戶。
2.孤立的身份和訪問(wèn)管理平臺(tái)
Gartner分析師HenriqueTeixeira表示,許多組織使用不同的解決方案進(jìn)行訪問(wèn)管理、身份治理和管理以及特權(quán)訪問(wèn)管理。他說(shuō),孤島創(chuàng)造了額外的工作。“而且攻擊者可以利用的每個(gè)解決方案之間經(jīng)常存在差距。”
Teixeira說(shuō),“供應(yīng)商開始轉(zhuǎn)向統(tǒng)一系統(tǒng)來(lái)解決這個(gè)問(wèn)題。例如,Okta和微軟已經(jīng)開始提供更加融合的平臺(tái)。”Gartner估計(jì),到2025年,70%的IAM采用將通過(guò)這些融合的IAM平臺(tái)實(shí)現(xiàn)。
Teixeira說(shuō),“面向客戶的IAM更加落后。大多數(shù)組織都在使用定制的本土應(yīng)用程序。在解決新的隱私法規(guī)要求和保護(hù)基礎(chǔ)設(shè)施免受更現(xiàn)代類型的攻擊時(shí),這是有問(wèn)題的。”
3.過(guò)于激進(jìn)的IAM推出計(jì)劃
很容易認(rèn)為IAM平臺(tái)會(huì)一次性完成所有工作。Cser說(shuō),高管們很容易對(duì)解決方案過(guò)于熱情,而供應(yīng)商也會(huì)過(guò)度承諾。“這對(duì)很多組織來(lái)說(shuō)都是個(gè)問(wèn)題,”他說(shuō)。“如果您嘗試安裝訪問(wèn)管理解決方案,并且必須在一天內(nèi)讓所有300個(gè)應(yīng)用程序全部上線,那將是失敗的。”
Cser建議改為分階段推出。試圖一口氣完成所有事情是不現(xiàn)實(shí)的。例如,盡管供應(yīng)商做出了承諾,但公司通常必須做更多的定制和編排工作才能集成他們的應(yīng)用程序。如果IAM的現(xiàn)代方法需要重新設(shè)計(jì)內(nèi)部流程,則尤其如此。他建議進(jìn)行IAM更新的公司利用這個(gè)機(jī)會(huì)首先簡(jiǎn)化和合理化流程。“而且不執(zhí)行現(xiàn)有的爛攤子。這就像搬家一樣。當(dāng)你從一個(gè)地方搬到另一個(gè)地方時(shí),你想先把東西扔掉,而不是把它們搬到新的地方。”
4、認(rèn)證與授權(quán)分離
“IAM是任何安全和IT計(jì)劃的基石,”搜索技術(shù)公司Yext的首席信息安全官RohitParchuri說(shuō)。他說(shuō),沒(méi)有它,其他安全控制的商業(yè)價(jià)值就會(huì)降低,并且無(wú)法充分發(fā)揮其潛力。“您需要先了解您的投資組合中存在哪些用戶和資產(chǎn),然后才能開始保護(hù)它們。IAM提供了訪問(wèn)環(huán)境的可見(jiàn)性,同時(shí)還啟用了控制該訪問(wèn)的功能。”
在之前的職位上,Parchuri在部署IAM時(shí)遇到了幾個(gè)問(wèn)題。他說(shuō),“當(dāng)我們最初冒險(xiǎn)執(zhí)行IAM時(shí),我們錯(cuò)過(guò)了在我們的成功標(biāo)準(zhǔn)中添加一些東西,第一個(gè)問(wèn)題是授權(quán)被視為獨(dú)立于身份驗(yàn)證的實(shí)體。使用單獨(dú)的授權(quán)服務(wù)器,我們必須在兩個(gè)不同系統(tǒng)的身份驗(yàn)證和授權(quán)實(shí)踐之間來(lái)回切換。”這增加了總擁有成本,并給管理兩個(gè)獨(dú)立實(shí)體的團(tuán)隊(duì)帶來(lái)了額外負(fù)擔(dān)。
5.認(rèn)證覆蓋盲點(diǎn)
Parchuri面臨的另一個(gè)問(wèn)題是一些內(nèi)部系統(tǒng)沒(méi)有被編目并且仍然依賴于本地身份驗(yàn)證。“在我們的內(nèi)部系統(tǒng)上進(jìn)行本地身份驗(yàn)證,在會(huì)話管理和用戶入職和離職實(shí)踐方面缺乏可見(jiàn)性,”他說(shuō)。這些任務(wù)應(yīng)該由IAM工具處理,但沒(méi)有。
該公司在對(duì)其資產(chǎn)管理計(jì)劃進(jìn)行覆蓋練習(xí)時(shí)發(fā)現(xiàn)了這個(gè)錯(cuò)誤。Parchuri說(shuō),“我們發(fā)現(xiàn)在我們的配置管理數(shù)據(jù)庫(kù)中記錄的應(yīng)用程序沒(méi)有在IAM工具中捕獲,”一旦我們確定了這些應(yīng)用程序,我們還注意到IAM工具將授權(quán)驗(yàn)證外包給本地部署的本地系統(tǒng),盡管它們作為一個(gè)實(shí)體存在于IAM工具中。”
要解決這個(gè)問(wèn)題,最難的部分是弄清楚是否可以使用安全斷言標(biāo)記語(yǔ)言(SAML)或跨域身份管理(SCIM)來(lái)集成IAM工具和內(nèi)部工具。Parchuri說(shuō),“一旦我們能夠做到這一點(diǎn),剩下的就是執(zhí)行和永久管理。”
6.多個(gè)IAM系統(tǒng)導(dǎo)致可見(jiàn)性問(wèn)題
專注于監(jiān)管、風(fēng)險(xiǎn)和合規(guī)問(wèn)題的全球咨詢公司StoneTurn的合伙人LukeTenery表示,公司有時(shí)會(huì)在集成不同的IAM平臺(tái)時(shí)遇到挑戰(zhàn)。他說(shuō),“如果他們有太多的身份管理系統(tǒng),就很難找到安全異常之間的關(guān)系,這就是痛苦的地方。”
例如,許多網(wǎng)絡(luò)攻擊都涉及某種形式的電子郵件泄露。例如,如果相同的身份也用于訪問(wèn)公司的Salesforce系統(tǒng),那么在發(fā)現(xiàn)第二個(gè)攻擊向量之前可能會(huì)有很大的延遲。“如果它是相同的用戶名和密碼,但以分散的方式管理,他們可能不會(huì)看到Salesforce中發(fā)生的妥協(xié),”Tenery說(shuō),“如果停留時(shí)間更長(zhǎng),對(duì)組織產(chǎn)生影響的風(fēng)險(xiǎn)就會(huì)增加。癌癥在體內(nèi)的時(shí)間越長(zhǎng),威脅造成損害的時(shí)間就越長(zhǎng)。”
Tenery說(shuō),他看到了一個(gè)案例,威脅參與者能夠進(jìn)入Salesforce數(shù)據(jù)庫(kù)以執(zhí)行全球酒店供應(yīng)商的忠誠(chéng)度計(jì)劃,從而訪問(wèn)數(shù)百萬(wàn)客戶記錄。解決方案是創(chuàng)建整個(gè)企業(yè)的身份和訪問(wèn)管理的整體視圖。“將結(jié)締組織整合在一起可能是一個(gè)艱苦的過(guò)程,”他說(shuō),“但有一些平臺(tái)可以幫助組織整合其IAM功能。”
如果直接集成不是一種選擇,Tenery說(shuō),有一些先進(jìn)的工具可以利用機(jī)器學(xué)習(xí)和人工智能來(lái)創(chuàng)建自動(dòng)化來(lái)建立這些聯(lián)系。對(duì)于Salesforce和Office365,可以直接集成。他說(shuō),“還有第三方工具,比如我們使用的ObsidianSecurity。這是一個(gè)利用不同形式的自動(dòng)化和機(jī)器學(xué)習(xí)來(lái)識(shí)別身份鏈接以檢測(cè)安全異常和管理身份風(fēng)險(xiǎn)的平臺(tái)。”?
