身份驗證是現代CISO的重大難題
事實上,身份驗證之所以繼續困擾CISO主要存在以下幾點原因:首先,就是身份驗證的“現代含義”問題。我們使用了大量術語來描述解決設備、應用程序和系統所需的身份驗證和授權方法的含義。過去,我們在非常基本的結構中實現了身份驗證:如果我需要訪問權限,在大多數情況下,我必須在不使用多因素身份驗證(MFA)的情況下通過每個用戶/服務請求的憑據測試(登錄名/密碼)。
然而,現代身份驗證必須考慮API和基于令牌的身份驗證以及MFA功能,這無疑會增加復雜性。
其次,身份驗證是一個不斷變化的攻擊目標,需要不斷重新評估新的威脅和漏洞,以安全地對用戶和設備進行身份驗證。超越傳統網絡的持續擴展以及向云轉型也都起著關鍵作用。CISO要么缺乏可見性和擴展這些環境的能力,要么需要不斷配置和更新身份驗證網關及身份提供者,以跟上不斷變化的需求。
此外,不斷提高的身份驗證嚴格程度和用戶體驗之間的摩擦也是一個重要問題。在某些時候,最嚴格的身份驗證對企業和員工來說都是過于繁重的負擔,甚至可能無法獲得理想的效果。
身份驗證的挑戰包括互操作性、可用性和漏洞
現代身份驗證為CISO及其企業帶來的挑戰有很多,包括互操作性、可用性、技術限制和漏洞。如今,許多企業仍在努力解決用戶身份問題,但要知道,并非所有技術都足夠成熟,因此,你可能擁有不同的治理模型,甚至有時還會“隱性支持”引入安全漏洞的遺留協議。此外,API的使用和訪問方法管理可能也會因API的成熟度/功能而異。
Cybereason公司的CISOGregDay認為,用戶體驗才是最大的挑戰。沒人喜歡嘗試記住長而復雜的密碼,或者每五分鐘被提示輸入一次密碼,亦或必須為他們使用的不同進程記住100個不同的密碼。要求用戶為每筆交易輸入自己唯一的PIN碼確實可以提高安全性,但也會增加完成交易的時長。
不斷變化的身份驗證范式,需要安全和技術團隊重新考慮使用零信任模型之類的方法。零信任等新策略需要對機器或設備進行強身份驗證才能予以授權。大多數企業現在才開始使用機器身份策略和機器憑據管理,就像人類身份識別/驗證一樣,機器身份識別/驗證也有多種形式和因素。因此,有效管理所有基于機器的身份驗證可能是一項巨大的挑戰。
此外,新興的生物特征認證概念也存在明顯的障礙。人體生物識別技術雖然更有保障,但大規模部署要困難得多,甚至這些系統也存在被欺騙的可能性。個人的固有生理特征(如虹膜、指紋等)以及行為特征(如筆記、步態等)都會成為鑒定個人身份的因素。然而,早在2015年,來自著名Chaos計算機俱樂部(CCC)的安全研究員JanKrissler便利用她的“標準照相機”拍攝的照片克隆了德國聯邦國防部長的指紋。之后,她又使用同樣的技術欺騙虹膜生物識別安全系統。
無效的身份驗證導致未經授權的訪問和數據泄露風險
無效授權會給企業帶來重大風險,其結果可能體現在特權用戶、系統/機器、服務和設備上,可能導致未經授權的訪問和數據泄露。在DevOps生態系統中,API組件可能存在多個漏洞,例如損壞的對象級授權。無效的授權還會引入泄漏的API,進而導致隱私受損以及勒索軟件攻擊,為企業帶來罰款威脅。
事實上,數據是每個企業擁有的最具價值的資產之一,如果無法控制誰可以訪問它,那么企業必將面臨風險。我們經常通過勒索軟件及其帶來的巨額支付需求,才清楚地意識到身份驗證和訪問授權對現實世界的影響。控制誰可以訪問數據以及與誰共享數據,是每個企業成功的基礎。
勒索軟件組織LAPSUS$入侵Okta(基于云的身份驗證軟件提供商)內部系統,并造成數據泄露的案例就是最好的證明。據報道,LAPSUS$并未直接針對Okta的數據庫,而是針對Okta客戶以獲取對系統的超級用戶訪問權限。出于謹慎考慮,Okta決定重置過去四個月內更改密碼的任何員工的Okta憑據。
有效的現代身份驗證的最佳實踐
SynopsysSoftwareIntegrityGroup首席科學家SammyMigues倡導努力實現無密碼身份驗證,并確保API到API(API-to-API)身份驗證與員工訪問敏感文件一樣受到重視。他建議在規劃身份驗證策略時使用NIST800-63B和類似指南。此外,要了解針對身份驗證服務的攻擊無法避免,因此請在各處部署velocity檢查裝置以減緩自動攻擊。
在Netskope公司的CISOLamontOrange看來,讓治理、風險和合規(GRC)團隊參與進來,以幫助提供現代身份驗證的要求;持續測試以識別弱點;通過部署的解決方案重新獲得可見性和上下文分析,以及積極地對員工進行相關威脅的教育和培訓,這些也是可行的重要最佳實踐。
Cybereason公司的CISOGregDay則敦促CISO不要忽視用戶體驗的重要性,并警告稱,如果身份驗證過程太難或太復雜,員工會想辦法繞過現有的身份驗證工具。所以,企業的長遠目標必須是找到一種方法,在所有信息系統中進行基于風險的統一訪問管理。
