身份验证仍然是CISO面临的最艰巨的挑战之一。对于安全领导者来说,这种长期存在的基本安全要素经常让他们头痛不已,因为他们需要识别和授权通常分布在不同地区、边界和时区的用户及设备。与此同时,随着企业日趋敏捷和数字化,与无效的身份验证策略和流程相关的持续风险势必威胁企业安全,这就需要安全团队重新考虑现代环境中的身份验证方法。
身份验证是现代CISO的重大难题
事实上,身份验证之所以继续困扰CISO主要存在以下几点原因:首先,就是身份验证的“现代含义”问题。我们使用了大量术语来描述解决设备、应用程序和系统所需的身份验证和授权方法的含义。过去,我们在非常基本的结构中实现了身份验证:如果我需要访问权限,在大多数情况下,我必须在不使用多因素身份验证(MFA)的情况下通过每个用户/服务请求的凭据测试(登录名/密码)。
然而,现代身份验证必须考虑API和基于令牌的身份验证以及MFA功能,这无疑会增加复杂性。
其次,身份验证是一个不断变化的攻击目标,需要不断重新评估新的威胁和漏洞,以安全地对用户和设备进行身份验证。超越传统网络的持续扩展以及向云转型也都起着关键作用。CISO要么缺乏可见性和扩展这些环境的能力,要么需要不断配置和更新身份验证网关及身份提供者,以跟上不断变化的需求。
此外,不断提高的身份验证严格程度和用户体验之间的摩擦也是一个重要问题。在某些时候,最严格的身份验证对企业和员工来说都是过于繁重的负担,甚至可能无法获得理想的效果。
身份验证的挑战包括互操作性、可用性和漏洞
现代身份验证为CISO及其企业带来的挑战有很多,包括互操作性、可用性、技术限制和漏洞。如今,许多企业仍在努力解决用户身份问题,但要知道,并非所有技术都足够成熟,因此,你可能拥有不同的治理模型,甚至有时还会“隐性支持”引入安全漏洞的遗留协议。此外,API的使用和访问方法管理可能也会因API的成熟度/功能而异。
Cybereason公司的CISO Greg Day认为,用户体验才是最大的挑战。没人喜欢尝试记住长而复杂的密码,或者每五分钟被提示输入一次密码,亦或必须为他们使用的不同进程记住100个不同的密码。要求用户为每笔交易输入自己唯一的PIN码确实可以提高安全性,但也会增加完成交易的时长。
不断变化的身份验证范式,需要安全和技术团队重新考虑使用零信任模型之类的方法。零信任等新策略需要对机器或设备进行强身份验证才能予以授权。大多数企业现在才开始使用机器身份策略和机器凭据管理,就像人类身份识别/验证一样,机器身份识别/验证也有多种形式和因素。因此,有效管理所有基于机器的身份验证可能是一项巨大的挑战。
此外,新兴的生物特征认证概念也存在明显的障碍。人体生物识别技术虽然更有保障,但大规模部署要困难得多,甚至这些系统也存在被欺骗的可能性。个人的固有生理特征(如虹膜、指纹等)以及行为特征(如笔记、步态等)都会成为鉴定个人身份的因素。然而,早在2015年,来自著名Chaos 计算机俱乐部(CCC)的安全研究员Jan Krissler便利用她的“标准照相机”拍摄的照片克隆了德国联邦国防部长的指纹。之后,她又使用同样的技术欺骗虹膜生物识别安全系统。
无效的身份验证导致未经授权的访问和数据泄露风险
无效授权会给企业带来重大风险,其结果可能体现在特权用户、系统/机器、服务和设备上,可能导致未经授权的访问和数据泄露。在DevOps生态系统中,API组件可能存在多个漏洞,例如损坏的对象级授权。无效的授权还会引入泄漏的API,进而导致隐私受损以及勒索软件攻击,为企业带来罚款威胁。
事实上,数据是每个企业拥有的最具价值的资产之一,如果无法控制谁可以访问它,那么企业必将面临风险。我们经常通过勒索软件及其带来的巨额支付需求,才清楚地意识到身份验证和访问授权对现实世界的影响。控制谁可以访问数据以及与谁共享数据,是每个企业成功的基础。
勒索软件组织LAPSUS$入侵Okta(基于云的身份验证软件提供商)内部系统,并造成数据泄露的案例就是最好的证明。据报道,LAPSUS$ 并未直接针对Okta的数据库,而是针对Okta客户以获取对系统的超级用户访问权限。出于谨慎考虑,Okta决定重置过去四个月内更改密码的任何员工的Okta凭据。
有效的现代身份验证的最佳实践
Synopsys Software Integrity Group首席科学家Sammy Migues倡导努力实现无密码身份验证,并确保API到API(API-to-API)身份验证与员工访问敏感文件一样受到重视。他建议在规划身份验证策略时使用NIST 800-63B和类似指南。此外,要了解针对身份验证服务的攻击无法避免,因此请在各处部署velocity检查装置以减缓自动攻击。
在Netskope公司的CISO Lamont Orange看来,让治理、风险和合规(GRC)团队参与进来,以帮助提供现代身份验证的要求;持续测试以识别弱点;通过部署的解决方案重新获得可见性和上下文分析,以及积极地对员工进行相关威胁的教育和培训,这些也是可行的重要最佳实践。
Cybereason公司的CISO Greg Day则敦促CISO不要忽视用户体验的重要性,并警告称,如果身份验证过程太难或太复杂,员工会想办法绕过现有的身份验证工具。所以,企业的长远目标必须是找到一种方法,在所有信息系统中进行基于风险的统一访问管理。
