自從引入計(jì)算機(jī)以來�����,用戶名和密碼一直是用于訪問控制和身份驗(yàn)證的主要方法����。但是,正如對大多數(shù)數(shù)據(jù)泄露的事后分析所揭示的那樣,受到破壞的憑據(jù)已成為當(dāng)今網(wǎng)絡(luò)攻擊者的主要攻擊點(diǎn)����。實(shí)際上,身份定義安全聯(lián)盟(IDSA)最近的一項(xiàng)研究表明�����,基于憑據(jù)的數(shù)據(jù)泄露既普遍(94%的調(diào)查受訪者遭受了與身份相關(guān)的攻擊)�����,又是高度可預(yù)防的(99%)���。
盡管如此,許多組織仍缺乏與身份相關(guān)的密鑰的安全控制��,并且少數(shù)開始應(yīng)用適當(dāng)訪問控制的有遠(yuǎn)見的公司通常將重點(diǎn)放在人類用戶身上��。這在現(xiàn)實(shí)面前飛逝�。通過跨越DevOps,云轉(zhuǎn)換����,物聯(lián)網(wǎng)(IoT)等的數(shù)字化轉(zhuǎn)型計(jì)劃,非人類身份的絕對數(shù)量遠(yuǎn)遠(yuǎn)超過人類用戶�����。那么,這對于密碼的未來意味著什么����,以及組織如何采取措施控制對其敏感資源的訪問?
數(shù)十年來���,用戶一直使用靜態(tài)密碼登錄各種帳戶和服務(wù)�����。除非有政策�,個人喜好或針對數(shù)據(jù)泄露的要求�,否則平均密碼從創(chuàng)建之日起便保持不變。這使得它極易受到威脅者的攻擊��,因?yàn)殪o態(tài)密碼驗(yàn)證用戶真實(shí)性的可能性很小����,并且很容易成為在Dark Net上購買的受騙憑證。
一旦被網(wǎng)絡(luò)攻擊者掌握����,被盜的密碼就可以不受限制地訪問受感染的帳戶����,可以在網(wǎng)絡(luò)內(nèi)橫向移動并破壞業(yè)務(wù)流程或泄露敏感信息���。如果該帳戶屬于擁有“王國鑰匙”的特權(quán)用戶���,則影響會更大。即使組織通過實(shí)施多因素身份驗(yàn)證(MFA)加強(qiáng)了安全性��,但這一附加的保護(hù)層也無法解決與非人類身份相關(guān)的威脅����。
超越靜態(tài)密碼
如今,身份不僅包括人員���,還包括工作量,服務(wù)和機(jī)器�����。實(shí)際上���,在許多組織中��,非人類身份代表了大多數(shù)“用戶”��。機(jī)器身份通常與特權(quán)帳戶相關(guān)聯(lián)�����,并且通常比現(xiàn)代IT基礎(chǔ)結(jié)構(gòu)中的傳統(tǒng)人類特權(quán)帳戶具有更大的占用空間�。在DevOps和云環(huán)境中,尤其如此����,其中任務(wù)自動化起著主導(dǎo)作用。
這些通常是一個盲點(diǎn)��,因?yàn)樵诮踩刂茣r并不總是考慮機(jī)器����,物聯(lián)網(wǎng),服務(wù)帳戶和應(yīng)用程序身份���。除了低估了數(shù)據(jù)泄露情況下非人類身份的相關(guān)性外���,許多組織還迅速意識到�,通常需要手動且耗時的配置的傳統(tǒng)靜態(tài)密碼概念不適用于快速移動的多云和混合環(huán)境���,那里的訪問需求通常是暫時的�,并且變化是恒定的�。
身份驗(yàn)證的未來:臨時令牌
組織不應(yīng)繼續(xù)依賴靜態(tài)密碼模型,而應(yīng)采用動態(tài)密碼方法��。這些基于證書的臨時訪問憑據(jù)解決了困擾靜態(tài)密碼的主要安全問題����,而又不影響高度數(shù)字化的IT環(huán)境中的可用性和敏捷性。
在實(shí)施基于臨時證書的授權(quán)時��,無需永久訪問憑證即可訪問目標(biāo)系統(tǒng)�,從而建立了“零常備特權(quán)”立場,以確保必須對所有對服務(wù)的訪問進(jìn)行身份驗(yàn)證�,授權(quán)和加密。對于每個會話(適用于人機(jī)或機(jī)器)��,臨時證書都是由證書頒發(fā)機(jī)構(gòu)(CA)頒發(fā)的�����,CA是受信任的第三方���,并基于行業(yè)標(biāo)準(zhǔn)(例如臨時X.509證書)�。它出于安全目的對用戶身份進(jìn)行編碼��,并且使用壽命很短�,避免了中間人攻擊的風(fēng)險(xiǎn)。
最終����,CA根據(jù)基于規(guī)則創(chuàng)建的用戶角色(包括分配給工作負(fù)載,服務(wù)和計(jì)算機(jī)的角色)控制對目標(biāo)系統(tǒng)的訪問�。特定角色的規(guī)則是根據(jù)安全策略和訪問要求生成的。然后����,CA從傳統(tǒng)企業(yè)目錄(例如,Microsoft Active Directory)中獲取每個角色的規(guī)則�,并使用它們來確定適當(dāng)?shù)纳矸蒡?yàn)證。這種方法減輕了為每個用戶設(shè)置訪問權(quán)限的過程�,并簡化了對用戶組的更新。
結(jié)論
身份與安全性的集成仍在進(jìn)行中��,根據(jù)IDSA的研究����,只有不到一半的企業(yè)完全實(shí)施了與身份相關(guān)的關(guān)鍵密鑰訪問控制���。更糟的是,我們根本不能再信任靜態(tài)密碼了���。此外���,它們不適用于當(dāng)今以機(jī)器身份為主導(dǎo)的,為敏捷性和快速變化而構(gòu)建的IT環(huán)境���。更好的方法是實(shí)現(xiàn)動態(tài)密碼模型����,該模型與最小特權(quán)方法結(jié)合使用時���,將與身份相關(guān)的違規(guī)風(fēng)險(xiǎn)最小化���。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
