机器身份是企业攻击面中快速增长的重要组成部分。如今,机器(服务器、设备和服务)的数量正在迅速增长,但企业往往没有采取足够的措施来保护它们。如今,网络犯罪分子和其他威胁行为者已迅速利用这些优势。根据网络安全供应商Venafi去年发布的一份报告,与滥用机器身份相关的网络攻击数量在过去五年中增长了1,600%。研究公司Gartner在去年秋天发布的一份报告中将机器身份列为今年最热门的网络安全趋势之一。报告显示,2020年,50%的云安全事件将由身份、访问和权限管理不足引起。并且预计到2023年,这一比例将上升至75%。Venafi安全战略和威胁情报副总裁KevinBocek表示,我们每年在人类身份和访问管理上花费数十亿美元——从生物识别到访问权限管理——但用于保护机器身份的时间却更少。稀有的。但是,与人类身份一样,机器身份也可能被不法分子滥用。Saviynt产品管理总监ChrisOwen表示,企业通常过于信任网络上的机器,这意味着它们无需人工干预或传统形式的身份验证即可连接到其他网络资源。因此,一旦一台机器受到威胁,攻击者就可以通过这些“机器到机器”路径在网络中移动。幸运的是,企业开始意识到这个问题。根据PonemonInstitute和Keyfactor在3月份发布的一份报告,61%的IT专业人员(比去年增加了34%)认为盗窃或滥用机器身份是一个严重的风险。意识到问题是解决它的第一步,但企业可以采取其他更具体的步骤来防止机器身份问题失控。这里有七个例子。1.了解自己的证书、密钥和数字资产据Ponemon统计,IT组织平均拥有的内部证书数量超过267,000个,比去年同期增长16%。证书和密钥与运营基础设施、物联网、本地IT基础设施、云基础设施和容器化基础设施相关联。但是,其中一些证书和密钥已过时。有些是硬编码的,有些则与其他身份交织在一起。根据VansonBourne去年的一项调查,61%的组织对其数字资产的证书和密钥缺乏足够的认识。96%意识不足的企业表示已经遭受了严重的后果。对于常见后果,55%的受访者报告了网络安全漏洞;35%报告系统中断,33%报告财务损失。HitachiIDSystems的副总工程师IanReay说,他看到企业遇到了严重的问题,因为他们不了解机器身份。例如,美国的一家大型企业需要更改密码以维护其用于营销的打印机。Reay不解:“只是打印机而已,怎么会出现这样的错误”他们按照所有的变更控制,更改了密码,结果发现他们的生产系统不知道为什么就下线了。在艰难的全球停电数小时后,他们意识到发生了什么。Reay说,大约20年前,一位管理员将打印机帐户用于其他目的,因此该帐户被混淆使用,不仅用于打印机,还用于生产环境。而这很难预测。当他们试图改回原始密码时,失败了。因为旧密码不再符合企业的ActiveDirectory密码策略。因此高级管理员不得不介入并允许这个例外。企业往往拥有多个零散的、维护不善且充满错误的列表。Reay说:“即使是顶级客户,我们也无法解决我们在客户身上发现的很多问题,这真的让人望而生畏。”首席技术官AnushaIyer表示,静态密钥和证书往往更容易成为犯罪分子窃取和重用的目标。事实上,撞库攻击在很大程度上已经从利用人类身份的用户名和密码转移到利用API凭据,这些凭据本质上是当今机器身份的代理。随着API生态系统的快速发展,这个问题只会变得更具挑战性。美国航空公司凯捷卓越网络安全中心的高级解决方案经理PrasannaParthasarathy表示,管理不善的机器身份通常会导致安全漏洞。在最坏的情况下,攻击者可以一次消灭整个IT环境。攻击者可以利用已知的API调用来访问流程控制、交易或关键基础设施,从而造成毁灭性的后果。Parthasarathy表示,为了防止这种情况发生,企业应该对源机器、云连接、应用服务器、手持设备和API交互实施严格的授权机制。最重要的是,可信证书不能是静态的。它应该经常更新,并且永远不应该被硬编码到API调用中。Parthasarathy说,为每笔交易更改证书可能很困难,但随着更频繁的更新,企业将拥有更安全的环境。此外,公司必须在设备或程序被弃用后立即撤销证书和密钥。Gartner建议企业从所有计算基础架构中移除隐式信任,并用实时自适应信任取而代之。3.采用机器身份管理解决方案Gartner将机器身份管理归类为身份和访问管理(IAM)技术。Gartner最新的“技术成熟度曲线”表示,机器身份管理现在正接近其预期的顶峰,“生产力平台”将在两到五年后出现。根据VansonBourne的调查,95%的企业已经实施或计划实施自动化机器身份管理工作流、机器身份管理即服务,或者在混合部署模型上管理证书生命周期的能力。然而,只有32%的企业已全面实施现代机器身份管理。调查显示,53%的企业仍将电子表格作为其机器身份管理的核心,93%的企业在此过程中使用电子表格。Keyfactor的首席战略官(CSO)ChrisHickman表示,在大多数组织中,机器身份的所有权是模糊的,没有明确分配。因此,许多组织最终采用单一方法进行机器身份管理。更糟糕的是,这些身份中的大多数都无人管理。他建议企业建立一个跨职能的核心小组,负责管理所有机器身份。4.实施自动化根据VansonBourne的调查,一些将自动化工作流应用于机器身份管理的公司已经受益。50%的拥有自动化系统的人跟踪所有证书和密钥,而没有自动化系统的人中这一比例为28%。另一方面,只有33%的组织拥有完全自动化的工作流程,48%的组织仍在实施过程中。另有15%的组织计划实现自动化,而4%的组织没有在该领域实现自动化的计划。IT安全决策者表示,他们希望自动化能够降低管理密钥和证书的成本和时间,同时还能简化工作流程。根据Venafi的Bocek的说法,自动化是不可或缺的,如果没有自动化管理,数字化转型计划将停滞不前。此外,自动化还可以避免一些人为错误。5.将云部署纳入计算机身份管理计划根据VansonBourne的调查,随着基础设施从本地部署过渡到云部署,92%的企业不得不重新考虑和改变机器身份管理解决方案。76%的企业表示,他们现有的解决方案并不完全支持云或混合部署。Gartner分析师LaurenceGoasduff在最近的一份报告中表示,“单一管理平台”方法在多云环境中尚不实用。公司可以应用一个单一的总体框架,集中一些功能,同时为本地工具留出空间。根据VansonBourne的调查,不到一半的企业计划构建覆盖所有云部署的单机身份管理解决方案;相反,37%的企业计划为每个云建立单独的机器身份管理系统,并使用一个核心策略覆盖所有云;22%的企业计划建立一个没有核心政策的独立系统。6.将机器人纳入机器身份管理计划随着全球趋势的兴起,企业正在加速实施自动化战略。Forrester表示,全球机器人自动化软件市场将从2021年的24亿美元增长到2022年的65亿美元。Goasduff在Gartner报告中表示,这些软件机器人的身份也需要管理。首先,需要定义“将RPA工具集成到身份结构中”的最佳实践和指南,其次,RPA的软件机器人需要被视为需要机器身份的额外工作负载。7.将机器纳入零信任计划即使不是当今企业的首要任务,也是其中之一。据信息安全传媒集团今年2月发布的一项调查显示,100%的受访者都认为零信任对于降低安全风险具有重要意义。同时,这也是美国总统拜登年初发布的网络安全备忘录的核心内容。零信任不仅仅是要求用户始终通过完整的身份验证。同时,它也适用于进程和设备。在最新的零信任安全模型中,管理设备的身份尤为重要。如果企业设备在网络上没有获得任何特殊的信任状态,那么它必须有一种标识与其他设备、服务或数据交互并被授权的方法。根据Fortinet年初的调查,84%的企业拥有成熟或发展中的零信任策略。然而,持续验证设备的能力对于59%的企业来说仍然是一个挑战。评论随着企业结构中非人类实体的比例越来越大,机器身份管理已成为安全策略中不可或缺的重要组成部分。与此同时,微服务、云工作负载和物联网设备的爆炸式增长也加剧了这一问题。以人为本的安全模型不再像以前那样有效。企业应认真对待并采取有效措施,防止企业内部机器身份被别有用心的人破坏。人们可以窃取或滥用它,从而确保他们的生产环境始终处于安全状态。
