安全是企业数字化转型战略面临的最大困境。根据PonemonInstitute的数据,数据泄露的数量和成本持续增长,如今,网络犯罪给企业造成的数据泄露平均成本超过386万美元。以下一组数据可以帮助我们快速了解与身份数据泄露相关的企业安全威胁状况:去年年初,互联网上泄露了7.73亿用户名和密码的海量缓存,几乎可以肯定黑客正在使用以此泄露数据进行犯罪活动。暗网上有超过2100万个与《财富》500家公司相关的账户凭据待售(其中许多在过去12个月内泄露)。凭据填充攻击急剧增加,Akamai在18个月内记录了610亿次攻击尝试。面对数据泄露的“决堤”,加上企业试图保护越来越多的云应用程序、数据和服务,IT安全预算的比例越来越大。事实上,Gartner预测今年全球信息安全支出将超过1240亿美元。那么,随着数据泄露的威胁和损失成本的不断增加,企业安全数字化转型的最佳实践方法是什么?许多人认为这是“零信任”。是的,零信任是未来10年企业最重要的安全架构。也是当下最热门的安防营销关键词。然而,对于大多数企业来说,在跳上零信任的漂浮之前,必须先练好IAM(IdentityAccessandManagement)的基本功,这是实现零信任的基础和前提。Gartner在其最近发布的《2020年规划指南:身份和访问管理》中也提出了一个关键论点:IT必须推进IAM(身份和访问管理)计划。IAM安全技术人员应关注无密码身份验证、价值驱动的IGA(身份治理和管理)、增强的消费者隐私要求以及混合/多云环境等方面的趋势。在2020年第七版安全牛的网络安全全景中,IAM作为一级分类,被放在与数据安全密切相关的更为突出的位置:下面,在讨论IAM的趋势之前,先简单介绍一下IAM零信任的好处及其与零信任的关系:IAM的好处是什么?IAM可以通过对用户设备进行指纹识别和部署多因素身份验证(MFA)来检测和拒绝来自无法识别的平台的登录尝试,从而阻止凭据。填充攻击。IAM解决方案还限制了每个用户在登录后可以访问的应用程序和服务的范围。因此,即使恶意行为者获得了有效凭证,可以绕过MFA,IAM方案也会严格限制攻击面,减少“横向移动”,做到“可防可控”。IAM也是软件定义边界(SDP)的重要推动因素。SDP创建了一个“虚拟网络”,其中用户无权访问的软件和其他资源是不可见的。IAM通过管理和实施细粒度的访问管理来安全地启用虚拟网络。越来越多的撞库攻击是许多公司采用IAM来保护自己的原因之一。IAM本身也在快速发展,以满足更多公司的需求,并变得更加安全、集成和易于使用。IAM在零信任中的位置零信任模型需要围绕强大的身份和访问管理(IAM)方案构建,因此如果没有这些IAM工具,零信任将是无根的。在允许用户进入网络之前建立用户身份是实施零信任模型的核心。安全团队正在使用诸如多因素身份验证(MFA)、单点登录(SSO)和其他类似IAM的核心功能来确保每个用户使用安全设备、访问适当的文件类型并建立安全会话。随着时间的推移,公司需要确保对所有敏感信息的访问都经过身份验证,无论这些信息位于其网络中的哪个位置。IAM将是组织零信任战略最重要的支柱,在许多不同的场景中发挥作用,包括:为帮助安全团队将数据资产和信息包链接在一起以选择业务网络上的用户,未来的IAM技术将进一步集成以嵌入身份数据进入数据保护和网络取证系统。随着安全专业人员采用更多IAM解决方案,他们将能够维护身份记录并将其与员工访问权限相关联。在采取此步骤之前,安全专业人员应为工作人员分配数据访问权限,并在所有访问验证活动中包含数据属性。客户必须安装每一项技术的时代即将结束,取而代之的是基于API的微服务。后者正在对安全产生影响,安全提供商有望采用它。因此,对于遵循零信任理念和方法的企业安全团队来说,应用IAM工具的负担将大大减轻。现在是组织实施零信任架构的理想时机,因为身份泄露导致数据泄露的威胁越来越大。IAM“军火库”的建设是企业迈向零信任的第一步。2020年3大IAM趋势趋势1:身份和访问管理即服务管理对一组应用程序和文件的访问可能非常棘手且要求很高。虽然IAM早已迁移到云端(甚至微软久负盛名的ActiveDirectory软件也迁移到了Azure),但应用程序的精细维护责任仍然落在管理员身上。借助IAM即服务(IAMaaS),许多IAM功能被移动到云端并实现自动化。远程用户可以轻松、轻松地访问他们的工具:他们只需要使用单点登录(SSO)来访问他们需要的所有资源和解决方案。借助IAMaaS,用户可以轻松自动连接安全和欺诈保护系统,无需额外工作即可提高应用程序和文件的安全性。此外,自动化工具将大大减轻管理员的工作量。趋势2:微服务的身份和访问管理微服务席卷了IT世界。开发人员使用链接的容器化小程序来执行以前由单个集成应用程序执行的功能,而不是单个整体应用程序。即使一个组件出现故障,整个应用程序也不会崩溃。相反,自动化系统会启动故障组件的副本,从而将用户的停机时间减少到零。从传统的IAM角度来看,这是有问题的。应用程序的各种组件现在可以通过网络进行通信,这意味着攻击者有可能窃听或伪造这些通信。有时,这些服务使用公共互联网在多个数据中心之间进行通信,这使得加密和安全性变得更加重要。因此,IAM解决方案开始与微服务集成。在一个这样的解决方案中,微服务之间的每次通信还包括一个唯一的令牌,该令牌在收到时进行验证。应用程序仅在收到有效令牌后才执行请求的功能。这对您的应用程序的性能影响很小,但可以防止不良行为者冒充微服务或窃听您的应用程序。趋势三:自认用户拥有的身份数据需要反复证明不属于自己。这是一件奇怪而又现实的事情。这不仅不方便,而且是数据泄露的万恶之源。自主身份是建立在区块链上的数字身份,也是用户对数字身份拥有最高控制权的形式。这类数字身份结合了区块链的去中心化、分布式、共识机制、哈希加密等特点。特点,使其具有更高的自主性、安全性和可控性。在现实世界中,用户可以通过多种方式验证自己的身份,而无需用户名或密码。他们可能会出示驾照、护照、社会保障卡或其他身份证明。过去,显示完整帐号的信用卡收据使身份盗窃变得容易。而所谓的自主身份是指当个人使用这些实体来验证自己的身份时,没有第三方(发行机构除外)维护一份副本,因此被盗的风险较小。简而言之,自我主权身份使用户能够以与“亲自证明”相同的方式在线验证自己。用户可以存储他们的个人身份数据,而不必将其提交到由公司管理的集中式数据库,如果这些公司遭到黑客攻击,数据将不可避免地遭到泄露。自我主权身份的问题在于,目前还没有普遍认可的媒介来存储和验证一个人的身份。许多自我主权身份的支持者现在认为,区块链是一种加密的、去中心化的个人信息数据库,代表了个人可以轻松在线验证其身份的理想机制。因此,整合区块链有可能在很大程度上改变IAM。根据您居住的地方,您的用户名和密码可能会替换为政府颁发的数字身份。这已经在瑞士楚格市发生,您的城镇可能是下一个。总之,可以预见的是,随着世界各地的主要公司和政府致力于“杀死密码”,在线身份也正在被识别和管理。【本文为专栏作者“安妞”原创文章,转载请通过安妞(微信id:gooann-sectv)获得授权】点此查看作者更多好文
