我們都知道,數字身份將是開啟信息安全世界之門的鑰匙,建立健全信息身份安全管理體系是保障信息安全可持續發展的重中之重。
那麼,如何在這個信息安全事故頻發的時代,建立較為完善的身份管理體系以應對眾多的安全挑戰呢?就這一話題,我們邀請了多年來深耕身份安全領域的派拉軟件的CEO譚翔先生來分享下身份安全的現狀、未來以及落地發展等方面的經驗與建議。
派拉軟件的CEO譚翔
信息安全界人士但凡談到安全,基本上會從恐怖故事開始,似乎不嚇一嚇人難以體現對信息安全的重視。我也想從幾個恐怖故事開始,不是為了嚇住各位客官,而是從這些發生的案例中,我們可以看出端倪,從而幫助我們分析問題。
故事1:2019年10月初,全球最大的助聽器製造商Demant,遭勒索軟件入侵,直接經濟損失高達9500萬美元。
故事2:2020年2月23日,智能商業服務提供商微盟大面積服務集群無法響應,生產環境及數據遭受嚴重破壞。微盟股價24日在這一天時間內,蒸發的市值超過10億港元。
故事3:2020年3月31日,萬豪國際集團發佈公告,稱約520萬名酒店客人的信息可能被洩露。
這些年,大型企業發生的安全事故越來越頻繁,企業對於信息安全也越來越重視,很多企業甚至任命了首席信息安全官(CISO)。
這些安全事件發生的企業都在信息安全上投入了大量的預算。
這些企業絕大多數部署了大量的安全產品,從防火牆,入侵檢測,防病毒,防DDOS攻擊,日誌管理,數據庫審計,上網行為管理,VPN,漏洞掃描,終端安全…等等。
為什麼依然未能防止惡性的信息安全事故呢?
難道CISO = Career IS Over是註定的?
我們從列舉的三個安全事故進行深入的分析:
2019年針對勒索病毒的統計結果表明,它的主要攻擊方式依然以弱口令爆破攻擊為主,其次為通過海量的垃圾郵件傳播,而利用高危漏洞緊隨其後。
微盟官方發佈公告表明本次故障是由微盟核心運維人員通過數據庫管理員賬號執行惡意的數據庫命令導致。
萬豪集團的數據洩露案例的調查表明,黑客通過俄羅斯一家特許經營店兩名員工的賬號訪問了大量的客戶信息。
首先,我們梳理一下這裡面的幾個關鍵點:
弱口令,高危漏洞,數據庫管理員賬號的訪問控制,員工賬號
這裡的幾個關鍵點,除了高危漏洞,其他都與“人”相關!
再來看一下,我們企業的信息安全的架構:
從上圖可以看出,所有的用戶對於內部的訪問都是基於防火牆,VPN,入侵檢測/防範、網絡設備及網絡隔離後進入內部,這個安全的理念是基於邊界的防護。
再來看看我們今天的信息化世界:
從內網,到移動互聯網,到雲計算和物聯網,隨著數字技術的革新,我們的信息不只在內網,我們的數據出現在手機上,出現在雲端,我們的信息系統的邊界已經無限擴展。基於邊界防護的安全架構,一旦攻擊者通過弱口令,身份欺詐進入到內網,通過高危漏洞,進而獲取高權限的賬號,安全防護基本就失效了,這就是現代信息世界的特洛伊木馬。
因此,我們的安全問題不僅僅是缺少了某些安全工具,而是安全防護理念需要革新。我們需要從基於邊界防護的安全理念轉換到以人身份為中心的安全訪問控制的理念上來。
業界的先驅正是看到了安全理念需要變革,提出了新一代安全防護的理念。我在這裡和大家談談兩個新安全理念的先驅實踐。
第一個是Google的零信任架構實踐, 2010年Forrester諮詢公司和美國國家標準與技術局(NIST)首次提出了零信任模型概念。Google在2013年開始向零信任架構轉型後,帶動了“零信任”安全架構的熱議。
零信任安全概念的核心是公司企業不應該信任其內部和外部實體,應驗證每一個連向其系統的訪問請求。零信任安全的本質是以身份為中心進行動態訪問控制。
零信任安全核心實踐包括:
通過身份治理平臺實現用戶、設備、應用等實體的全面身份化,從0開始構築基於身份的信任體系,建立企業全新的身份邊界。所有的業務不管是內網還是外網,無論是人員還是軟件接口,只有認證通過並且具備足夠的權限才能訪問業務。簡而言之,先身份認證再連接,而不是相反。
訪問控制需要符合最小權限原則進行細粒度授權,基於儘量多的身份屬性進行信任和風險評估,實現動態自適應訪問控制。
第二個是Gartner提出的“持續自適應風險與信任”(CARTA),下圖是CARTA的架構圖。
CARTA 3.0 構架
從CARTA3.0架構中可以看出Gartner對於認證領域(IAM)的重視,並將攻擊保護側和訪問保護側分別定位為將“壞”的驅趕出來和讓“好”的進入,並且進行持續的風險評估。這個架構中的核心點在於認證,包括了對服務的發現、訪問、監控和管理。自適應安全架構發展 4 年,不斷的擴展它的內涵和外延,表現出了極大的生命力。無論作為安全甲方還是安全乙方,都有很大的參考價值。
安全建設方面,可以參考此架構對整個組織的安全狀況進行梳理,構建整個安全建設方案,儘量選擇覆蓋自適應能力更全的廠商來改善整體的安全態勢。
Gartner分析師認為:零信任是CARTA的初始階段。
不難看出,無任是零信任還是CARTA,新一代的安全理念應該是:
以身份為中心實現安全訪問,同時兩者都強調基於持續的風險評估進行訪問控制。
有一種落差就是美好的理想和殘酷的現實的差距。
絕大多數公司無法像Google那樣大手筆以較快的速度從安全理念革新到架構的落地,也無法全面參照Gartner的CARTA來持續動態的基於風險評估實現安全控制。
既然Gartner也認為零信任是CARTA初級階段,那麼我們可以努力逐步走向零信任安全架構。那我們應該如何來規劃零信任安全架構呢?
先看一下,零信任架構的成熟度模型:
既然身份是零信任的基礎,那麼我們可以從身份治理開始。關於身份治理,Gartner也給出了定義,包含身份治理IGA,認證,訪問控制,特權訪問管理:
第一步:我們先實施身份管理,達成以身份為中心的零信任架構的起點:
1)建立身份治理體系
在人員較多的企業,總是有部分員工的安全意識薄弱,無法管理好複雜繁多的數字身份。
完善的身份治理可以避免弱密碼,孤兒賬號,高效管理人員入離職的身份生命週期管控。
2)建立高強度的認證機制
高強度身份認證是投資少,回報大的安全項目。尤其是多因素認證(MFA),往往勒索軟件通過惡意郵件或弱口令掌控員工的電腦,然後在內網橫向移動,找到管理員或高級管理者的電腦,通過高危漏洞潛伏。
在沒有MFA的情況,往往通過監視活動獲得高價值數據的訪問賬號從而達到目的。而實施MFA情況下,黑客無法獲得動態口令等認證因子,從而很好保護高價值數據的安全。
3)特權身份管理
第三點就是加強IT本身的人員的管理,IT人員可以輕鬆訪問到企業內部的服務器、數據庫、網絡設備等資源,如果對於這類特權身份的管理缺乏管控,一旦出現問題,將是災難性的問題。所以我們需要實現這類特權身份的合理管控,從安全認證、資源權限、訪問控制、安全審計等多方面入手,來保護企業內部的核心資產。
第二步:在建立好較為完善的身份管理基礎上,實施風險評估和訪問控制
1)建立風險評估引擎
在這個階段,不是簡單通過密碼或MFA來評定是否允許訪問,而是需要評估很多風險因子,比如:
這個階段需要使用大數據技術來積累訪問數據,通過引入算法完成風險值的評估。
2)基於風險實現訪問控制
在風險識別的基礎上完成訪問行為的控制,可以實施基於ABAC的訪問控制。
如果說業務的沉澱和能力的創新是企業數字化轉型帶來的無形資產,那麼信息安全便是保存企業資產的瓦坎達屏障,而身份安全正是進入瓦坎達的入口。
零信任能夠隔離外部的攻擊,也能夠時刻校驗並阻止內部的可疑行為,賦予企業安全自適應能力。
