關于身份和訪問管理，CISO需要知道的10件事

生成式AI是攻擊者用來創建和發起基于身份的攻擊的新武器。CrowdStrike總裁Michael Sentonas在最近的一次采訪中表示，“攻擊者正在不斷調整他們的間諜技術，尋找利用端點和身份交叉點的漏洞。這是當今人們需要應對的最大挑戰之一。George(CrowdStrike首席執行官)和我在RSA 2023大會上做的黑客攻擊演示，就是為了展示身份和復雜性方面的一些挑戰。我們將端點與身份和用戶正在訪問的數據聯系起來的原因，是因為這是一個關鍵問題。如果你能解決這個問題，你將能解決一個企業面臨的很大一部分網絡問題。”

今天的深度偽造和假托 明天的自動化和有彈性的攻擊

一些深度偽造(deepfakes)攻擊的目標是首席執行官和企業領導者。Zscaler的首席執行官Jay Chaudhry講述了最近發生的一起事件，在這起事件中，一名攻擊者利用Chaudhry的深度偽造聲音，從該公司在印度的業務中勒索資金。對此，他表示，“這只是一個例子，事實上，不止我的聲音……越來越多的聲音偽造正在發生。除此之外，還有越來越多的外觀和感覺偽造。”深度偽造已經變得如此普遍，以至于國土安全部(DHS)特意發布了一份指南——《日益增加的深度偽造身份威脅》。

如今，攻擊者正計劃利用人們的信任通過生成式AI獲利。Sentonas、Chaudhry和許多其他領先網絡安全公司的首席執行官都認為，被盜的身份和特權訪問憑據是他們正在幫助客戶應對的最危險的威脅載體。攻擊者押注身份安全仍然薄弱，仍然是入侵企業的突破口。

通過建立在零信任的基礎上最大化身份和訪問管理(IAM)的有效性

零信任是讓IAM發揮效益的重要力量，而身份是零信任的核心。首席信息安全官(CISO)必須假設已經發生了違規行為，并在零信任框架上全力以赴。(然而，他們應該意識到，網絡安全供應商往往夸大了他們的零信任能力。)

CrowdStrike的George Kurtz表示，“身份優先安全對于零信任至關重要，因為它使企業能夠根據用戶的需求實施強大而有效的訪問控制。通過不斷驗證用戶和設備的身份，企業可以降低未經授權訪問的風險，并防范潛在的威脅。”

今年早些時候，零信任創始人John Kindervag在接受采訪時總結了任何企業都可以從零信任入手的建議。他建議稱，“你不能從一項技術開始，這是對零信任的誤解。當然，供應商想要出售技術，所以他們說‘你需要從我們的技術入手’。但這些都不是真的。事實是，你首先應該設計一個保護表面，然后再研究技術。記住，零信任并不一定要代價高昂才能有效。”

關于2023年的IAM，每個CISO都需要知道什么

CISO稱，為了跟上IAM技術的發展，最大的挑戰是整合網絡安全技術堆棧，用更少的預算和人員做更多的事情。96%的CISO計劃整合他們的安全平臺，63%的人更喜歡擴展檢測和響應(XDR)。Cynet 《2022年CISO調查》發現，幾乎所有公司都在規劃整合，這一比例高于2021年的61%。

CrowdStrike、Palo Alto Networks、Zscaler和其他網絡安全供應商在幫助客戶整合技術堆棧方面看到了新的銷售機會。Gartner預測，到2023年，全球IAM支出將達到207億美元，到2027年將增長到324億美元，復合年增長率為11.8%。領先的IAM提供商包括AWS身份和訪問管理、CrowdStrike、Delinea、Ericom、ForgeRock、Ivanti、Google Cloud Identity、IBM、Microsoft Azure Active Directory、Palo Alto Networks和Zscaler。

根據今年上半年對CISO和CIO的一系列采訪，VentureBeat總結了CISO和CIO在2023年需要了解的10個IAM事實：

1. 首先，審計所有訪問憑據和權限，以阻止日益嚴重的憑據泛濫

內部攻擊是CISO的噩夢。這是他們工作中的煩惱之一，也是讓他們夜不能寐的原因之一。一次毀滅性的內部攻擊如果沒被發現，可能會讓他們及其團隊失去工作，尤其是在金融服務領域。92%的安全負責人表示，內部攻擊與外部攻擊一樣復雜，甚至更難以識別。

將遺留憑據導入新的身份管理系統是一個常見的錯誤。建議花時間檢查和刪除憑據。四分之三(74%)的企業表示內部攻擊有所增加，超過一半的企業在過去一年中經歷過內部威脅。8%的人遭受過20次或更多的內部攻擊。

Ivanti最近發布的《2023年網絡安全狀況報告》發現，45%的企業懷疑前員工和承包商仍然可以主動訪問公司的系統和文件。其首席產品官Srinivas Mukkamala博士表示，“大型組織往往沒有考慮到龐大的應用程序、平臺和第三方服務生態系統，這些應用程序、平臺和第三方服務會在員工被解雇后很長一段時間內仍授予訪問權限。我們稱這些為‘僵尸憑據’，數量驚人的安全專業人員，甚至是領導層的高管，仍然可以訪問前雇主的系統和數據。”

2. 多因素身份驗證(MFA)可以快速實現零信任

CISO、CIO和安全運營團隊成員都強調了，多因素身份驗證(MFA)作為零信任防御的第一道防線的重要性。他們依靠MFA來展示零信任計劃的積極成果。

他們建議，MFA必須在對員工生產力影響最小的情況下啟動。MFA實現最好地將“你知道什么”(密碼或PIN碼)身份驗證與“你是什么”(生物識別)、“你做了什么”(行為生物識別)或“你擁有什么”(令牌)因素結合起來。

3. 無密碼是未來，所以現在就開始計劃吧

CISO必須考慮如何擺脫密碼，并采用零信任方法來保護身份安全。高德納(Gartner)預測，到2025年，50%的勞動力和20%的客戶身份驗證交易將是無密碼的。

領先的無密碼認證提供商包括Microsoft Azure Active Directory(Azure AD)、OneLogin Workforce Identity、Thales SafeNet Trusted Access和Windows Hello for Business。但CISO們更青睞Ivanti的零登錄(ZSO)解決方案，因為它的UEM平臺結合了無密碼認證、零信任和簡化的用戶體驗。

Ivanti使用的FIDO2協議消除了密碼，并支持包括蘋果面部識別在內的生物識別技術作為次級認證因素。ZSO在IT團隊中得到了很高的評價，因為他們可以在任何移動設備上配置它，而無需代理——這為ITSM團隊節省了大量的時間。

4. 使用身份威脅檢測和響應(ITDR)工具保護IAM基礎設施

身份威脅檢測和響應(ITDR)工具可以降低風險，并不斷改進和強化安全配置。它們還可以發現和修復IAM基礎設施中的配置漏洞;檢測攻擊;并提出修復建議。通過部署ITDR來保護IAM系統和存儲庫，包括Active Directory(AD)，企業正在改善他們的安全狀況，并降低IAM基礎設施被破壞的風險。

主要供應商包括Authomiz、CrowdStrike、微軟、Netrix、Quest、Semperis、SentinelOne (Attivo Networks)、Silverfort、SpecterOps和Tenable。

5. 在IAM技術棧中添加特權訪問管理(PAM)

Savynt創始人、首席執行官兼董事會主席Sachin Nayyar表示，“我一直認為特權訪問管理(PAM)屬于身份和訪問管理的整體范疇。它是任何公司中特定用戶有特定需求的一種訪問類型。當它需要與身份訪問管理一起運行時，有特定的工作流程，圍繞會話管理有特定的要求，特別是合規性要求和安全要求……在我們看來，這都是身份管理和治理保護傘的一部分。”

Nayyar還指出，他從公司的企業客戶那里看到了云計算的強勁勢頭，由于與微軟聯合銷售，他們40%的工作負載運行在Azure上。

6. 在授予對資源的訪問權限之前，驗證每臺機器和人的身份

最新的IAM平臺具有靈活性、適應性和開放的API集成。這節省了SecOps和IT團隊將其集成到網絡安全技術堆棧中的時間。最新一代的IAM平臺可以驗證每個資源、端點和數據源的身份。

零信任安全需要從嚴格的控制開始，只有在驗證身份并跟蹤每個資源交易后才允許訪問。通過要求身份驗證來限制對員工、承包商和其他內部人員的訪問，可以防止外部威脅。

7. 要知道活動目錄(AD)幾乎是所有入侵的目標

每天大約有9500萬個活動目錄(Active Directory，AD)帳戶受到攻擊，因為90%的組織使用身份平臺作為其身份驗證和用戶授權的主要方法。

KuppingerCole網絡安全研究總監兼首席分析師John Tolbert在《身份與安全：應對現代威脅形勢》的報告中寫道：“活動目錄組件是攻擊活動中的高優先級目標，一旦被發現，攻擊者可以創建額外的活動目錄森林和域，并在它們之間建立信任，以方便他們更容易地訪問。它們還可以在完全不同的域之間創建聯邦信任(federation trust)。可信域之間的身份驗證看起來是合法的，如此一來，惡意分子的后續行為可能不會輕易被解釋為惡意，直到為時已晚，數據已經泄露和/或破壞行為已經發生。”

8. 通過為最低權限訪問配置IAM，防止人類在AWS中扮演機器角色

避免將DevOps、工程和生產人員以及AWS承包商的人和機器角色混合在一起。如果角色分配不正確，惡意員工或承包商可能會在任何人都不知道的情況下，從AWS實例中竊取機密數據。審計交易，并強制執行最低權限訪問以防止違規。在AWS身份和訪問管理中有可配置的選項來確保這種級別的保護。

9. 縮小身份和端點之間的缺口，以強化依賴于IAM的威脅面

攻擊者正在使用生成式AI來加強對IAM、PAM和端點間缺口的攻擊。CrowdStrike的Sentonas表示，他的公司將繼續關注這一領域，并將其視為“未來端點安全的核心”。98%的企業確認他們管理的身份數量呈指數級增長，84%的企業已經成為身份相關泄露的受害者。

端點蔓延(Endpoint sprawl)使得身份泄露更難阻止。端點通常配置過度且容易受到攻擊。十分之六(59%)的端點至少有一個IAM代理，11%的端點有兩個或更多。這些和其他來自Absolute Software《2023年彈性指數報告》的發現說明了零信任策的有效性。Absolute報告發現，“零信任網絡訪問(ZTNA)可以幫助企業擺脫對用戶名/密碼的依賴，而是在授予對企業資源的訪問權限之前依賴于上下文因素，如時間、地理位置和設備安全狀態。”

報告解釋稱，“自我修復網絡安全系統的不同之處在于，它們能夠相對地防止人為錯誤、軟件沖突和惡意活動等因素。”

10. 決心在即時(JIT)供應方面出類拔萃

JIT(just-in-time)配置是零信任的另一個基本元素，它降低了風險，并被內置到許多IAM平臺中。使用JIT限制用戶對項目和目的的訪問，并使用策略保護敏感資源。限制訪問可以提高安全性，保護敏感數據。JIT通過配置最低特權訪問和根據角色、工作負載和數據分類限制用戶訪問，從而補充零信任。

你的首要任務：首先假設身份將被泄露

零信任代表了組織所依賴的“基于邊界”的傳統方法的根本轉變。這是因為操作系統和支持它們的網絡安全應用程序假定，如果外圍是安全的，那么一切都會很好。但事實證明恰恰相反。攻擊者很快就學會了如何微調他們的間諜技術，以滲透基于邊界的系統，造成網絡攻擊和破壞的數字流行病。

現在，生成式AI又將挑戰提升到了一個新的高度。攻擊者利用最新技術對社交工程、商業電子郵件攻擊(BEC)、假托和冒充首席執行官的深度偽造進行微調，目的都是利用受害者的信任進行交易。萬事達卡(MasterCard)負責安全和網絡創新的執行副總裁Johan Gerber警告稱，“犯罪分子已經在利用人工智能來突破世界上的一些網絡安全措施。但人工智能必須成為我們未來的一部分，成為我們解決網絡安全問題的一部分。”