身份和訪問管理(IAM)策略失敗的6個跡象及緩解策略
數十年來,公司一直在開發和執行身份和訪問管理(IAM)策略。不過,盡管有如此長時間的經驗,在實施過程中仍然存在很多錯誤,尤其是當公司將其IAM平臺升級到可以更好地處理現代IT部署的平臺時。而這些錯誤可能會對企業發展產生非常持久的影響。以下六種方法可以判斷公司的IAM策略是否失敗:
1. 用戶無法訪問他們的應用程序,但犯罪分子可以
IAM平臺的主要目標是允許合法用戶訪問他們所需的資源,同時阻止惡意行為者。如果發生相反的情況,則說明存在問題。根據Verizon最新的《數據泄露事件報告》指出,被盜憑據是去年最常見的攻擊方法,涉及一半的泄露事件和超過80%的Web應用程序泄露事件。
IDC安全產品項目總監Jay Bretzmann指出,公司通常嘗試做的第一件事就是擺脫簡單的用戶名和密碼組合,并添加一次性短信驗證碼。但這并沒有多大幫助,而且會損害用戶體驗。他表示,“如果實施得當,IAM應該不僅僅是單點登錄(SSO)和多因素身份認證(MFA)。而是關于了解用戶多樣性,幫助他們實現IT系統訪問請求并解決其面臨的各種連接問題。”
根據Forrester分析師Andras Cser的說法,企業IAM系統范圍內的用戶包括員工、業務合作伙伴和最終客戶。所有這些都需要不同的方法。對于員工而言,企業通常會求助于身份即服務提供商,例如Okta、Azure Active Directory或本地IAM系統,這些系統仍然比基于云的選項更強大、功能更豐富。對于客戶來說,一些公司開始從用戶名和密碼轉向谷歌和Facebook等社交登錄。
最后一個IAM訪問類別是機器身份。根據Pulse和KeyFactor去年秋天發布的一項調查顯示,機器身份的優先級低于用戶身份,但95%的受訪CIO表示他們的IAM策略可以保護機器身份免受攻擊。
企業還需要注意這樣一個事實,即他們必須在各種環境(本地、云、SaaS、移動和居家辦公)中保護所有這些不同類型的用戶。
2. 孤立的身份和訪問管理平臺
Gartner分析師Henrique Teixeira表示,許多組織使用不同的解決方案進行訪問管理、身份治理和管理(IGA)以及特權訪問管理。這些孤立的解決方案之間不僅存在功能重疊,還可能存在可被攻擊者利用的缺口。
目前,供應商開始轉向統一系統來解決這個問題。例如,Okta和Microsoft已經開始提供更多融合平臺。Gartner估計,到2025年,70%的IAM部署將通過這些融合IAM平臺實現。
Teixeira補充道,面向客戶的IAM更加落后。大多數組織都在使用定制的本土(home-grown)應用程序,在應對新的隱私法規要求和保護基礎設施免受更現代類型的攻擊時,這是存在問題的。
3. 過于激進的IAM推出計劃
人們很容易誤以為IAM平臺會一次性完成所有工作。Cser解釋稱,高管們很容易對解決方案寄予太高期望,而供應商也會過度承諾。這是許多組織都面臨的一個現實問題。如果你正嘗試安裝訪問管理解決方案,并且必須在一天內讓所有300個應用程序全部上線,那勢必會失敗。
Cser建議可以將一次性推出改為分階段推出。試圖一口氣完成所有事情是不現實的。例如,盡管供應商做出了承諾,但公司通常必須做更多的定制和編排工作才能集成他們的應用程序。如果IAM的現代方法需要重新設計內部流程,情況則尤為如此。他建議進行IAM更新的公司可以利用這個機會先簡化和合理化流程。而不是全盤執行現有的爛攤子。他解釋稱,“這個過程就像搬家一樣,當你從一個地方搬到另一個地方時,你一定會先把不需要的東西扔掉,而不是把它們原封不動地搬到新的地方。”
4. 認證和授權分離
搜索技術公司Yext的首席信息安全官Rohit Parchuri表示,IAM是任何安全和IT計劃的基石。如果沒有它,其他安全控制的商業價值就會降低,并且無法充分發揮其潛力。企業必須先了解自身的投資組合中存在哪些用戶和資產,然后才能開始保護它們。IAM提供了訪問環境的可見性,同時還支持控制訪問的功能。
Parchuri介紹稱,他曾在部署IAM時遇到幾個問題。第一個問題就是授權被視為獨立于身份驗證的實體。使用單獨的授權服務器,就意味著不得不在兩個不同系統的身份驗證和授權實踐之間來回切換。這不僅增加了總擁有成本,還給管理兩個獨立實體的團隊帶來了額外負擔。
5. 認證覆蓋盲點
Parchuri面臨的另一個問題是一些內部系統沒有編目,仍然依賴本地身份驗證。他介紹稱,“我們的一些內部系統仍在依賴本地身份驗證,而且在會話管理和用戶入職和離職實踐方面缺乏可見性。這些任務本應由IAM工具處理,但實際上并沒有。”
這個錯誤是該公司在對其資產管理計劃進行覆蓋練習時發現的。
Parchuri表示,“我們發現在我們的配置管理數據庫中記錄的應用程序并沒有在IAM工具中捕獲。在確定了這些應用程序后,我們還注意到IAM工具將授權驗證外包給本地部署的本地系統,盡管它們作為一個實體存在于IAM工具中。”
要解決這個問題,最難的部分是要弄清楚是否可以使用安全斷言標記語言(SAML)或跨域身份管理(SCIM)來集成IAM工具和內部工具。一旦確定能夠做到這一點,剩下的就是執行和持續管理。
6. 多個IAM系統導致可見性問題
專注于監管、風險和合規問題的全球咨詢公司StoneTurn的合伙人Luke Tenery表示,公司有時會在集成不同的IAM平臺時遇到挑戰。他解釋稱,如果企業擁有太多的身份管理系統,就很難發現安全異常之間的聯系。這就是弊病所在。
例如,許多網絡攻擊都涉及某種形式的電子郵件泄露。如果相同的身份也用于訪問公司的Salesforce系統,那么在發現第二個攻擊向量之前可能會有很大的延遲。Tenery解釋稱,如果它是相同的用戶名和密碼,但以去中心化(decentralized)的方式管理,他們可能看不到Salesforce中發生的妥協。而發現威脅的時間越長,對組織產生的影響也會隨之增加。
Tenery補充道,他還曾看過一個案例:威脅行為者能夠進入全球酒店供應商忠誠度計劃的Salesforce數據庫,訪問數百萬客戶記錄。
針對該問題的解決方案是創建跨整個企業范圍的IAM整體試圖。如果直接集成的任務太過艱巨,有一些先進的工具可以利用機器學習和人工智能創建自動化來建立這些聯系。例如,Obsidian Security,它是一個利用不同形式的自動化和機器學習來識別身份鏈接(identity linkages)以檢測安全異常和管理身份風險的平臺。
參考及來源:https://www.csoonline.com/article/3665234/6-signs-your-iam-strategy-is-failing-and-how-to-fix-it.html
