7個機器身份管理的最佳實踐
機器身份是企業攻擊面中一個快速增長的重要組成部分。如今,機器——服務器、設備和服務的數量正在迅速增長,然而企業在保護它們的方面所付出的努力卻往往顯得不足。
目前,網絡不法分子和其他威脅者已經迅速利用了這些優勢。根據網絡安全供應商Venafi去年發布的報告,在過去五年里,與濫用機器身份相關的網絡攻擊數量增長了1600%。
調研機構Gartner在去年秋天發布的報告中,將機器身份列為今年最熱門的網絡安全趨勢之一。報告顯示,2020年中,50%的云安全事故均是由身份、訪問和特權管理的不足導致的。并且預計2023年,這一比例將上升到75%。
Venafi公司負責安全戰略和威脅情報的副總裁Kevin Bocek表示,我們每年在人類身份和訪問管理上的花費高達數十億美元——從生物識別到訪問特權管理,但投資在保護機器身份的時間卻很少。但是,與人類身份一樣,機器身份也會遭到不法人員的濫用。
Saviynt的產品管理總監Chris Owen表示,企業往往過于信任其網絡上的機器,這意味著他們未經人工干預或傳統形式的認證,就與其他網絡資源相連接。因此一旦機器被破壞,那么攻擊者就可以通過這些“機器到機器”的路徑來在網絡中移動。
幸運是的,企業已經開始意識到該問題。根據 Ponemon研究所和 Keyfactor三月發布的報告,61%(較去年增長了34%)的IT專業人員認為,盜竊或濫用機器身份是一個嚴重的隱患。
意識到問題是解決問題的第一步,但是企業也可以采取其他更為具體的措施來防止機器身份問題失控。以下是其中的七個例子。
1、了解自己的證書、密鑰以及數字資產
Ponemon表示,IT組織的內部證書平均擁有量超過26.7萬,較去年同期增長16%。證書以及密鑰與操作基礎設施、物聯網、本地IT基礎設施、云基礎設施以及容器化基礎設施相互關聯。然而,其中一些證書和密鑰卻版本過舊。有些是被硬編碼的,有些則與其他身份交織在一起。Vanson Bourne去年的一項調查顯示,61%的組織都對其數字資產的證書和密鑰缺乏充分的認識。其中96%缺乏充分認識的企業表示自己遭受了嚴重的后果。對于常見的后果,55%的受訪者表示出現了網絡安全漏洞;35%表示遭遇了系統中斷,33%表示遭受了財務損失。
Hitachi ID Systems的副首席工程師Ian Reay表示,他目睹了企業由于不了解機器身份,從而遇到了嚴重的問題。例如,美國的一家重要企業需要更改密碼來維護其用來營銷的打印機。
Reay很疑惑:“只是打印機,為什么會造成如此的錯誤”他們遵循所有的更改控制項,更改了密碼,然后才發覺自己的生產系統正在下線,但卻不清楚其中的原因。
經過了幾個小時艱難的全球停電后,他們才意識到發生了什么。Reay表示大約20年前,一名管理員使用打印機賬戶來達成其他目的,所以該賬戶被混淆使用了,不僅用于打印機,同時還用于生產環境。而這一點是很難預測的。
當他們試圖改回原密碼時,卻失敗了。因為原來的密碼不再符合該企業的活動目錄密碼策略。因此,高級管理員不得不參與進來,允許此次例外。
企業往往都會有多個支離破碎,維護不善,而且充滿了錯誤的列表。Reay表示:“即使是那些頭部客戶,對于我們在客戶那里發現的問題,很多也無法解決。這實在令人生畏。”
2、頻繁修改密鑰和證書
網絡安全供應商Corsha的聯合創始人兼首席技術官AnushaIyer表示,靜態的密鑰和證書往往更容易成為不法分子盜竊和重復利用的目標。事實上,憑證填充攻擊從很大程度上已經從利用人類身份的用戶名和密碼,轉而利用API憑證,而API憑證本質上正是當今機器身份的代理。
隨著API生態系統的快速增長,該問題只會變得更具挑戰性。美洲航空公司 Capgemini的Excellence網絡安全中心的高級解決方案經理 Prasanna Parthasarathy表示,機器身份管理的不當往往會導致安全漏洞的產生。在最嚴重的情況下,攻擊者可以同時清除掉整個IT環境。攻擊者可以利用已知的API調用來訪問進程控制、事務或關鍵基礎設施,而這會產生毀滅性的后果。
Parthasarathy 表示,為了防止該情況的發生,公司應對源機器、云連接、應用服務器、掌上設備以及API交互實行嚴格的授權機制。最重要的是,受信任的證書不能是靜態的。應該對其進行頻繁的修改更新,并且永遠不能將其硬編碼到API調用中。
Parthasarathy認為,為每一筆交易都更改證書可能很困難,但隨著更新的越來越頻繁,企業將會擁有一個更加安全的環境。并且,公司必須在設備或程序棄用時立即其撤銷證書和密鑰。Gartner建議企業應從所有計算基礎設施中廢除隱性信任,代之以實時的自適應信任。
3、采用機器身份管理解決方案
Gartner將機器身份管理歸入身份和訪問管理(IAM)技術的范疇。并且Gartner 最新的“炒作周期”表示,機器身份管理如今正不斷接近預期的峰值,距離“生產率穩定期”還有兩到五年的時間。
根據VansonBourne的調查,95%的企業已經實現或計劃實現自動化的機器身份管理工作流、機器身份管理作為一種服務,或在混合部署模型上管理證書生命周期的能力。然而,只有32%的企業完全實現了現代機器身份管理。根據調查,53%的企業仍將電子表格作為其機器身份管理的核心,93%在該流程中使用了電子表格。
Keyfactor公司的首席戰略官(CSO)Chris Hickman表示,在大多數組織中,機器身份的所有權是模糊的,并非明確分配。因此,許多組織最終采用單一的機器身份管理方法。更糟糕的是,這些身份大多無人管理。他建議企業應建立跨功能的核心小組,來負責管理所有機器身份。
4、實施自動化
根據 Vanson Bourne的調查,那些將自動化工作流程應用于機器身份管理的公司,其中一部分享受到了其中的益處。其中50%的擁有自動化系統的企業,能夠跟蹤所有的證書和密鑰,而對于那些沒有自動化系統的企業,只有28%。另一方面只有33%的組織完全實現了自動化工作流,48%仍在實現的過程中進。另外15%的組織正在計劃實施自動化,而4%的組織則沒有在這一領域實施自動化的計劃。
IT安全決策者表示,他們預期自動化可以在一定程度上降低成本,減少管理密鑰和證書所花費的時間,同時也可以簡化工作流程。Venafi's Bocek表示,自動化是不可或缺的,如果沒有自動化管理,數字化轉型計劃就會停滯。并且,自動化還可以避免一些人為的錯誤,。
5、將云部署納入計算機身份管理計劃
根據 Vanson Bourne的調查,隨著基礎設施從本地部署轉型到云部署,92%的企業不得不重新考慮和改變機器身份管理解決方案。76%的企業表示,他們現有的解決方案并不能完全支持云部署或混合部署。
Gartner的分析師Laurence Goasduff在最近的一份報告中表示,“單一玻璃”方法在多云環境中還不實用。公司可以應用單獨的總體框架,集中一些功能的同時,為本地工具留出一定空間。
根據Vanson Bourne 的調查,只有不到一半的企業計劃構建一個覆蓋所有云部署的單一機器身份管理解決方案;相反,37%的企業計劃為每個云都建立一個單獨的機器身份管理系統,并以一個核心政策來覆蓋所有云;而22%的企業則計劃構建沒有核心政策的單獨系統。
6、將機器人納入機器身份管理計劃中
隨著全球范圍的大潮流,各企業都加快了其自動化戰略。Forrester表示,2022年全球機器人程序自動化軟件市場將達到65億美元,相較于2021年的24億美元有所增長。Goasduff在 Gartner報告中表示,也需要對這些軟件機器人的身份進行管理。首先,需要對“將RPA工具集成到身份結構中”的最佳實踐和指導原則進行定義,其次還需要將RPA的軟件機器人看作另外的需要機器身份的工作負載。”
7、將機器納入零信任計劃之中
就算不是最重要的,零信任也算是當今企業最首要的安全任務之一。根據Information Security Media Group于今年2月發布的調查,100%的受訪者都認為零信任對降低安全風險來說,具有重要的意義。同時這也是美國總統拜登年初發布的網絡安全備忘錄中的核心內容。
零信任不僅僅是要求用戶始終都要經過完全的身份驗證。同時,它也適用于流程和設備。在最新的零信任安全模式中,管理設備的身份尤為重要。如果企業設備在網絡上沒有獲得任何特殊的信任狀態,那么它就必須要有一種識別與其他設備、服務或數據的交互并對其授權的方法。
根據Fortinet年初的調查,84%的企業擁有成熟的或正在發展的零信任戰略。然而,擁有持續認證設備的能力對于59%的企業來說仍是一個難題。
