【牛人访谈】身份安全,零信任的瓦坎达入口
星期三, 五月 6, 2020
我们都知道,数字身份将是开启信息安全世界之门的钥匙,建立健全信息身份安全管理体系是保障信息安全可持续发展的重中之重。
那么,如何在这个信息安全事故频发的时代,建立较为完善的身份管理体系以应对众多的安全挑战呢?就这一话题,我们邀请了多年来深耕身份安全领域的派拉软件的CEO谭翔先生来分享下身份安全的现状、未来以及落地发展等方面的经验与建议。
派拉软件的CEO谭翔
信息安全界人士但凡谈到安全,基本上会从恐怖故事开始,似乎不吓一吓人难以体现对信息安全的重视。我也想从几个恐怖故事开始,不是为了吓住各位客官,而是从这些发生的案例中,我们可以看出端倪,从而帮助我们分析问题。
故事1:2019年10月初,全球最大的助听器制造商Demant,遭勒索软件入侵,直接经济损失高达9500万美元。
故事2:2020年2月23日,智能商业服务提供商微盟大面积服务集群无法响应,生产环境及数据遭受严重破坏。微盟股价24日在这一天时间内,蒸发的市值超过10亿港元。
故事3:2020年3月31日,万豪国际集团发布公告,称约520万名酒店客人的信息可能被泄露。
这些年,大型企业发生的安全事故越来越频繁,企业对于信息安全也越来越重视,很多企业甚至任命了首席信息安全官(CISO)。
这些安全事件发生的企业都在信息安全上投入了大量的预算。
这些企业绝大多数部署了大量的安全产品,从防火墙,入侵检测,防病毒,防DDOS攻击,日志管理,数据库审计,上网行为管理,VPN,漏洞扫描,终端安全…等等。
为什么依然未能防止恶性的信息安全事故呢?
难道CISO = Career IS Over是注定的?
我们从列举的三个安全事故进行深入的分析:
2019年针对勒索病毒的统计结果表明,它的主要攻击方式依然以弱口令爆破攻击为主,其次为通过海量的垃圾邮件传播,而利用高危漏洞紧随其后。
微盟官方发布公告表明本次故障是由微盟核心运维人员通过数据库管理员账号执行恶意的数据库命令导致。
万豪集团的数据泄露案例的调查表明,黑客通过俄罗斯一家特许经营店两名员工的账号访问了大量的客户信息。
首先,我们梳理一下这里面的几个关键点:
弱口令,高危漏洞,数据库管理员账号的访问控制,员工账号
这里的几个关键点,除了高危漏洞,其他都与“人”相关!
再来看一下,我们企业的信息安全的架构:
从上图可以看出,所有的用户对于内部的访问都是基于防火墙,VPN,入侵检测/防范、网络设备及网络隔离后进入内部,这个安全的理念是基于边界的防护。
再来看看我们今天的信息化世界:
从内网,到移动互联网,到云计算和物联网,随着数字技术的革新,我们的信息不只在内网,我们的数据出现在手机上,出现在云端,我们的信息系统的边界已经无限扩展。基于边界防护的安全架构,一旦攻击者通过弱口令,身份欺诈进入到内网,通过高危漏洞,进而获取高权限的账号,安全防护基本就失效了,这就是现代信息世界的特洛伊木马。
因此,我们的安全问题不仅仅是缺少了某些安全工具,而是安全防护理念需要革新。我们需要从基于边界防护的安全理念转换到以人身份为中心的安全访问控制的理念上来。
业界的先驱正是看到了安全理念需要变革,提出了新一代安全防护的理念。我在这里和大家谈谈两个新安全理念的先驱实践。
第一个是Google的零信任架构实践, 2010年Forrester咨询公司和美国国家标准与技术局(NIST)首次提出了零信任模型概念。Google在2013年开始向零信任架构转型后,带动了“零信任”安全架构的热议。
零信任安全概念的核心是公司企业不应该信任其内部和外部实体,应验证每一个连向其系统的访问请求。零信任安全的本质是以身份为中心进行动态访问控制。
零信任安全核心实践包括:
通过身份治理平台实现用户、设备、应用等实体的全面身份化,从0开始构筑基于身份的信任体系,建立企业全新的身份边界。所有的业务不管是内网还是外网,无论是人员还是软件接口,只有认证通过并且具备足够的权限才能访问业务。简而言之,先身份认证再连接,而不是相反。
访问控制需要符合最小权限原则进行细粒度授权,基于尽量多的身份属性进行信任和风险评估,实现动态自适应访问控制。
第二个是Gartner提出的“持续自适应风险与信任”(CARTA),下图是CARTA的架构图。
CARTA 3.0 构架
从CARTA3.0架构中可以看出Gartner对于认证领域(IAM)的重视,并将攻击保护侧和访问保护侧分别定位为将“坏”的驱赶出来和让“好”的进入,并且进行持续的风险评估。这个架构中的核心点在于认证,包括了对服务的发现、访问、监控和管理。自适应安全架构发展 4 年,不断的扩展它的内涵和外延,表现出了极大的生命力。无论作为安全甲方还是安全乙方,都有很大的参考价值。
安全建设方面,可以参考此架构对整个组织的安全状况进行梳理,构建整个安全建设方案,尽量选择覆盖自适应能力更全的厂商来改善整体的安全态势。
Gartner分析师认为:零信任是CARTA的初始阶段。
不难看出,无任是零信任还是CARTA,新一代的安全理念应该是:
以身份为中心实现安全访问,同时两者都强调基于持续的风险评估进行访问控制。
有一种落差就是美好的理想和残酷的现实的差距。
绝大多数公司无法像Google那样大手笔以较快的速度从安全理念革新到架构的落地,也无法全面参照Gartner的CARTA来持续动态的基于风险评估实现安全控制。
既然Gartner也认为零信任是CARTA初级阶段,那么我们可以努力逐步走向零信任安全架构。那我们应该如何来规划零信任安全架构呢?
先看一下,零信任架构的成熟度模型:
既然身份是零信任的基础,那么我们可以从身份治理开始。关于身份治理,Gartner也给出了定义,包含身份治理IGA,认证,访问控制,特权访问管理:
第一步:我们先实施身份管理,达成以身份为中心的零信任架构的起点:
1)建立身份治理体系
在人员较多的企业,总是有部分员工的安全意识薄弱,无法管理好复杂繁多的数字身份。
完善的身份治理可以避免弱密码,孤儿账号,高效管理人员入离职的身份生命周期管控。
2)建立高强度的认证机制
高强度身份认证是投资少,回报大的安全项目。尤其是多因素认证(MFA),往往勒索软件通过恶意邮件或弱口令掌控员工的电脑,然后在内网横向移动,找到管理员或高级管理者的电脑,通过高危漏洞潜伏。
在没有MFA的情况,往往通过监视活动获得高价值数据的访问账号从而达到目的。而实施MFA情况下,黑客无法获得动态口令等认证因子,从而很好保护高价值数据的安全。
3)特权身份管理
第三点就是加强IT本身的人员的管理,IT人员可以轻松访问到企业内部的服务器、数据库、网络设备等资源,如果对于这类特权身份的管理缺乏管控,一旦出现问题,将是灾难性的问题。所以我们需要实现这类特权身份的合理管控,从安全认证、资源权限、访问控制、安全审计等多方面入手,来保护企业内部的核心资产。
第二步:在建立好较为完善的身份管理基础上,实施风险评估和访问控制
1)建立风险评估引擎
在这个阶段,不是简单通过密码或MFA来评定是否允许访问,而是需要评估很多风险因子,比如:
这个阶段需要使用大数据技术来积累访问数据,通过引入算法完成风险值的评估。
2)基于风险实现访问控制
在风险识别的基础上完成访问行为的控制,可以实施基于ABAC的访问控制。
如果说业务的沉淀和能力的创新是企业数字化转型带来的无形资产,那么信息安全便是保存企业资产的瓦坎达屏障,而身份安全正是进入瓦坎达的入口。
零信任能够隔离外部的攻击,也能够时刻校验并阻止内部的可疑行为,赋予企业安全自适应能力。
相关阅读