艾尚体育:关于身份和访问管理CISO必须了解到的十件事

  生成式AI是攻击者用来创建和发起基于身份的攻击的新武器。CrowdStrike总裁Michael Sentonas在最近的一次采访中表示，“攻击者正在不断调整他们的间谍技术，寻找利用端点和身份交叉点的漏洞。这是当今人们需要应对的最大挑战之一。George(CrowdStrike首席执行官)和我在RSA 2023大会上做的黑客攻击演示，就为了展示身份和复杂性方面的一些挑战。我们将端点与身份和用户正在访问的数据联系起来的原因，是因为这是一个核心问题。如果你能解决这一个问题，你将能解决一个企业面临的很大一部分网络问题。”

  一些深度伪造(deepfakes)攻击的目标是首席执行官和企业领导者。Zscaler的首席执行官Jay Chaudhry讲述了最近发生的一起事件，在这起事件中，一名攻击者利用Chaudhry的深度伪造声音，从该公司在印度的业务中勒索资金。对此，他表示，“这只是一个例子，事实上，不止我的声音……慢慢的变多的声音伪造正在发生。除此之外，还有慢慢的变多的外观和感觉伪造。”深度伪造已经变得如此普遍，以至于国土安全部(DHS)特意发布了一份指南——《日益增加的深度伪造身份威胁》。

  如今，攻击者正计划利用人们的信任通过生成式AI获利。Sentonas、Chaudhry和许多其他领先网络安全公司的首席执行官都认为，被盗的身份和特权访问凭据是他们正在帮助客户应对的最危险的威胁载体。攻击者押注身份安全仍然薄弱，仍然是入侵企业的突破口。

  零信任是让IAM发挥效益的重要力量，而身份是零信任的核心。首席信息安全官(CISO)必须假设已发生了违反相关规定的行为，并在零信任框架上全力以赴。(然而，他们应该意识到，网络安全供应商往往夸大了他们的零信任能力。)

  CrowdStrike的George Kurtz表示，“身份优先安全对于零信任至关重要，因为它使企业可以依据用户的需求实施强大而有效的访问控制。通过不断验证用户和设备的身份，公司能够降低未经授权访问的风险，并防范潜在的威胁。”

  今年早些时候，零信任创始人John Kindervag在接受采访时总结了任何企业都可以从零信任入手的建议。他建议称，“你不能从一项技术开始，这是对零信任的误解。当然，供应商想要出售技术，所以他们说‘你需要从我们的技术入手’。但这些都不是真的。事实是，你首先应该设计一个保护表面，然后再研究技术。记住，零信任并不一定要代价高昂才能有效。”

  CISO称，为了跟上IAM技术的发展，最大的挑战是整合网络安全技术堆栈，用更少的预算和人员做更多的事情。96%的CISO计划整合他们的安全平台，63%的人更喜欢扩展检测和响应(XDR)。Cynet 《2022年CISO调查》发现，几乎所有公司都在规划整合，这一比例高于2021年的61%。

  内部攻击是CISO的噩梦。这是他们工作中的烦恼之一，也是让他们夜不能寐的原因之一。一次毁灭性的内部攻击如果没被发现，可能会让他们及其团队失去工作，尤其是在金融服务领域。92%的安全负责人表示，内部攻击与外部攻击一样复杂，甚至更难以识别。

  将遗留凭据导入新的身份管理系统是一个常见的错误。建议花时间检查和删除凭据。四分之三(74%)的企业表示内部攻击有所增加，超过一半的企业在过去一年中经历过内部威胁。8%的人遭受过20次或更多的内部攻击。

  Ivanti最近发布的《2023年网络安全状况报告》发现，45%的企业怀疑前员工和承包商仍然可以主动访问公司的系统和文件。其首席产品官Srinivas Mukkamala博士表示，“大型组织往往没有考虑到庞大的应用程序、平台和第三方服务生态系统，这些应用程序、平台和第三方服务会在员工被解雇后很长一段时间内仍授予访问权限。我们称这些为‘僵尸凭据’，数量惊人的安全专业人员，甚至是领导层的高管，仍然可以访问前雇主的系统和数据。”

  CISO、CIO和安全运营团队成员都强调了，多因素身份验证(MFA)作为零信任防御的第一道防线的重要性。他们依靠MFA来展示零信任计划的积极成果。

  他们建议，MFA必须在对员工生产力影响最小的情况下启动。MFA实现最好地将“你知道什么”(密码或PIN码)身份验证与“你是什么”(生物识别)、“你做了什么”(行为生物识别)或“你拥有什么”(令牌)因素结合起来。

  CISO必须考虑如何摆脱密码，并采用零信任方法来保护身份安全。高德纳(Gartner)预测，到2025年，50%的劳动力和20%的客户身份验证交易将是无密码的。

  Ivanti使用的FIDO2协议消除了密码，并支持包括苹果面部识别在内的生物识别技术作为次级认证因素。ZSO在IT团队中得到了很高的评价，因为他们可以在任何移动设备上配置它，而无需代理——这为ITSM团队节省了大量的时间。

  身份威胁检测和响应(ITDR)工具能够更好的降低风险，并不断改进和强化安全配置。它们还可以发现和修复IAM基础设施中的配置漏洞;检测攻击;并提出修复建议。通过部署ITDR来保护IAM系统和存储库，包括Active Directory(AD)，企业正在改善他们的安全状况，并降低IAM基础设施被破坏的风险。

  Savynt创始人、首席执行官兼董事会主席Sachin Nayyar表示，“我一直认为特权访问管理(PAM)属于身份和访问管理的整体范畴。它是任何公司中特定用户有特定需求的一种访问类型。当它需要与身份访问管理一起运行时，有特定的工作流程，围绕会话管理有特定的要求，特别是合规性要求和安全要求……在我们看来，这都是身份管理和治理保护伞的一部分。”

  Nayyar还指出，他从公司的企业客户那里看到了云计算的强劲势头，由于与微软联合销售，他们40%的工作负载运行在Azure上。

  最新的IAM平台具有灵活性、适应性和开放的API集成。这节省了SecOps和IT团队将其集成到网络安全技术堆栈中的时间。最新一代的IAM平台可以验证每个资源、端点和数据源的身份。

  零信任安全需要从严格的控制开始，只有在验证身份并跟踪每个资源交易后才允许访问。通过要求身份验证来限制对员工、承包商和其他内部人员的访问，可以有效的预防外部威胁。

  每天大约有9500万个活动目录(Active Directory，AD)帐户受到攻击，因为90%的组织使用身份平台作为其身份验证和用户授权的主要方法。

  KuppingerCole网络安全研究总监兼首席分析师John Tolbert在《身份与安全：应对现代威胁形势》的报告中写道：“活动目录组件是攻击活动中的高优先级目标，一旦被发现，攻击者可以创建额外的活动目录森林和域，并在它们之间建立信任，以方便他们更容易地访问。它们还可以在完全不同的域之间创建联邦信任(federation trust)。可信域之间的身份验证看起来是合法的，如此一来，恶意分子的后续行为可能不会轻易被解释为恶意，直到为时已晚，数据已泄露和/或破坏行为已发生。”

  避免将DevOps、工程和生产人员以及AWS承包商的人和机器角色混合在一起。如果角色分配不正确，恶意员工或承包商可能会在任何人都不知道的情况下，从AWS实例中窃取机密数据。审计交易，并强制执行最低权限访问以防止违规。在AWS身份和访问管理中有可配置的选项来确保这种级别的保护。

  攻击者正在使用生成式AI来加强对IAM、PAM和端点间缺口的攻击。CrowdStrike的Sentonas表示，他的公司将持续关注这一领域，并将其视为“未来端点安全的核心”。98%的企业确认他们管理的身份数量呈指数级增长，84%的企业慢慢的变成了身份相关泄露的受害者。

  端点蔓延(Endpoint sprawl)使得身份泄露更难阻止。端点通常配置过度且容易受到攻击。十分之六(59%)的端点至少有一个IAM代理，11%的端点有两个或更多。这些和其他来自Absolute Software《2023年弹性指数报告》的发现说明了零信任策的有效性。Absolute报告发现，“零信任网络访问(ZTNA)能够在一定程度上帮助企业摆脱对用户名/密码的依赖，而是在授予对企业资源的访问权限之前依赖于上下文因素，如时间、地理位置和设施安全状态。”

  报告解释称，“自我修复网络安全系统的不同之处在于，它们能够相对地防止人为错误、软件冲突和恶意活动等因素。”

  JIT(just-in-time)配置是零信任的另一个基本元素，它降低了风险，并被内置到许多IAM平台中。使用JIT限制用户对项目和目的的访问，并使用策略保护敏感资源。限制访问能大大的提升安全性，保护敏感数据。JIT通过配置最低特权访问和根据角色、工作负载和数据分类限制用户访问，从而补充零信任。

  零信任代表了组织所依赖的“基于边界”的传统方法的根本转变。这是因为操作系统和支持它们的网络安全应用程序假定，如果外围是安全的，那么一切都会很好。但事实上恰恰相反。攻击者很快就学会了如何微调他们的间谍技术，以渗透基于边界的系统，造成网络攻击和破坏的数字流行病。

  现在，生成式AI又将挑战提升到了一个新的高度。攻击者利用最新技术对社交工程、商业电子邮件攻击(BEC)、假托和冒充首席执行官的深度伪造进行微调，目的都是利用受害者的信任进行交易。万事达卡(MasterCard)负责安全和网络创新的执行副总裁Johan Gerber警告称，“犯罪分子已经在利用人工智能来突破世界上的一些网络安全措施。但人工智能必须是我们未来的一部分，是我们解决网络安全问题的一部分。”

  自从微软和Docker宣布合作以来，微软Redmond一直在容器上面的战略可谓稳扎稳打。最近，微软加入OpenContainerInitiative(OCI)，并作为创始成员承诺支持常见容器的格式和运行。在最新的WindowsServer2016技术预览版中，微软终于将本地的WindowsContainer技术提供给研发人员和系统管理员。

  程序员是一个比较特殊的群体，他们因为长期和电脑打交道所养成的性格和脾气非常相近的。当然，既然是人，当然是会有性格的，也是会有脾气的。下面，让我来看看十件能把程序惹毛了的事情。一方面我们大家可以看看程序员的共性，另一方面我们也可以了解一下程序员的缺点。无论怎么样，我都想让他们对你的日常工作都是一种帮助。

上一篇：女孩为选修课忧愁 男友开发“抢课神器” 下一篇：加拿大研讨：今日的苹果比它们的先人更大、更好吃、保鲜时刻更长