本文来自数世咨询,作者/茉泠。
机器身份是企业攻击面中一个快速增长的重要组成部分。如今,机器——服务器、设备和服务的数量正在迅速增长,然而企业在保护它们的方面所付出的努力却往往显得不足。
目前,网络不法分子和其他威胁者已经迅速利用了这些优势。根据网络安全供应商Venafi去年发布的报告,在过去五年里,与滥用机器身份相关的网络攻击数量增长了1600%。
调研机构Gartner在去年秋天发布的报告中,将机器身份列为今年最热门的网络安全趋势之一。报告显示,2020年中,50%的云安全事故均是由身份、访问和特权管理的不足导致的。并且预计2023年,这一比例将上升到75%。
Venafi公司负责安全战略和威胁情报的副总裁Kevin Bocek表示,我们每年在人类身份和访问管理上的花费高达数十亿美元——从生物识别到访问特权管理,但投资在保护机器身份的时间却很少。但是,与人类身份一样,机器身份也会遭到不法人员的滥用。
Saviynt的产品管理总监Chris Owen表示,企业往往过于信任其网络上的机器,这意味着他们未经人工干预或传统形式的认证,就与其他网络资源相连接。因此一旦机器被破坏,那么攻击者就可以通过这些“机器到机器”的路径来在网络中移动。
幸运是的,企业已经开始意识到该问题。根据Ponemon研究所和Keyfactor三月发布的报告,61%(较去年增长了34%)的IT专业人员认为,盗窃或滥用机器身份是一个严重的隐患。
意识到问题是解决问题的第一步,但是企业也可以采取其他更为具体的措施来防止机器身份问题失控。以下是其中的七个例子。
1、了解自己的证书、密钥以及数字资产
Ponemon表示,IT组织的内部证书平均拥有量超过26.7万,较去年同期增长16%。证书以及密钥与操作基础设施、物联网、本地IT基础设施、云基础设施以及容器化基础设施相互关联。然而,其中一些证书和密钥却版本过旧。有些是被硬编码的,有些则与其他身份交织在一起。Vanson Bourne去年的一项调查显示,61%的组织都对其数字资产的证书和密钥缺乏充分的认识。其中96%缺乏充分认识的企业表示自己遭受了严重的后果。对于常见的后果,55%的受访者表示出现了网络安全漏洞;35%表示遭遇了系统中断,33%表示遭受了财务损失。
Hitachi ID Systems的副首席工程师Ian Reay表示,他目睹了企业由于不了解机器身份,从而遇到了严重的问题。例如,美国的一家重要企业需要更改密码来维护其用来营销的打印机。
Reay很疑惑:“只是打印机,为什么会造成如此的错误”他们遵循所有的更改控制项,更改了密码,然后才发觉自己的生产系统正在下线,但却不清楚其中的原因。
经过了几个小时艰难的全球停电后,他们才意识到发生了什么。Reay表示大约20年前,一名管理员使用打印机账户来达成其他目的,所以该账户被混淆使用了,不仅用于打印机,同时还用于生产环境。而这一点是很难预测的。
当他们试图改回原密码时,却失败了。因为原来的密码不再符合该企业的活动目录密码策略。因此,高级管理员不得不参与进来,允许此次例外。
企业往往都会有多个支离破碎,维护不善,而且充满了错误的列表。Reay表示:“即使是那些头部客户,对于我们在客户那里发现的问题,很多也无法解决。这实在令人生畏。”
2、频繁修改密钥和证书
网络安全供应商Corsha的联合创始人兼首席技术官AnushaIyer表示,静态的密钥和证书往往更容易成为不法分子盗窃和重复利用的目标。事实上,凭证填充攻击从很大程度上已经从利用人类身份的用户名和密码,转而利用API凭证,而API凭证本质上正是当今机器身份的代理。
随着API生态系统的快速增长,该问题只会变得更具挑战性。美洲航空公司Capgemini的Excellence网络安全中心的高级解决方案经理Prasanna Parthasarathy表示,机器身份管理的不当往往会导致安全漏洞的产生。在最严重的情况下,攻击者可以同时清除掉整个IT环境。攻击者可以利用已知的API调用来访问进程控制、事务或关键基础设施,而这会产生毁灭性的后果。
Parthasarathy表示,为了防止该情况的发生,公司应对源机器、云连接、应用服务器、掌上设备以及API交互实行严格的授权机制。最重要的是,受信任的证书不能是静态的。应该对其进行频繁的修改更新,并且永远不能将其硬编码到API调用中。
Parthasarathy认为,为每一笔交易都更改证书可能很困难,但随着更新的越来越频繁,企业将会拥有一个更加安全的环境。并且,公司必须在设备或程序弃用时立即其撤销证书和密钥。Gartner建议企业应从所有计算基础设施中废除隐性信任,代之以实时的自适应信任。
3、采用机器身份管理解决方案
Gartner将机器身份管理归入身份和访问管理(IAM)技术的范畴。并且Gartner最新的“炒作周期”表示,机器身份管理如今正不断接近预期的峰值,距离“生产率稳定期”还有两到五年的时间。
根据VansonBourne的调查,95%的企业已经实现或计划实现自动化的机器身份管理工作流、机器身份管理作为一种服务,或在混合部署模型上管理证书生命周期的能力。然而,只有32%的企业完全实现了现代机器身份管理。根据调查,53%的企业仍将电子表格作为其机器身份管理的核心,93%在该流程中使用了电子表格。
Keyfactor公司的首席战略官(CSO)Chris Hickman表示,在大多数组织中,机器身份的所有权是模糊的,并非明确分配。因此,许多组织最终采用单一的机器身份管理方法。更糟糕的是,这些身份大多无人管理。他建议企业应建立跨功能的核心小组,来负责管理所有机器身份。
4、实施自动化
根据Vanson Bourne的调查,那些将自动化工作流程应用于机器身份管理的公司,其中一部分享受到了其中的益处。其中50%的拥有自动化系统的企业,能够跟踪所有的证书和密钥,而对于那些没有自动化系统的企业,只有28%。另一方面只有33%的组织完全实现了自动化工作流,48%仍在实现的过程中进。另外15%的组织正在计划实施自动化,而4%的组织则没有在这一领域实施自动化的计划。
IT安全决策者表示,他们预期自动化可以在一定程度上降低成本,减少管理密钥和证书所花费的时间,同时也可以简化工作流程。Venafi's Bocek表示,自动化是不可或缺的,如果没有自动化管理,数字化转型计划就会停滞。并且,自动化还可以避免一些人为的错误,。
5、将云部署纳入计算机身份管理计划
根据Vanson Bourne的调查,随着基础设施从本地部署转型到云部署,92%的企业不得不重新考虑和改变机器身份管理解决方案。76%的企业表示,他们现有的解决方案并不能完全支持云部署或混合部署。
Gartner的分析师Laurence Goasduff在最近的一份报告中表示,“单一玻璃”方法在多云环境中还不实用。公司可以应用单独的总体框架,集中一些功能的同时,为本地工具留出一定空间。
根据Vanson Bourne的调查,只有不到一半的企业计划构建一个覆盖所有云部署的单一机器身份管理解决方案;相反,37%的企业计划为每个云都建立一个单独的机器身份管理系统,并以一个核心政策来覆盖所有云;而22%的企业则计划构建没有核心政策的单独系统。
6、将机器人纳入机器身份管理计划中
随着全球范围的大潮流,各企业都加快了其自动化战略。Forrester表示,2022年全球机器人程序自动化软件市场将达到65亿美元,相较于2021年的24亿美元有所增长。Goasduff在Gartner报告中表示,也需要对这些软件机器人的身份进行管理。首先,需要对“将RPA工具集成到身份结构中”的最佳实践和指导原则进行定义,其次还需要将RPA的软件机器人看作另外的需要机器身份的工作负载。”
7、将机器纳入零信任计划之中
就算不是最重要的,零信任也算是当今企业最首要的安全任务之一。根据Information Security Media Group于今年2月发布的调查,100%的受访者都认为零信任对降低安全风险来说,具有重要的意义。同时这也是美国总统拜登年初发布的网络安全备忘录中的核心内容。
零信任不仅仅是要求用户始终都要经过完全的身份验证。同时,它也适用于流程和设备。在最新的零信任安全模式中,管理设备的身份尤为重要。如果企业设备在网络上没有获得任何特殊的信任状态,那么它就必须要有一种识别与其他设备、服务或数据的交互并对其授权的方法。
根据Fortinet年初的调查,84%的企业拥有成熟的或正在发展的零信任战略。然而,拥有持续认证设备的能力对于59%的企业来说仍是一个难题。