在我们反思2020年的时候,我们都同意新冠肺炎严重影响了办公室工作人员和我们组织的安全,加快了数字改造项目和云的采用。展望未来,很明显,这一流行病,加上我们目前的经济气候,将继续对世界各地各组织的身份和访问管理(IAM)做法征税。这将给我们所有人带来挑战,使传统数据中心、云和多云IT基础设施中与访问相关的风险最小化。
由于IT管理员、安全团队和常规企业用户分散并严重依赖于对公司系统、DevOps环境和应用程序的远程访问,威胁参与者可以使用更多的攻击矢量,从而获得更大的威胁面。有更多的机会利用网络钓鱼和其他社会工程活动来利用人类的缺陷,损害我们的IT基础设施和数据的访问资格。
在分析漏洞时,身份已经成为黑客选择的武器。他们利用传统的黑客行为,仅仅使用被盗的、购买的、弱的、默认的或其他受损的凭据登录系统。2020年Verizon数据泄露调查报告证实了这一趋势,表明80%的违规行为是由于凭据受损造成的。。如果您的特权用户继续使用共享特权帐户进行访问–特别是通过VPN远程访问–任何危及上述凭据的攻击者都有一个前门密钥,如果不是整个王国的密钥的话。
但是,不要被愚弄到认为只有特权用户才是值得关注的。许多网络攻击的目标是普通员工的帐户,以获得初步的立足点,利用它作为一个滩头,以了解你的网络,获得更高的特权,并完成他们的目标。
有了这些知识,组织必须采取行动重新审视人的不可靠性、远程员工、外包承包商以及来自高度分布式IT基础设施的不断扩展的攻击表面的影响。他们必须考虑实施新的零信任策略和现代特权访问管理(PAM)技术,以便更好地解决这些新动态。然而,这项工作不应停止于用于人类用户访问的标识。机器、应用程序和其他工作负载的非人类身份和服务帐户越来越多地代表了许多组织中的大多数“用户”。在云和DevOps环境中尤其如此,在这些环境中,开发人员工具、容器化应用程序、微服务和弹性工作负载–所有这些都需要身份来相互交流–起着主导作用。
对于目前处于这种状态的组织来说,如何改进基于身份的安全和风险态势,建立在零信任基础上的现代PAM解决方案可能会有所帮助。
PAM视角下的零信任
随着我们的用户和IT资产变得更加分散,传统的网络边界正在消失。将访问决策建立在简单的概念(如“可信用户在内部”和“不受信任的用户在外部”)和使用IP地址来进行区分已经不再切实可行。各组织必须假定,威胁行为者已经在其系统内。这种知识应该改变组织对待安全的方式。过时的“信任但验证”的方法现在必须变成“永不信任,永远正确”。
“从来没有信任”意味着我们的合法管理员不再可以随意访问特权帐户。也就是说,他们没有随意使用共享特权帐户,比如root和本地管理员,而是使用他们的经人力资源审查的企业帐户,这是有基本权利的。这样可以防止高影响的错误,并在攻击者破坏该帐户时减少影响。然后,PAM安全控制可以根据集中式角色和策略,在情况需要时选择性地授予提升的权限。与其始终拥有王国的钥匙,这种“最小特权”的访问方式降低了风险,同时仍然允许合法的行政人员完成他们的工作,只要求足够的特权、及时和有限的时间。为了有效,组织必须在所有IT资产上一致地应用这一点,无论是在数据中心、DMZ、虚拟私有云或多云环境中。
通过通过最小权限访问控制对PAM实现这种零信任方法,组织可以将其攻击表面最小化,提高审计和法规可见性,并降低风险、复杂性和成本。
迈向零信任成熟的步骤
PAM是一个复杂的世界,有许多移动部件。但是,随着时间的推移,您可以获得显著的收益并提高您的零信任成熟度,首先是一些基础知识,然后是更高级的特性。
最初的胜利可以来自于改进密码卫生,跳转共享特权帐户,以及为管理员执行MFA。对许多攻击者来说,时间就是金钱。像MFA这样的额外障碍只会导致黑客转移到下一个潜在的受害者。为偏远地区的员工设置这些额外的步骤无疑有助于减少违规行为。
良好密码卫生
不管你喜不喜欢,密码仍然比比皆是,而且只需要一个已泄露的密码就能对整个组织产生潜在的影响。尽管多年的研究和文章警告人们,不良的密码卫生蓬勃发展。人类仍然是最薄弱的环节,毫不奇怪,也是攻击者的主要目标。对所有用户来说,继续教育应该是强制性的,而不仅仅是管理人员。
很难破解的高熵密码是必不可少的,而频繁的密码轮换则减少了黑客的机会之窗。这对非人类账户也很重要。由于害怕破坏应用程序或服务,它们很少被轮转。使用PAM在中央管理下处理这些帐户,并应用频繁的轮换策略。现代PAM解决方案可以使用多路复用帐户功能,以确保密码在旋转之前在所有依赖计算机上同步,以减少应用程序失败的风险。
MFA无处不在
另一个具体步骤是实现多因素身份验证(MFA),以便为所有管理员提供额外的身份保证。这可以获得巨大的回报。使用物理身份验证器(如YubiKey、Push通知或车载生物识别(如Apple Touch ID))作为第二个因素,对攻击者来说是一个很高的障碍。它会阻止机器人或恶意软件的踪迹。在多个访问点上始终如一地应用这一点是至关重要的。
密码跳高
拥有常备特权的身份有很大的风险。尤其是Linux系统,是本地特权帐户的巨大来源。最佳做法是尽可能多地消除。那些你无法消除的,储存在一个安全的密码库,限制进入仅在紧急情况。取消这些特权帐户将大大减少你的攻击表面和你的风险。然后,最小的特权与公正的时间特权提升给你的管理员他们需要的权利。
随着我们把2020年抛在脑后,我们必须从面临的挑战中吸取教训。进入2021年时,我们可以清楚地了解将继续影响我们的分布式企业的威胁,并利用现代PAM工具来对付这些威胁。组织必须假定网络中存在不良行为者,并围绕这一假设制定安全计划。一种方法是考虑将您的组织移动到一个零信任模型,其PAM任务遵循三条规则:从不信任、始终验证和强制执行最小特权。最低限度,实现基本的密码卫生,密码跳高,和MFA。
