关于身份和访问管理，CISO需要知道的10件事

D1Net

生成式 AI 是攻击者用来创建和发起基于身份的攻击的新武器。CrowdStrike 总裁 Michael Sentonas 在最近的一次采访中表示，“攻击者正在不断调整他们的间谍技术，寻找利用端点和身份交叉点的漏洞。这是当今人们需要应对的最大挑战之一。George (CrowdStrike 首席执行官) 和我在 RSA 2023 大会上做的黑客攻击演示，就是为了展示身份和复杂性方面的一些挑战。我们将端点与身份和用户正在访问的数据联系起来的原因，是因为这是一个关键问题。如果你能解决这个问题，你将能解决一个企业面临的很大一部分网络问题。”

今天的深度伪造和假托 明天的自动化和有弹性的攻击

一些深度伪造 (deepfakes) 攻击的目标是首席执行官和企业领导者。Zscaler 的首席执行官 Jay Chaudhry 讲述了最近发生的一起事件，在这起事件中，一名攻击者利用 Chaudhry 的深度伪造声音，从该公司在印度的业务中勒索资金。对此，他表示，“这只是一个例子，事实上，不止我的声音…… 越来越多的声音伪造正在发生。除此之外，还有越来越多的外观和感觉伪造。” 深度伪造已经变得如此普遍，以至于国土安全部 (DHS) 特意发布了一份指南 ——《日益增加的深度伪造身份威胁》。

如今，攻击者正计划利用人们的信任通过生成式 AI 获利。Sentonas、Chaudhry 和许多其他领先网络安全公司的首席执行官都认为，被盗的身份和特权访问凭据是他们正在帮助客户应对的最危险的威胁载体。攻击者押注身份安全仍然薄弱，仍然是入侵企业的突破口。

通过建立在零信任的基础上最大化身份和访问管理 (IAM) 的有效性

零信任是让 IAM 发挥效益的重要力量，而身份是零信任的核心。首席信息安全官 (CISO) 必须假设已经发生了违规行为，并在零信任框架上全力以赴。(然而，他们应该意识到，网络安全供应商往往夸大了他们的零信任能力。)

CrowdStrike 的 George Kurtz 表示，“身份优先安全对于零信任至关重要，因为它使企业能够根据用户的需求实施强大而有效的访问控制。通过不断验证用户和设备的身份，企业可以降低未经授权访问的风险，并防范潜在的威胁。”

今年早些时候，零信任创始人 John Kindervag 在接受采访时总结了任何企业都可以从零信任入手的建议。他建议称，“你不能从一项技术开始，这是对零信任的误解。当然，供应商想要出售技术，所以他们说‘你需要从我们的技术入手’。但这些都不是真的。事实是，你首先应该设计一个保护表面，然后再研究技术。记住，零信任并不一定要代价高昂才能有效。”

关于 2023 年的 IAM，每个 CISO 都需要知道什么

CISO 称，为了跟上 IAM 技术的发展，最大的挑战是整合网络安全技术堆栈，用更少的预算和人员做更多的事情。96% 的 CISO 计划整合他们的安全平台，63% 的人更喜欢扩展检测和响应 (XDR)。Cynet 《2022 年 CISO 调查》发现，几乎所有公司都在规划整合，这一比例高于 2021 年的 61%。

CrowdStrike、Palo Alto Networks、Zscaler 和其他网络安全供应商在帮助客户整合技术堆栈方面看到了新的销售机会。Gartner 预测，到 2023 年，全球 IAM 支出将达到 207 亿美元，到 2027 年将增长到 324 亿美元，复合年增长率为 11.8%。领先的 IAM 提供商包括 AWS 身份和访问管理、CrowdStrike、Delinea、Ericom、ForgeRock、Ivanti、Google Cloud Identity、IBM、Microsoft Azure Active Directory、Palo Alto Networks 和 Zscaler。

根据今年上半年对 CISO 和 CIO 的一系列采访，VentureBeat 总结了 CISO 和 CIO 在 2023 年需要了解的 10 个 IAM 事实：

1. 首先，审计所有访问凭据和权限，以阻止日益严重的凭据泛滥

内部攻击是 CISO 的噩梦。这是他们工作中的烦恼之一，也是让他们夜不能寐的原因之一。一次毁灭性的内部攻击如果没被发现，可能会让他们及其团队失去工作，尤其是在金融服务领域。92% 的安全负责人表示，内部攻击与外部攻击一样复杂，甚至更难以识别。

将遗留凭据导入新的身份管理系统是一个常见的错误。建议花时间检查和删除凭据。四分之三 (74%) 的企业表示内部攻击有所增加，超过一半的企业在过去一年中经历过内部威胁。8% 的人遭受过 20 次或更多的内部攻击。

Ivanti 最近发布的《2023 年网络安全状况报告》发现，45% 的企业怀疑前员工和承包商仍然可以主动访问公司的系统和文件。其首席产品官 Srinivas Mukkamala 博士表示，“大型组织往往没有考虑到庞大的应用程序、平台和第三方服务生态系统，这些应用程序、平台和第三方服务会在员工被解雇后很长一段时间内仍授予访问权限。我们称这些为‘僵尸凭据’，数量惊人的安全专业人员，甚至是领导层的高管，仍然可以访问前雇主的系统和数据。”

2. 多因素身份验证 (MFA) 可以快速实现零信任

CISO、CIO 和安全运营团队成员都强调了，多因素身份验证 (MFA) 作为零信任防御的第一道防线的重要性。他们依靠 MFA 来展示零信任计划的积极成果。

他们建议，MFA 必须在对员工生产力影响最小的情况下启动。MFA 实现最好地将 “你知道什么”(密码或 PIN 码) 身份验证与 “你是什么”(生物识别)、“你做了什么”(行为生物识别) 或 “你拥有什么”(令牌) 因素结合起来。

3. 无密码是未来，所以现在就开始计划吧

CISO 必须考虑如何摆脱密码，并采用零信任方法来保护身份安全。高德纳 (Gartner) 预测，到 2025 年，50% 的劳动力和 20% 的客户身份验证交易将是无密码的。

领先的无密码认证提供商包括 Microsoft Azure Active Directory (Azure AD)、OneLogin Workforce Identity、Thales SafeNet Trusted Access 和 Windows Hello for Business。但 CISO 们更青睐 Ivanti 的零登录 (ZSO) 解决方案，因为它的 UEM 平台结合了无密码认证、零信任和简化的用户体验。

Ivanti 使用的 FIDO2 协议消除了密码，并支持包括苹果面部识别在内的生物识别技术作为次级认证因素。ZSO 在 IT 团队中得到了很高的评价，因为他们可以在任何移动设备上配置它，而无需代理 —— 这为 ITSM 团队节省了大量的时间。

4. 使用身份威胁检测和响应 (ITDR) 工具保护 IAM 基础设施

身份威胁检测和响应 (ITDR) 工具可以降低风险，并不断改进和强化安全配置。它们还可以发现和修复 IAM 基础设施中的配置漏洞；检测攻击；并提出修复建议。通过部署 ITDR 来保护 IAM 系统和存储库，包括 Active Directory (AD)，企业正在改善他们的安全状况，并降低 IAM 基础设施被破坏的风险。

主要供应商包括 Authomiz、CrowdStrike、微软、Netrix、Quest、Semperis、SentinelOne (Attivo Networks)、Silverfort、SpecterOps 和 Tenable。

5. 在 IAM 技术栈中添加特权访问管理 (PAM)

Savynt 创始人、首席执行官兼董事会主席 Sachin Nayyar 表示，“我一直认为特权访问管理 (PAM) 属于身份和访问管理的整体范畴。它是任何公司中特定用户有特定需求的一种访问类型。当它需要与身份访问管理一起运行时，有特定的工作流程，围绕会话管理有特定的要求，特别是合规性要求和安全要求…… 在我们看来，这都是身份管理和治理保护伞的一部分。”

Nayyar 还指出，他从公司的企业客户那里看到了云计算的强劲势头，由于与微软联合销售，他们 40% 的工作负载运行在 Azure 上。

6. 在授予对资源的访问权限之前，验证每台机器和人的身份

最新的 IAM 平台具有灵活性、适应性和开放的 API 集成。这节省了 SecOps 和 IT 团队将其集成到网络安全技术堆栈中的时间。最新一代的 IAM 平台可以验证每个资源、端点和数据源的身份。

零信任安全需要从严格的控制开始，只有在验证身份并跟踪每个资源交易后才允许访问。通过要求身份验证来限制对员工、承包商和其他内部人员的访问，可以防止外部威胁。

7. 要知道活动目录 (AD) 几乎是所有入侵的目标

每天大约有 9500 万个活动目录 (Active Directory，AD) 帐户受到攻击，因为 90% 的组织使用身份平台作为其身份验证和用户授权的主要方法。

KuppingerCole 网络安全研究总监兼首席分析师 John Tolbert 在《身份与安全：应对现代威胁形势》的报告中写道：“活动目录组件是攻击活动中的高优先级目标，一旦被发现，攻击者可以创建额外的活动目录森林和域，并在它们之间建立信任，以方便他们更容易地访问。它们还可以在完全不同的域之间创建联邦信任 (federation trust)。可信域之间的身份验证看起来是合法的，如此一来，恶意分子的后续行为可能不会轻易被解释为恶意，直到为时已晚，数据已经泄露和 / 或破坏行为已经发生。”

8. 通过为最低权限访问配置 IAM，防止人类在 AWS 中扮演机器角色

避免将 DevOps、工程和生产人员以及 AWS 承包商的人和机器角色混合在一起。如果角色分配不正确，恶意员工或承包商可能会在任何人都不知道的情况下，从 AWS 实例中窃取机密数据。审计交易，并强制执行最低权限访问以防止违规。在 AWS 身份和访问管理中有可配置的选项来确保这种级别的保护。

9. 缩小身份和端点之间的缺口，以强化依赖于 IAM 的威胁面

攻击者正在使用生成式 AI 来加强对 IAM、PAM 和端点间缺口的攻击。CrowdStrike 的 Sentonas 表示，他的公司将继续关注这一领域，并将其视为 “未来端点安全的核心”。98% 的企业确认他们管理的身份数量呈指数级增长，84% 的企业已经成为身份相关泄露的受害者。

端点蔓延 (Endpoint sprawl) 使得身份泄露更难阻止。端点通常配置过度且容易受到攻击。十分之六 (59%) 的端点至少有一个 IAM 代理，11% 的端点有两个或更多。这些和其他来自 Absolute Software《2023 年弹性指数报告》的发现说明了零信任策的有效性。Absolute 报告发现，“零信任网络访问 (ZTNA) 可以帮助企业摆脱对用户名 / 密码的依赖，而是在授予对企业资源的访问权限之前依赖于上下文因素，如时间、地理位置和设备安全状态。”

报告解释称，“自我修复网络安全系统的不同之处在于，它们能够相对地防止人为错误、软件冲突和恶意活动等因素。”

10. 决心在即时 (JIT) 供应方面出类拔萃

JIT (just-in-time) 配置是零信任的另一个基本元素，它降低了风险，并被内置到许多 IAM 平台中。使用 JIT 限制用户对项目和目的的访问，并使用策略保护敏感资源。限制访问可以提高安全性，保护敏感数据。JIT 通过配置最低特权访问和根据角色、工作负载和数据分类限制用户访问，从而补充零信任。

你的首要任务：首先假设身份将被泄露

零信任代表了组织所依赖的 “基于边界” 的传统方法的根本转变。这是因为操作系统和支持它们的网络安全应用程序假定，如果外围是安全的，那么一切都会很好。但事实证明恰恰相反。攻击者很快就学会了如何微调他们的间谍技术，以渗透基于边界的系统，造成网络攻击和破坏的数字流行病。

现在，生成式 AI 又将挑战提升到了一个新的高度。攻击者利用最新技术对社交工程、商业电子邮件攻击 (BEC)、假托和冒充首席执行官的深度伪造进行微调，目的都是利用受害者的信任进行交易。万事达卡 (MasterCard) 负责安全和网络创新的执行副总裁 Johan Gerber 警告称，“犯罪分子已经在利用人工智能来突破世界上的一些网络安全措施。但人工智能必须成为我们未来的一部分，成为我们解决网络安全问题的一部分。”