现代身份和访问管理 IAM 如何降低风险

您的公司是否仍在使用 1998 年时的身份管理系统？仅凭用户名和密码就能登录本地网络并访问几乎所有资源吗？

虽然大多数企业已经转向现代身份和访问管理(IAM) 平台，但成千上万的企业和其他组织仍然依赖过时的用户名/密码系统。

如果你看一下传统的 IAM 系统，你会发现它们非常注重管理身份、管理访问权限，他们的全部眼光都是降低运营成本。

但是，在管理云系统、SaaS 应用程序和混合工作环境中的访问时，这些传统系统完全不够用。它们价格低廉且易于维护，但从长远来看，它们可能会让您付出代价，因为它们更有可能让攻击者和不法之徒进入您的网络，从而窃取数据或使用勒索软件感染您的网络。

所有组织，无论其规模大小，都应迁移到现代 IAM 系统，以保护其数据、降低其运营风险、提高其法规合规性并保护其员工、客户和合作伙伴。

您真正需要考虑的是：您如何看待身份安全作为最小化、降低甚至消除网络风险的一种方式，并将其作为您希望通过新的身份安全解决方案实现的基础业务成果之一？

答案是现代化的、最好是基于云的 IAM 平台，它可以部署在任何地方并作为 SaaS 服务进行管理。

随着组织接受远程工作并将其资产转移到云端，身份本身也正在成为网络防御的前线。您需要一个能够胜任这项任务的身份解决方案。

身份是未来新的攻击面，它是一切的核心。

传统 IAM 的不足之处

我们都知道密码很糟糕，应该逐步淘汰。我们花了近 30 年的时间强迫用户创建强大而独特的密码，但平均而言，密码并没有变得更好。

然而，即使所有密码都是强密码且独一无二的，也无法阻止网络钓鱼攻击和凭证盗窃。因此，我们将多因素身份验证(MFA) 和单点登录(SSO) 方案移植到传统身份管理系统上。但这些只是暂时的解决方案。

例如，MFA 在大多数常见迭代中都非常薄弱。加密货币窃贼可以通过“交换 SIM 卡”手机号码来截取一次性验证码，而骗子可以通过克隆热门网络服务的登录页面来钓鱼。

网络钓鱼也适用于应用生成的一次性代码。至于是/否推送通知，攻击者可以用这些通知轰炸用户，直到用户点击“是”才能停止。

MFA 的概念非常扎实。但从目前的实施方式来看，它的作用越来越弱了。

单点登录在技术上更为可靠。它通过让用户登录中间账户，然后中间账户将加密令牌发送给其他“联合”账户以授予访问权限，从而降低了密码被盗和重复使用的风险。然而，即使是最好的 SSO 方案也必须排除不兼容的应用程序和在线服务，因此其覆盖范围只是部分。

单点登录对于我们如今的业务来说是必不可少的，它可以提高安全性和用户访问配置应用程序的效率。但是，从客户那里看到，并非所有应用程序都是联合访问的。

特权蔓延

传统身份管理的另一个长期问题是特权或权限蔓延。即个人用户积累的系统权限超出其角色或职位所需的权限。

有时，用户在转到新角色后会保留旧权限。有时，管理员会授予临时提升的权限，但永远不会撤销，例如当远程用户需要执行软件更新时。有时，个别用户会获得他们甚至不知道的组权限。

在所有情况下，权限蔓延都会增加组织的风险。被盗的高权限帐户比低权限帐户危险得多。高权限攻击者有更大的自由度在网络中移动、更改设置并安装恶意软件。

更危险的是，外部供应商或承包商被授予访问组织系统的权限。组织可能无法审查第三方的安全状况，正如 Target Stores 在 2013 年所发现的那样，当时攻击者入侵了授予外部供暖和制冷供应商的账户。

我们看到越来越多的组织正在利用第三方承包商，这种扩大的劳动力访问产生了大量我们所谓的第三方风险。

随着云、SaaS 和混合系统的发展，权限逐渐演变为特权升级。传统身份系统通常无法正确处理云实例和 Web 应用程序的复杂权限结构。权限配置错误很常见，个人用户在更多领域获得了比表面上更多的特权。

如果只考虑三家（主要的）云提供商，那么这三家云提供商之间就有超过 45,000 个权限。

例如，在测试环境中工作的软件开发人员在将软件移植到云时可能无法撤销自己的权限。数据库管理员可能无法在云实例上实施 MFA，从而使其容易受到暴力攻击。

由于云环境具有自助服务性质和复杂的权限，特权蔓延在云环境中尤其危险。配置错误或过于宽松的默认权限可能会无意中授予标准用户访问敏感资源的权限。

现代 IAM 来拯救你

传统和现代 IAM 系统都存在一个共同的问题，即从 Web 浏览器窃取会话 cookie，从而绕过密码甚至 MFA。会话 cookie 会在一定时间内（有时几乎无限期）保持授权。窃取 cookie 只需要一个恶意浏览器插件、系统上安装的恶意软件或跨站点脚本攻击。

传统身份管理系统可以通过强制每日从内部 Web 应用程序注销来尝试应对 Cookie 盗窃。现代 IAM 系统有更多对策，包括强制使用安全浏览器来阻止未经授权的插件或不将会话 Cookie 写入可能被盗的磁盘。

IT 管理员还可以加密会话 cookie 并限制其持续时间或“生存时间”。这些措施可能超出了 IAM 系统的范畴，但却是现代 IAM 所伴随的整体安全文化的一部分。

类似的还有会话隔离，其中浏览器或其他云访问界面被放入沙盒中，或者其流量通过代理服务器传输，这样任何损害都仅限于用户的系统。

现代 IAM 系统的一些最有效功能借鉴了特权访问管理(PAM) 系统，后者长期以来一直用于控制系统管理员等特权用户的访问权限。随着身份在组织安全中变得越来越重要，PAM 和 IAM 系统开始融合。

您的 IAM 不再应该与特权控制隔绝。您的 IAM 系统也需要同样的特权控制。

例如，PAM 系统经常强制特权用户重新进行身份验证，有时一天不止一次。它们还持续监控和记录用户行为。

将这些功能移植到 IAM 并将其应用于所有用户可以使组织更加安全，尤其是当“每个身份在特定情况下都可以享有特权”时。

用最少的资源做最多的事

近年来，IAM 和 PAM 系统中最重要的发展就是实施最小权限访问原则。其理念是，任何用户（无论是实习生、系统管理员还是 CEO）都不应拥有超出其工作所需权限的系统权限。

一个必然的原则是基于角色的访问控制，其中工作本身决定了用户可以拥有哪些权限 - 以及哪些权限应该被剥夺。

这两点听起来可能很明显，但在实践中，可能很难说服从一个部门转到另一个部门的经理放弃对系统的一些权力。

一旦他们获得了凭证或权限，就很难从已经拥有这些凭证或权限 5 至 10 年的人手中夺走。

在这种情况下，执行规则的管理员需要得到上级的支持，并且需要将最小特权和基于角色的访问原则明确为管理员在必要时可以参考的政策。

最小特权也是零信任安全的基石之一，在零信任安全中，没有经过严格身份验证和授权的用户将无法获得访问权限。

如果你不实施最小权限，那么它就像是黑客的自助餐桌。如果你没有基于角色的访问权限，[最小权限] 就更难了。

现代 IAM 的其他发展包括基于动态风险的 MFA，这是一个自动化系统，其中 IAM 平台整理有关尝试登录的用户的“信号”。传统身份平台很少具有实施基于风险的 MFA 所需的那种自动化功能。

信号可以包括用户的位置、用户的计算机以及用户上次登录的时间。新的用户计算机会触发 MFA 挑战，但同一台计算机看起来与当天早些时候所在的位置相距半个地球。

现代 IAM 系统还可以适应防网络钓鱼的身份验证形式，例如Yubikeys等硬件令牌或基于软件的令牌，如现在较新的 iPhone、Android 手机和笔记本电脑中提供的密钥。

正值未来

现代 IAM 的前沿涉及即时访问和零权限等新方法，这两种方法都源于最小特权和基于角色的访问原则。

即时 (JIT) 访问是指在需要时才授予任何人提升的权限，例如当管理员需要重新配置数据库时。这在原理上类似于授予最终用户笔记本电脑的临时管理员权限，只不过这涉及整个组织网络。

与授予最终用户的管理员权限一样，JIT 权限不会持续很长时间。现代 IAM 系统通常会在几个小时后或用户完成手头任务所需的时间后“终止”它们。

零常设权限意味着没有用户，甚至管理员，被授予永久提升的权限。那些需要这些权限的人可以在适当的时候暂时获得它们。

随着时间的推移，我们有越来越多的想法和能力深入控制层面，我们已经能够取消这些特权，因此用户只是在限定的时间内及时获得这些特权，并且不会拥有超出他们可能需要的特权。

IAM 和 PAM 原则的结合为现代、零信任、身份优先的安全架构奠定了基础，为组织迎接无边界、人工智能辅助、基于云的未来做好了准备。

会话隔离、会话监控、保护会话 cookie 等身份验证后数据 —— 这些都是我们从特权（访问管理）领域获得的想法，现在可以应用到（标准）劳动力领域。