现代身份和访问管理 IAM 如何降低风险

news2024/11/26 9:50:50

您的公司是否仍在使用 1998 年时的身份管理系统?仅凭用户名和密码就能登录本地网络并访问几乎所有资源吗?

虽然大多数企业已经转向现代身份和访问管理(IAM) 平台,但成千上万的企业和其他组织仍然依赖过时的用户名/密码系统。

如果你看一下传统的 IAM 系统,你会发现它们非常注重管理身份、管理访问权限,他们的全部眼光都是降低运营成本。

但是,在管理云系统、SaaS 应用程序和混合工作环境中的访问时,这些传统系统完全不够用。它们价格低廉且易于维护,但从长远来看,它们可能会让您付出代价,因为它们更有可能让攻击者和不法之徒进入您的网络,从而窃取数据或使用勒索软件感染您的网络。

所有组织,无论其规模大小,都应迁移到现代 IAM 系统,以保护其数据、降低其运营风险、提高其法规合规性并保护其员工、客户和合作伙伴。

您真正需要考虑的是:您如何看待身份安全作为最小化、降低甚至消除网络风险的一种方式,并将其作为您希望通过新的身份安全解决方案实现的基础业务成果之一?

答案是现代化的、最好是基于云的 IAM 平台,它可以部署在任何地方并作为 SaaS 服务进行管理。

随着组织接受远程工作并将其资产转移到云端,身份本身也正在成为网络防御的前线。您需要一个能够胜任这项任务的身份解决方案。

身份是未来新的攻击面,它是一切的核心。

传统 IAM 的不足之处

我们都知道密码很糟糕,应该逐步淘汰。我们花了近 30 年的时间强迫用户创建强大而独特的密码,但平均而言,密码并没有变得更好。

然而,即使所有密码都是强密码且独一无二的,也无法阻止网络钓鱼攻击和凭证盗窃。因此,我们将多因素身份验证(MFA) 和单点登录(SSO) 方案移植到传统身份管理系统上。但这些只是暂时的解决方案。

例如,MFA 在大多数常见迭代中都非常薄弱。加密货币窃贼可以通过“交换 SIM 卡”手机号码来截取一次性验证码,而骗子可以通过克隆热门网络服务的登录页面来钓鱼。

网络钓鱼也适用于应用生成的一次性代码。至于是/否推送通知,攻击者可以用这些通知轰炸用户,直到用户点击“是”才能停止。

MFA 的概念非常扎实。但从目前的实施方式来看,它的作用越来越弱了。

单点登录在技术上更为可靠。它通过让用户登录中间账户,然后中间账户将加密令牌发送给其他“联合”账户以授予访问权限,从而降低了密码被盗和重复使用的风险。然而,即使是最好的 SSO 方案也必须排除不兼容的应用程序和在线服务,因此其覆盖范围只是部分。

单点登录对于我们如今的业务来说是必不可少的,它可以提高安全性和用户访问配置应用程序的效率。但是,从客户那里看到,并非所有应用程序都是联合访问的。

特权蔓延

传统身份管理的另一个长期问题是特权或权限蔓延。即个人用户积累的系统权限超出其角色或职位所需的权限。

有时,用户在转到新角色后会保留旧权限。有时,管理员会授予临时提升的权限,但永远不会撤销,例如当远程用户需要执行软件更新时。有时,个别用户会获得他们甚至不知道的组权限。

在所有情况下,权限蔓延都会增加组织的风险。被盗的高权限帐户比低权限帐户危险得多。高权限攻击者有更大的自由度在网络中移动、更改设置并安装恶意软件。

更危险的是,外部供应商或承包商被授予访问组织系统的权限。组织可能无法审查第三方的安全状况,正如 Target Stores 在 2013 年所发现的那样,当时攻击者入侵了授予外部供暖和制冷供应商的账户。

我们看到越来越多的组织正在利用第三方承包商,这种扩大的劳动力访问产生了大量我们所谓的第三方风险。

随着云、SaaS 和混合系统的发展,权限逐渐演变为特权升级。传统身份系统通常无法正确处理云实例和 Web 应用程序的复杂权限结构。权限配置错误很常见,个人用户在更多领域获得了比表面上更多的特权。

如果只考虑三家(主要的)云提供商,那么这三家云提供商之间就有超过 45,000 个权限。

例如,在测试环境中工作的软件开发人员在将软件移植到云时可能无法撤销自己的权限。数据库管理员可能无法在云实例上实施 MFA,从而使其容易受到暴力攻击。

由于云环境具有自助服务性质和复杂的权限,特权蔓延在云环境中尤其危险。配置错误或过于宽松的默认权限可能会无意中授予标准用户访问敏感资源的权限。

现代 IAM 来拯救你

传统和现代 IAM 系统都存在一个共同的问题,即从 Web 浏览器窃取会话 cookie,从而绕过密码甚至 MFA。会话 cookie 会在一定时间内(有时几乎无限期)保持授权。窃取 cookie 只需要一个恶意浏览器插件、系统上安装的恶意软件或跨站点脚本攻击。

传统身份管理系统可以通过强制每日从内部 Web 应用程序注销来尝试应对 Cookie 盗窃。现代 IAM 系统有更多对策,包括强制使用安全浏览器来阻止未经授权的插件或不将会话 Cookie 写入可能被盗的磁盘。

IT 管理员还可以加密会话 cookie 并限制其持续时间或“生存时间”。这些措施可能超出了 IAM 系统的范畴,但却是现代 IAM 所伴随的整体安全文化的一部分。

类似的还有会话隔离,其中浏览器或其他云访问界面被放入沙盒中,或者其流量通过代理服务器传输,这样任何损害都仅限于用户的系统。

现代 IAM 系统的一些最有效功能借鉴了特权访问管理(PAM) 系统,后者长期以来一直用于控制系统管理员等特权用户的访问权限。随着身份在组织安全中变得越来越重要,PAM 和 IAM 系统开始融合。

您的 IAM 不再应该与特权控制隔绝。您的 IAM 系统也需要同样的特权控制。

例如,PAM 系统经常强制特权用户重新进行身份验证,有时一天不止一次。它们还持续监控和记录用户行为。

将这些功能移植到 IAM 并将其应用于所有用户可以使组织更加安全,尤其是当“每个身份在特定情况下都可以享有特权”时。

用最少的资源做最多的事

近年来,IAM 和 PAM 系统中最重要的发展就是实施最小权限访问原则。其理念是,任何用户(无论是实习生、系统管理员还是 CEO)都不应拥有超出其工作所需权限的系统权限。

一个必然的原则是基于角色的访问控制,其中工作本身决定了用户可以拥有哪些权限 - 以及哪些权限应该被剥夺。

这两点听起来可能很明显,但在实践中,可能很难说服从一个部门转到另一个部门的经理放弃对系统的一些权力。

一旦他们获得了凭证或权限,就很难从已经拥有这些凭证或权限 5 至 10 年的人手中夺走。

在这种情况下,执行规则的管理员需要得到上级的支持,并且需要将最小特权和基于角色的访问原则明确为管理员在必要时可以参考的政策。

最小特权也是零信任安全的基石之一,在零信任安全中,没有经过严格身份验证和授权的用户将无法获得访问权限。

如果你不实施最小权限,那么它就像是黑客的自助餐桌。如果你没有基于角色的访问权限,[最小权限] 就更难了。

现代 IAM 的其他发展包括基于动态风险的 MFA,这是一个自动化系统,其中 IAM 平台整理有关尝试登录的用户的“信号”。传统身份平台很少具有实施基于风险的 MFA 所需的那种自动化功能。

信号可以包括用户的位置、用户的计算机以及用户上次登录的时间。新的用户计算机会触发 MFA 挑战,但同一台计算机看起来与当天早些时候所在的位置相距半个地球。

现代 IAM 系统还可以适应防网络钓鱼的身份验证形式,例如Yubikeys等硬件令牌或基于软件的令牌,如现在较新的 iPhone、Android 手机和笔记本电脑中提供的密钥。

正值未来

现代 IAM 的前沿涉及即时访问和零权限等新方法,这两种方法都源于最小特权和基于角色的访问原则。

即时 (JIT) 访问是指在需要时才授予任何人提升的权限,例如当管理员需要重新配置数据库时。这在原理上类似于授予最终用户笔记本电脑的临时管理员权限,只不过这涉及整个组织网络。

与授予最终用户的管理员权限一样,JIT 权限不会持续很长时间。现代 IAM 系统通常会在几个小时后或用户完成手头任务所需的时间后“终止”它们。

零常设权限意味着没有用户,甚至管理员,被授予永久提升的权限。那些需要这些权限的人可以在适当的时候暂时获得它们。

随着时间的推移,我们有越来越多的想法和能力深入控制层面,我们已经能够取消这些特权,因此用户只是在限定的时间内及时获得这些特权,并且不会拥有超出他们可能需要的特权。

IAM 和 PAM 原则的结合为现代、零信任、身份优先的安全架构奠定了基础,为组织迎接无边界、人工智能辅助、基于云的未来做好了准备。

会话隔离、会话监控、保护会话 cookie 等身份验证后数据 —— 这些都是我们从特权(访问管理)领域获得的想法,现在可以应用到(标准)劳动力领域。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2190283.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Ubuntu18.04配置OpenPCDet并运行demo过程记录

一、概述 因为最近需要配置OpenPCDet,发现在配置过程中存在诸多的问题需要解决,将过程中所遇到的问题进行记录保存。 二、具体配置过程 (一)参考链接 因为中间遇到了很多问题,参考了很多不少相应的博客进行问题解决。…

【Unity】unity安卓打包参数(个人复习向/有不足之处欢迎指出/侵删)

1.Texture Compression 纹理压缩 设置发布后的纹理压缩格式 Use Player Settings:使用在播放器设置中设置的纹理压缩格式 ETC:使用ETC格式(兼容) ETC2:使用ETC2格式(很多设备不支持) ASTC:使用…

使用JavaScript写一个网页端的四则运算器

目录 style(内联样式表部分) body部分 html script 总的代码 网页演示 style(内联样式表部分) <style>body {font-family: Arial, sans-serif;display: flex;justify-content: center;align-items: center;height: 100vh;background-color: #f0f0f0;}.calculator {…

c++ 指针传参

// // Created by 徐昌真 on 2024/10/4. // #include <iostream>//函数的值传递 void swap(int a, int b){ //只是单纯的改变了函数内部a b的值 在main函数内值并不会改变 因为值存在地址里面 而地址里面的值要通过指针来改变int temp;temp a;a b;b temp; }//函数的址…

Oracle架构之表空间详解

文章目录 1 表空间介绍1.1 简介1.2 表空间分类1.2.1 SYSTEM 表空间1.2.2 SYSAUX 表空间1.2.3 UNDO 表空间1.2.4 USERS 表空间 1.3 表空间字典与本地管理1.3.1 字典管理表空间&#xff08;Dictionary Management Tablespace&#xff0c;DMT&#xff09;1.3.2 本地管理方式的表空…

8647 实现图的存储结构

### 思路 1. 读取输入的顶点个数n和边的条数m。 2. 初始化一个n*n的邻接矩阵&#xff0c;所有元素初始为0。 3. 读取每条边的信息&#xff0c;更新邻接矩阵对应位置为1。 4. 输出邻接矩阵。 ### 伪代码 1. 读取n和m。 2. 初始化n*n的邻接矩阵matrix&#xff0c;所有元素为0。 …

CSS列表和超链接的使用(8个案例+代码+效果图+素材)

目录 1.无序列表ul 案例:定义不同type的li 1.代码 2.效果 2.有序列表ol type 取值 start属性 value 案例:定义不同类型的有序列表 1.代码 2.效果 3.定义列表dl 1.代码 2.效果 4.list-style-type属性 list-style-type的取值 案例:list-type的使用 1.代码 2.效果 5.list-style-im…

关于OJ平台的一个代码小问题 ——

目录 一、关于OJ平台的一个代码小问题 1、将OJ代码复制粘贴到vs上 2、创建测试方法&#xff0c;调用本次要调试的目标方法 3、利用vs调试工具排查代码问题 一、关于OJ平台的一个代码小问题 思考&#xff1a;OJ代码有bug怎么办&#xff1f; 答&#xff1a;VS调试技能用起来 …

G. Gears (2022 ICPC Southeastern Europe Regional Contest. )

G. Gears 思路&#xff1a; 本身这个题并不难&#xff0c;奈何卡了很久后看了题解才做出来&#xff0c;感觉自己好笨。 很容易想到的是&#xff0c;只要确定了一个齿轮的位置&#xff0c;其他齿轮的位置都可以直接推出来。所以当前目标是如何确定第一个齿轮的位置。 令 x [ i …

第2篇:Windows权限维持----应急响应之权限维持篇

关键词&#xff1a;Windows系统后门、权限维持 在获取服务器权限后&#xff0c;通常会用一些后门技术来维持服务器权限&#xff0c;服务器一旦被植入后门&#xff0c;攻击者便如入无人之境。本文将对常见的window服务端自启动后门技术进行解析&#xff0c;知己知彼方能杜绝后门…

系统规划与管理——1信息系统综合知识(4)

文章目录 1.3 信息系统1.3.4 信息系统总体规划 1.3 信息系统 1.3.4 信息系统总体规划 信息系统总体规划的概念和作用 一个组织或一个区域的信息系统建设&#xff0c;都要经历由初始到成熟的发展过程。诺兰总结了信息系统发展的规律&#xff0c;在1973年提出了信息系统发展的阶…

《Linux从小白到高手》理论篇:Linux的系统服务管理

值此国庆佳节&#xff0c;深宅家中&#xff0c;闲来无事&#xff0c;就多写几篇博文。本篇详细深入介绍Linux的系统服务管理。 系统服务通常在系统启动时自动启动&#xff0c;并在后台持续运行&#xff0c;为系统和用户提供特定的功能。例如&#xff0c;网络服务、打印服务、数…

CSP-J/S复赛算法 动态规划初步

文章目录 前言动态规划动态规划常见形式动态规划求最值的几个例子1. **背包问题**2. **最短路径问题**3. **最小硬币找零问题**4. **最长递增子序列** 总结 最优子结构举个简单的例子其他例子条件 DP的核心就是穷举具体解释 递归的算法时间复杂度dp数组的迭代解法通俗易懂的解释…

mysql表和表中记录的操作·2

表中字段的操作表中记录的操作SQL约束 1.表中字段的操作 字段/列column 知识点 在表中添加一列&#xff1a;alter table 表名 add 字段名 字段类型; 在表中删除一列&#xff1a;alter table 表名 drop 字段名; 在表中修改字段名和字段类型&#xff1a;alter table 表名…

IO零拷贝技术

01背景介绍 相信不少的网友&#xff0c;在很多的博客文章里面&#xff0c;已经见到过零拷贝这个词&#xff0c;会不禁的发出一些疑问&#xff0c;什么是零拷贝&#xff1f; 从字面上我们很容易理解出&#xff0c;零拷贝包含两个意思&#xff1a; 拷贝&#xff1a;就是指数据从…

Lesson1 - 操作系统概述与硬件视角

文章目录 什么是操作系统操作系统的形成 从程序看OS提出问题&#xff1a;从hello world文件开始目前编译器帮我们解决了诸多问题gcc的编译过程 CPU的运作CPU对任务的切换 什么是操作系统 操作系统 Operating System 是一组控制和管理计算机 硬件 和 软件 资源合理地对各类作业…

深入理解NumPy库:常用函数详解与数组操作指南

在数据科学和数值计算领域&#xff0c;NumPy无疑是一个强大的工具&#xff0c;它为Python提供了高效的多维数 组处理能力。无论是进行数据分析、构建机器学习模型&#xff0c;还是进行复杂的科学计算&#xff0c;NumPy都是 不可或缺的核心库之一。 numpy.array 是 NumPy 库中…

Python 从入门到实战34(实例2:绘制蟒蛇)

我们的目标是&#xff1a;通过这一套资料学习下来&#xff0c;通过熟练掌握python基础&#xff0c;然后结合经典实例、实践相结合&#xff0c;使我们完全掌握python&#xff0c;并做到独立完成项目开发的能力。 上篇文章我们讨论了数据库MySQL操作的相关知识。今天学习一个使用…

C语言指针plus版练习

上期我们讲了进阶的指针&#xff0c;本期内容我们来强化一下上期学的内容 一、字符串左旋 实现一个函数&#xff0c;可以左旋字符串中的k个字符。 1.1 分析题目 假设字符串为abcde&#xff0c;左旋一个以后就变成bcdea&#xff0c;就是把第一个字符移到一个新的变量里面&#…

5G NR BWP 简介

文章目录 BWP介绍BWP 分类BWP相关总结 BWP介绍 5G NR 系统带宽比4G LTE 大了很多&#xff0c;4G LTE 最大支持带宽为20MHz&#xff0c; 而5G NR 的FR1 最大支持带宽为100MH在&#xff0c; FR2 最大支持带宽为 400MH在。带宽越大&#xff0c;意味了终端功耗越多。为了减少终端的…