为什么传统IAM策略在复杂的攻击手段面前失效了?如何解决身份安全威胁?用户需要哪些新技术和新方案?围绕近来发生的一系列身份安全攻击事件,安全419采访到了新一代身份安全代表厂商无胁科技,邀请无胁科技创始人陈祥为我们分享其在身份领域深耕多年的看法。
身份管理≠身份安全
传统IAM已无法适应数字技术环境变革
传统IAM已无法适应数字技术环境变革
陈祥告诉我们,身份作为企业应用的入口,大量存在于企业的内部业务和外部业务中,身份作为最核心数据对于企业的重要性不言而喻,分析近几年国内外不断发生的安全事件,事实上,身份已经成为攻击面中最易受攻击的部分,攻击者更倾向于通过身份盗用和凭据滥用的方式去进行攻击,也会更加隐蔽。
根据《数据泄露调查报告》的数据显示,85%的数据泄露涉及人的因素,61%的数据泄露牵涉登录凭证(Identity)。随着攻击链路越来越复杂,身份将是一个核心的链路点,更是关键的检测点与阻断点。
但由于传统的身份与访问管理(IAM)产品本身以身份认证为核心,在技术配置和功能配置上缺乏安全检测与响应的能力,就导致了当针对身份基础设施的攻击发生时,IAM产品无法有效预警和防御。也正是因为这一原因,如Okta这样的传统身份与访问管理厂商发生凭证盗用存在一定的必然性。
陈祥表示,在用户登录时,传统的身份管理方案会为用户下发一个随机凭证,只要这个凭证验证无误,对应的用户就能够登录到企业内部应用中,可以说,一旦用户的身份被冒用而导致凭证丢失,就代表着企业也丢失了一把关键的密钥。
“传统的身份管理就好比在影院门口设置了一位检票员的角色,所有人都凭票入场。但持票者是否购票者本人,是否携带危险杀伤性物品等等,都不在检票员的职责范围之内。这样简单的核验机制,一旦放在企业访问的场景下,就会带来很严峻的安全风险。”
他谈到,传统的身份认证技术如身份和访问管理 (IAM) 、IDaaS 及单点登录(SSO),一般解决的是身份场景的4A需求,即:认证(Authentication)、授权(Authorization)、审计(Audit)和账号管理(Account Management),来满足身份认证的基本连通性和统一管理。
回顾身份访问与管理技术的发展,实际上在过去的十余年中并没有出现变革性的跨越,更多是推动标准的IAM解决方案在更多行业场景中落地,向不同的行业领域适配和兼容。包括近年来出现的IDaaS相关的技术方案,也更多强调将IAM转到云端,让企业面向多用户和多业务系统做统一的登录认证,但这一做法事实上并不能解决企业的业务系统的安全问题。
身份基础设施本身是一个系统性的作用工程,也需要根据数字化进程的发展而不断迭代。尤其是随着围绕身份基础设施的攻防对抗形势不断升级,身份管理厂商必须意识到,业务安全与用户身份安全同样是重中之重。
在陈祥看来,传统的身份认证和访问管理技术实际上并不等于身份安全,真正的身份安全解决方案应该包含身份认证能力和安全检测与响应能力,包含安全能力的产品才能够被称之为身份安全。
企业亟须下一代身份安全解决方案
保护数字世界信任入口
保护数字世界信任入口
Gartner认为,“脆弱的身份基础设施是因不完整的能力或覆盖、错误的配置或易受攻击的环节等导致的。到2027年,身份编织网络免疫的底线是能防止85%的新攻击,从而将威胁行为的财务影响减少80%”。新的下一代身份安全技术将快速发展,可以更好地替换传统的IAM技术。
但下一代的身份安全究竟是什么呢?针对国内企业网络安全基础现状需求,下一代身份安全应当是一个覆盖数字全生命周期的身份安全管理方案,将身份认证管理和高级身份威胁检测融合于一体,能够解决内部员工的身份管理、外部用户的身份管理,以及集权类设备的身份管理,涵盖Web 安全、账号安全,以及业务反欺诈安全等多方面安全防护能力,实现从攻击的事前防御和实时威胁检测、事中响应和阻断、事后溯源的高级身份威胁检测及溯源能力。
他表示,如果传统IAM是在影院入口位置设置一个检票员,那么下一代身份安全产品就是为检票员赋予更大的责任和权限。“我们要在每一个用户进场的时候,记录用户的身份信息、指纹信息、外貌特征,每一次进入都需要对多维的身份信息进行匹配和验证,在身份核验的关卡再加上一层安全措施,执行更严苛的身份核验策略,进而在身份认证的环节就将安全风险过滤掉。”
陈祥认为,下一代身份安全的优势在于,为身份基础设施注入安全疫苗,使其拥有数字身份安全免疫能力。它是基于实时的身份威胁检测技术对用户的数字身份进行多维分析,利用海量的威胁情报数据,及时检测威胁。
基于这一理念,无胁科技已率先推出了高级身份威胁检测+身份认证的下一代身份安全平台——WuThreat身份安全云,基于云原生架构和AI驱动的安全引擎,以及深耕多年的身份威胁情报技术,实现多场景的身份认证基础设施功能进行编排身份业务需求,并在身份场景以身份威胁视角来进行威胁检测,构建身份编织网络免疫力。
据介绍,WuThreat 身份云基于下一代身份安全技术,采用云原生架构,开发人员可以快速通过 SaaS云服务和文档完善的 SDK 和 API 集成,快速为企业的 Web、APP、设备等应用业务构建全场景、一体化、端到端的身份认证与威胁检测解决方案。在业务层面可以提供多场景的身份认证(外部、内部、集权设备)、身份威胁检测与防御、全链路身份行为分析,在安全层面包含Web安全检测、漏洞威胁探测、账户安全、业务安全等攻击行为,在每次的身份访问流量中进行实时的身份威胁检测与防御,真正做到身份认证即身份安全。
New身份No威胁
2023数字身份安全技术大会即将举行
2023数字身份安全技术大会即将举行
12月6日,无胁科技将举行首届以“New身份No威胁”为主题的2023数字身份安全技术大会。大会将集结来自数十位甲方安全专家、安全企业负责人、投资人和媒体,共同聚焦互联网发展趋势、互联网技术的新身份、下一代身份安全产品,以及围绕身份安全的红队攻防对抗,共同探讨新身份安全的新未来。
大会亮点:
● 探讨最新数字身份安全趋势
在会上,无胁科技将会同十余位业界意见领袖和身份安全相关领域专家,共同探讨数字身份安全领域的最新趋势和挑战,深入剖析企业用户在数字身份安全的关键问题。
● WuThreat身份云产品首发
届时,由无胁科技打造的WuThreat身份云也将正式亮相,无胁科技将面向线上线下的参会者,现场展示WuThreat身份云的强大身份认证和威胁检测功能。为企业提供多重层面的身份认证和数字身份安全免疫能力,为企业身份安全治理打开新视角,提供新方案。
● 红队视角下的下一代身份安全
本届大会,来自无胁科技的一线红队安全专家,还将现身说法,分享红队攻击中挑战数字身份安全的技战术,以及关于下一代身份安全产品的创新防御方法。
● “新身份安全威胁检测联盟”成立
由无胁科技联合国内多家安全厂商共同发起的“新身份安全威胁检测联盟”也将在大会上宣布成立,联盟将以身份威胁检测为核心,打造新生态圈模式,开放合作,共同推进下一代身份安全技术的应用,为数字身份安全构建更广泛的合作网络。
目前大会报名通道已开启,欢迎行业同仁报名参会,共同见证下一代身份安全全新变革!
时间:2023-12-06 下午
地点:北京市泰华龙旗酒店三层
ps:所有报名现场签到嘉宾,可获得WuThreat TVD价值一万元的企业级漏洞威胁情报一年服务!
码上报名参会
大会议程: