在當今的數位環境中,傳統的安全邊界已經消失,使身分認同成為新的防禦前線。隨著組織越來越多地採用雲端服務和遠端工作模式,管理和保護身分認同已變得至關重要。有效的身份和存取管理 (IAM) 實踐對於 IT 部門防範網路攻擊、網路釣魚嘗試和勒索軟體威脅至關重要。透過實施強大的 IAM 策略,組織可以確保只有授權個人才能存取關鍵資源,從而降低潛在的安全風險。讓我們深入探討需要關注的最重要的事情,所有這些都符合核心零信任原則。
明確驗證
推動雲端技術持續採用的主要驅動力之一是隨時隨地透過任何裝置輕鬆存取資源。但實際上,在不驗證訪問請求是否由正確的人發出的情況下允許這種級別的不受挑戰的訪問是短視的。畢竟,我們仍然生活在一個用戶名和密碼經常寫在所使用的設備附近的時代。 IT 安全團隊應該建立健全的機制來明確驗證這些存取請求,以便可以放心地允許訪問,尤其是來自無法識別的網路位置的存取。
實踐中的一些範例是使用強大的多因素身份驗證 (MFA) 方法來保護請求。強大的方法包括透過智慧型裝置上您選擇的身份驗證器應用程式中的通知(已使用生物識別技術解鎖)或透過使用數位匹配提示來批准存取請求,以便請求者必須在其應用程式中手動輸入正確的“答案”之前授予訪問權限。這些方法有助於避開攻擊者用來嘗試繞過 MFA 提示的一些不斷發展的技術:即 sim 交換和 MFA 疲勞。這些以 MFA 為重點的攻擊技術的出現表明,攻擊者總是試圖領先新興安全功能一步。
不過,就身分安全而言,MFA 並不是萬能的。這只是安全團隊必須在攻擊者和破壞環境的目標之間設置的第一個障礙。存在的障礙越多,攻擊者就越有可能放棄並轉向更容易的目標。 MFA 將阻止大多數攻擊者,但不是全部。
使用者和實體行為分析 (UEBA) 是另一種可以提供額外安全層的現代技術。無論攻擊者是否成功克服了他們遇到的 MFA 障礙,UEBA 都會持續監控使用者與雲端平台互動時產生的不同指標。任何與該用戶正常情況的偏差都會被分配一個風險評分,如果發現足夠多的異常情況,它可能會迫使用戶進行密碼重置體驗,甚至完全鎖定帳戶,直到安全團隊確信該帳戶沒有發生這種情況。
這些技術展示了可以採取哪些措施來增強 IAM 平台,使其更能抵禦以身分為中心的攻擊。未來不可避免地會轉向防止人工智慧生成的深度偽造品的使用。
人工智慧技術也變得越來越容易為每個人所接受——這也包括不良行為者!使用Microsoft Entra 中的驗證ID 等功能(包括必須執行即時仿生掃描來證明真實性)很快就會變得普遍,從而確保當有人在周五下午結束時接到首席財務官的電話以批准巨額付款發票時,他們可以確信自己正在與財務長交談,而不是人工智慧產生的視訊通話。
使用最小權限存取原則
隨著組織的發展和發展,為使技術發揮作用而配置的權限和特權也在不斷變化。隨著時間的推移,身分可以累積大量不同的單點權限來執行非常具體的任務。如果這些權限的大小沒有定期調整,則可能意味著某些身分可以在 IT 環境中擁有巨大的權力。讓我們介紹一些有助於減輕這種風險的概念。
基於角色的存取控制 (RBAC) 是一種一致地配置預先映射權限和特權以適應特定角色或任務的方法。這些預先定義的角色可以輕鬆地為手邊的任務提供正確數量的權限。 Microsoft 365 和 Azure 等雲端平台提供了許多開箱即用的角色,但也允許自訂角色以滿足任何組織的需求。建議盡可能多使用 RBAC 角色,在實施下一種技術時更是如此。
即時 (JIT) 存取使 RBAC 更進一步。 JIT 存取不是每天 24 小時將身分與提升的權限和特權堆疊在一起,而是暫時授予提升的權限。 Microsoft 特權身分管理是JIT 工具的一個範例,它允許適當的身分暫時將其權限升級到預定的RBAC 角色,並且可以包括額外的檢查和平衡,例如批准、強制MFA 批准、電子郵件通知或自訂選項的時長個人可以獲得一定的權限。最終,這意味著如果那些有權存取更高權限的帳戶受到損害,並不一定意味著不良行為者能夠利用這些權限。
除了使用現代 IAM 技巧和技術來保持權利和權限適當大小之外,確保有適當的流程來確保良好的身份衛生實踐也很重要。這可以有多種形式,但如果專注於 Microsoft Entra 解決方案,我們可以重點介紹兩個特定工具,它們可以幫助使這些流程比手動工作更順利。首先,存取審查可用於定期檢查環境中的身份,並指示誰已使用或未使用其提升的權限。這使得服務擁有者有權決定誰應該留在權限群組或不留在權限群組中。這也是審核透過 Entra B2B 邀請加入您的租戶的外部合作者的絕佳方式。
存取包是保持權限啟用標準化的另一種方法。應用程式、群組、雲端服務等可以分組到單一套件中,例如,「入門級會計」可能是一個建立的包,用於授予對薪資軟體的存取權限、檢視者對多個SharePoint 網站和Microsoft 團隊的存取權限。一旦該人員從存取包中刪除,例如,如果他們要調動部門或升職,則從該單一存取包中刪除他們將刪除對服務包的所有關聯存取權。這意味著給定身分上不太可能累積停滯的權限。
假設違規
即使擁有所有最好的安全工具,組織也無法 100% 免受攻擊。面對這個現實是成功的安全策略的關鍵部分。始終假設可能發生違規並提高彈性非常重要,這樣響應攻擊就不會是令人畏懼的經歷。這裡可以引入幾個概念來幫助解決這個問題。
首先,持續認證的理念很重要。攻擊者沒有採用「使用者 X 已成功執行 MFA 請求,因此我將授予他們請求的所有存取權限」的思維方式,這似乎是本文已涵蓋的一些概念的補充,但如前所述,攻擊者總是會嘗試比安全工具領先一步,因此對存取進行限制至關重要,即使用戶似乎所做的一切都是正確的。沒有什麼比改變使用者登入頻率更好的了,尤其是從組織網路邊界外部存取內容時。但請注意,在執行健全的安全實踐和影響使用者體驗之間需要取得重要的平衡,因此令人沮喪。
自適應存取控制也可用於促進對存取請求的決策。例如,如果使用者 X 在組織網路邊界內從其註冊設備登入他們每天使用的 SaaS 平台,則風險很小。在大多數情況下,應在此處授予存取權限。然而,假設使用者 Y 在未註冊的裝置上從外部 IP 位址(即公認的匿名 VPN 平台)登錄,希望從 SharePoint 下載大量資訊。這可能是合法請求,但也可能是身分洩露的跡象,而即時自適應控制(例如 Entra ID 保護中的登入或風險策略)可以幫助在這些情況下更好地保護資源。
總之,實施以 IAM 為重點的零信任安全模型對於打擊網路攻擊、網路釣魚和勒索軟體至關重要。透過採用明確驗證、最小特權和假設違規等原則,組織可以大幅降低網路內未經授權的存取和橫向移動的風險。 MFA、JIT 存取和 UEBA 等技術在執行這些原則方面發揮著至關重要的作用。此外,持續監控、身分分析和欺騙技術有助於快速偵測和回應潛在的違規行為,確保強大且有彈性的安全態勢。
Ricky Simpson 是蘇格蘭網路安全服務供應商 Quorum Cyber 的美國解決方案總監。他於 2023 年初領導美國,此前他在微軟愛丁堡總部擔任雲端、安全和合規職位多年。他擁有阿伯丁羅伯特戈登大學計算機科學學士學位。
