面对无边界、无规则、无差别(企业规模)的攻防时代,身份安全在未来网络安全构成的比重越来越大。身份安全是近些年网络安全创新的热点方向,从 2022 年提出的一项新技术——身份威胁检测与响应(Identity Threat
Detection and Response,简称:ITDR ),到 2023年提出的身份管理深度融合ITDR ——身份编织网络免疫(Identity Fabric Immunity),Gartner 每年网络安全趋势都将身份安全作为重点之一。
随着现代企业的数字化和智能化的万物互联、混合云部署的基础设施和应用、混合办公的常态化等都在推动着身份的复杂化,不同地方和应用存在着很多身份场景和数据,编织成一张庞大的身份网络。所有身份的互联互通以及组织和权限管理的复杂性急剧增加,将导致企业的管理成本和安全问题急剧增加,企业在各个场景的身份管理亟需分布式、原生化、自主的可信身份安全技术。
下一代身份安全产品和IAM技术的重要发展趋势主要是朝向 AI 智能化、融合ITDR一体化的强调“免疫力”的主动身份安全防御能力建设策略。
迫在眉睫的身份危机
身份作为企 业各个应用的入口,大量存在于企业的内部业务和外部业务中,身份作为最核心数据对于企业的重要性不言而喻,身份治理和身份基础设施建设已成为企业的必选项。并且随着零信任技术理念的推广和落地,企业对身份安全能力的要求越来越高。但是目前的身份与访问管理产品(IAM)本身技术配置和功能并没有安全检测与防御能力,这将导致有可能出现身份攻击时将无法预警和防御。
身份是防御者的盾牌,它也是攻击者的目标。分析近几年国内外不断发生的安全事件,事实上,身份是攻击面中最易受攻击的部分,攻击者更倾向于通过身份盗用和凭据滥用的方式去进行攻击,这样会更加隐蔽。根据《数据泄露调查报告》的数据显示,85%的数据泄露涉及人的因素,61%的数据泄露牵涉登录凭证(Identity)。随着攻击链路越来越复杂,身份将是一个核心的链路点,更是关键的检测点与阻断点。
国际知名的网络安全大会RSAC
2023已经落下帷幕,其CEO Rohit Ghai 发表了关于身份安全主题为《The Looming Identity Crisis(迫在眉睫的身份危机)》的开幕式演讲。
Rohit演讲中提到,身份的脆弱性呈指数级增长,组织机构平均需要277天才能识别和控制数据泄露。
虽然话题依然是以“身份安全”为主,但是正像Rohit 在演讲中提到的,这个名称可能不太准确了,已经不只是访问管理和身份管理(IAM)了,那只是基础功能,而非最重要的功能。现有的IAM和零信任的身份方案里主要解决的是管理的问题,缺失了最重要的安全能力。实际的攻击者一定会试图绕过登录,绕过IAM,绕过二次验证MFA,最后给企业造成不可估量的损失。
为了使身份安全平台在防御方面表现更加出色,Rohit建议使用覆盖身份全生命周期管理的安全技术——身份威胁检测与响应(ITDR)。
ITDR是对现有产品安全能力缺失的补足,双方需要深度融合,实时的检测用户真实身份,检测权限和盗用凭证的情况,以及在身份认证的流量里实时检测用户的异常行为,进而及时做出响应。
身份安全成安全创新的热点
国内外关于身份安全方向的创新创业也一直是火热的状态,从国内的奇安信主办的安全创客汇到国外的RSAC创新沙盒,热门赛道和创新趋势基本接近,每年都会出现身份安全创新企业的身影,由此可见需求侧对创新的驱动尤为显著。
当前身份安全的创新创业方向选择大概有以下三种:
| 偏向XDR领域的技术应用,代表厂商也推出了身份威胁保护产品线。更偏向通用化的DR能力,普适性较强,但通常缺少更深度的身份视角,以及跟现有身份产品的适配性差等问题。
| 专注在ITDR技术本身,或以AD为重点应用方向,为企业提供身份安全能力。更专注在围绕企业现有的各身份基础设施提供防护能力,但非常依赖于企业现有身份基础设施的现状,以及定制化和集成难等问题。
| 提供下一代身份安全平台,融合IAM和ITDR的创新技术架构,结合身份威胁情报技术和AI等,实现“身份编织网络免疫”。更注重整个身份全流程的威胁检测能力以及实时性,一体化产品设计,用户侧运维简单,以及采购性价比更高。但产品研发投入较重,以及用户对产品的功能完整性和易用性要求更高。
Gartner在2023年9大顶级网络安全趋势文章中,将作为身份安全发展方向的 “身份编织网络免疫”列为未来趋势。 Gartner认为,“脆弱的身份基础设施是因不完整的能力或覆盖、错误的配置或易受攻击的环节等导致的。到2027年,身份编织网络免疫的底线是能防止85%的新攻击,从而将威胁行为的财务影响减少80%”
企业里这张编织在一起的身份网络,类似“数字免疫系统”一样,其所依赖的身份基础设施(融合IAM、PAM、ITDR等)都是打过疫苗的,它是稳定且安全的。这种身份供应链形态采用提前打安全疫苗的方式来保障其安全,同时也需保证基础设施的统一性、业务连续性和良好的用户体验。
无胁科技 WuThreat 身份安全云平台覆盖全场景的身份认证管理和高级身份威胁检测,包括内部员工的身份管理、外部用户的身份管理、以及集权类设备的身份管理,涵盖Web 安全、账号安全、以及业务反欺诈安全。实现从攻击的事前防御和实时威胁检测、事中响应和阻断、事后溯源的高级身份威胁检测及溯源能力。
关于下一代身份安全平台向身份编织网络免疫的发展趋势,RSA Security CEO Rohit 在今年大会演讲中也给出了他的构想,他建议下一代身份安全平台是一个开放的,可集成数据的平台,融合ITDR身份威胁检测与响应和AI人工智能技术。ITDR将成为下一代身份安全平台的关键能力,利用威胁情报等数据,及时检测威胁,避免迟报和误报;AI能够使决策更加简单和实时,实现大多数工作流程自动化;AI可以在几分钟内管理数百万次的身份权限变更,实现更细颗粒度的权限访问模型。
下一代身份安全平台:数字身份免疫
随着万物互联的身份将面临更大的威胁暴露面,不仅仅是基于人的身份风险问题,还会有设备、APP、API等多形态的风险对抗会更加突出,无论是从攻击路径还是需保护的对象边界等。企业建设全场景的身份安全基础设施已成为刚需。
大量繁忙的应用系统与身份的交互认证,它们的网络流量是非常复杂的。由于网络流量的应用加密与复杂性,当前传统的网络安全技术措施如网络威胁检测工具:下一代防火墙、IPS、IDS、态势感知、NDR等;应用威胁检测工具:WAF、APT等。这些检测与防御工具无法识别加密流量(HTTPS及对称与非对称加密),这将导致出现检测盲区和不能识别攻击者的身份认证信息和业务系统信息。实时的高级身份威胁检测技术进一步丰富了零信任的内涵,成为企业应对身份威胁的最佳实践。
在企业的场景方面,身份在组织的内部还是外部、是用户访问还是系统访问、不同的资源访问权和资源管理权、以及在不同业务板块等不同维度的场景下面临的风险问题和安全对策都是不同的。所以利用AI技术辅助进行身份编排以及安全编排,实现更智能的权限和安全管理。
因此具有“身份编织网络免疫”能力的下一代身份安全平台,在技术架构上的发展趋势会朝着基础设施化(原生的身份安全)、融合实时的高级身份威胁检测(DR)、决策智能化(AI)等方向发展。
目前作为国内身份安全的创新厂商,无胁科技WuThreat一直在深耕该领域,并入选了今年的安全创客汇。已率先推出了高级身份威胁检测+身份认证的下一代身份安全平台——WuThreat身份安全云,基于云原生架构和AI驱动的安全引擎,以及深耕多年的身份威胁情报技术,实现多场景的身份认证基础设施功能进行编排身份业务需求,并在身份场景以身份威胁视角来进行威胁检测,构建身份编织网络免疫力。
无胁科技的核心技术团队综合自身15年甲方+乙方的安全经验,并且作为国内第一批威胁情报的实践者,一直在该领域持续的创新,致力于保护全球每一个应用的身份安全。目前,WuThreat身份安全云产品和解决方案正在制造业、汽车、政企、能源、航空、互联网、零售、金融等行业的头部用户落地,持续不断的为用户交付更安全、更智能、更具性价比的产品。
关于作者,
陈祥 北京无胁科技有限公司 创始人、CEO。具有15年以上在身份安全、攻防渗透、APT、威胁情报、黑灰产对抗、漏洞研究、安全事件分析、安全咨询等领域技术研究和实战经验。并作为2015年国内第一批威胁情报实践者。