零信任安全治理理念不再是陌生的話題����,隨著社會面臨更復雜的信息安全風險,不斷變化的網(wǎng)絡環(huán)境使得基于邊界的安全架構不再具備抵御內外部安全威脅的能力�。傳統(tǒng)的以網(wǎng)絡中心化的安全體系架構也逐步過渡到以身份為中心的網(wǎng)絡訪問控制理念。
基于零信任理念衍生的安全管理框架也在逐步貼合更多的安全管理需求�����,例如如何平衡用戶、員工與安全管理間的摩擦問題����。過渡代償式的安全管控會造成糟糕的用戶體驗,增加用戶的流失率���,同時降低員工的敏捷性�����,增加運營成本�,直接影響就是降低業(yè)務收入��。
根據(jù) Verizon 數(shù)據(jù)泄漏調查報告顯示����,81%
的黑客相關泄漏事故都是因為憑證盜取造成的。過去傳統(tǒng)的安全治理辦法是添加更多的身份認證流程�����,例如在帳號密碼單因素認證下添加第二種認證因素�����,短信/郵箱等驗證流程,這種辦法被稱為
2FA����,即雙因素認證。然而這種辦法并不能有效解決此類問題���,不法分子會通過釣魚網(wǎng)站/郵件/短信等手段獲取相應的 OTP 指令或者建設偽基站來劫取驗證信息�。
在此基礎上�,2FA 也迭代成 MFA,即多因素認證���,在 OTP
指令的基礎上增加了生物特征識別技術���,例如指紋、人臉等���。這種辦法能有效解決上述問題����,但也同樣衍生出新的問題���,受限于設備(例如設備需要支持指紋和人臉識別)����、技術等客觀因素��,并不能有效覆蓋認證的所有場景���。同時增加不必要的因素認證流程會增加用戶體驗的負擔��。
「自適應多因素認證(AMFA)」在傳統(tǒng)多因素認證(MFA)的基礎上根據(jù)上下文判斷當前的安全狀況以確認是否需要增加多因素認證��。通過判斷用戶屬性�����、上下文行為�、ip
地址����、設備信息、地理位置等多種「要素」動態(tài)評估風險���。例如當用戶異地登錄時或者異常 ip 登錄時添加多因素認證��,而當用戶在常用的設備以及公司 ip
登錄時則無需二次驗證����,這有效解決了用戶體驗與安全管理的摩擦問題。
然而����,「自適應多因素認證 AMFA」
雖然有效解決了上述問題,但對于安全環(huán)境更復雜以及對于安全審計有特殊要求的組織來說�,僅在安全敏感節(jié)點設置點狀的一次性自適應 MFA
并不能全面覆蓋企業(yè)內所有潛在的安全風險,此時�����,「持續(xù)自適應信任(CAT)」作為下一代安全管理模型被提出�����,而基于自適應信任框架的「持續(xù)自適應多因素認證(CAMFA)」則是解決上述問題的最佳實踐�。本文將介紹什么是持續(xù)自適應信任以及如何實現(xiàn)持續(xù)自適應多因素認證。
Gartner:將焦點從 MFA 轉移到持續(xù)自適應信任(CAT)
01.什么是持續(xù)自適應信任(CAT)�?
持續(xù)自適應信任(Continuous Adaptive Trust,
CAT)是一種基于動態(tài)信任評估的安全模型,旨在實現(xiàn)對數(shù)字化生態(tài)系統(tǒng)中的實體(如人員���、設備�、應用程序和服務)進行持續(xù)監(jiān)測和自適應信任評估,從而有效地識別和響應威脅��。CAT
模型的核心思想是基于實體行為和可觀測數(shù)據(jù)的實時分析���,借助機器學習、人工智能等技術���,對實體的行為進行動態(tài)評估���,并根據(jù)評估結果來調整對實體的信任級別。CAT
模型具有高度自適應性和靈活性����,可以根據(jù)實體行為的變化實時調整信任評估策略,從而更好地適應不斷變化的威脅環(huán)境�。通過實現(xiàn)持續(xù)自適應信任評估,CAT
模型可以有效地提高數(shù)字化生態(tài)系統(tǒng)的安全性和可信度����,保護企業(yè)和用戶的數(shù)字資產和隱私。
從“應急響應”到“持續(xù)響應”���,持續(xù)自適應信任構建企業(yè)安全免疫系統(tǒng)
舉一個更易懂的例子���?����!赋掷m(xù)自適應信任」在微觀層面類似生物自身的免疫系統(tǒng)����,在宏觀層面類似一套完整的生態(tài)系統(tǒng)�����。生物的免疫系統(tǒng)可以對新的安全威脅自主地快速做出反應并進行調整���,而生態(tài)系統(tǒng)則是孵化生物的基本條件�,豐富多元的生態(tài)系統(tǒng)可以幫助生物適應更復雜的環(huán)境以及造就更強大的免疫系統(tǒng)能力�����。
換言之����,依靠豐富多元的 IT
基礎設施能幫助自適應信任構建更強大完善的自適應信任體系���,所以持續(xù)自適應信任并非單一的產品或解決方案,它需要一套完善的全場景用戶訪問認證功能以及權限管理等能力���,才能更全面的保護企業(yè)信息安全�。
過去傳統(tǒng)組織依賴預防和基于策略的安全控制����,部署防病毒軟件�、防火墻、入侵防御系統(tǒng)(IDS/DPS)等產品��,而這種辦法已經(jīng)不能適應如今和未來的安全環(huán)境�。Gartner
提倡為了實現(xiàn)對更復雜威脅的防控,建議將安全思維方式從“應急響應”到“持續(xù)響應”轉變�����。下一代的安全保護流程的核心是持續(xù)�、普遍的監(jiān)控和可見性,企業(yè)的安全監(jiān)控應該無處不在��,并盡可能多的包含
IT 堆棧層�����,包括網(wǎng)絡活動、端點�、系統(tǒng)交互、應用程序事務和用戶活動監(jiān)控����。
從零信任延展至持續(xù)自適應信任(CAT)
零信任的三個主要原則“默認不信任任何實體(人、設備���、軟件等)”“始終持續(xù)驗證”“執(zhí)行最小特權”���,在零信任架構中最主要的兩個點:
● 認證:收集和分析信息來建立對實體的信任級別
● 訪問控制:根據(jù)身份信息和信任級別控制實體對資源訪問權限
從企業(yè)安全的角度來看,身份認證是實體證明其可信的過程�,需要基于豐富、持續(xù)�����、準確的數(shù)據(jù)源為基礎����。而從用戶體驗的角度來看,無體感/弱體感的身份認證能保障用戶的留存率和員工的工作效率��。
由于開啟零信任之旅需要首先解決零信任認證問題,所以在沒有有效的零信任方案前��,很多組織為認證過程添加弱因素認證����,有技術能力的組織會在一些敏感節(jié)點添加多因素認證以及單點登錄來試圖保障安全和用戶體驗的平衡,但由于無法實現(xiàn)在用戶會話過程中持續(xù)動態(tài)的評估和認證����,通常會采取設置長會話計時器來減少多因素認證的頻次。
無論是在各類敏感會話場景中增加多因素認證流程或者是添加會話計時器等方式�����,本質上都不能有效解決安全和用戶體驗的問題���,反而會增加企業(yè)安全支出并且影響用戶體驗。
這些問題都是組織在實施零信任過程中將零信任三個原則簡單的理解為增加更多的認證流程或者對每個認證環(huán)節(jié)增加因素認證����。事實上,將“零信任”的理念換個角度思考就是“持續(xù)獲得信任”��,只有持續(xù)獲得信任的身份才被允許進行下一步操作�����。某個身份需要持續(xù)獲得信任的條件是需要系統(tǒng)持續(xù)對其進行風險評估,而為了要保障用戶體驗���,這些評估需要用戶無體感的執(zhí)行���,這時,就需要持續(xù)的自適應信任(CAT)��。本質上����,持續(xù)自適應信任是基于零信任理念的最佳范式。
02.持續(xù)自適應多因素認證(CAMFA)構建企業(yè)零信任環(huán)境
如文章開頭所述�����,自適應多因素認證(AMFA)能有效解決用戶體驗和安全管理摩擦問題����,但審計監(jiān)管機構以及企業(yè)安全和業(yè)務部門對 MFA
的要求也越來越高,他們希望尋求安全性更高���、更靈活����、響應更快、用戶體驗更好以及成本更低的 MFA 解決方案���。
什么是持續(xù)自適應多因素認證(CAMFA)
「持續(xù)自適應多因素認證(Continuous Adaptive Multi-Factor
Authentication���,CAMFA)」是一種安全身份驗證方法,它在自適應多因素認證(基于上下文屬性判斷當前安全狀況以增加因素認證)的基礎上增加了實時風險評估技術對用戶進行動態(tài)評估安全系數(shù)��。在時間維度上���,持續(xù)自適應多因素認證在用戶整個使用旅程中持續(xù)不斷的對其進行信任評估����,以決定是否需要增加額外的認證流程�����。這樣做的好處就是企業(yè)的安全得到實時監(jiān)控���,而用戶只會在進行風險操作時被提示需要進行額外的認證。
持續(xù)自適應多因素認證(CAMFA)對企業(yè)的價值
身份認證是企業(yè)安全的基礎��,在安全監(jiān)管要求下,從傳統(tǒng)的賬密登錄轉向多因素認證(MFA)是必然的趨勢��。然而根據(jù)微軟的網(wǎng)絡信號報告顯示��,只有 22% 的
AD 身份使用了 MFA����,其最主要的原因是���,傳統(tǒng) MFA 為客戶和組織內部員工提供了糟糕的用戶體驗��。在用戶流失和生產力阻礙面前����,企業(yè)通常選擇關閉 MFA
來承擔額外的安全風險���。
而自適應多因素認證(AMFA)是平衡安全和用戶體驗有效方案��,然而和傳統(tǒng)多因素認證(MFA)一樣���,對于面臨更復雜的安全環(huán)境和有特殊安全監(jiān)管需求的企業(yè)來說,僅用一次性的身份認證來控制對敏感系統(tǒng)的訪問已經(jīng)不再足夠,用戶的安全狀況可能在系統(tǒng)會話期間動態(tài)變化��。此時企業(yè)需要有持續(xù)評估安全風險技術來對用戶進行動態(tài)安全系數(shù)評估�����,并基于該評估來決定是否需要增加額外的因素認證��。
通過持續(xù)自適應多因素認證(CAMFA)為企業(yè)實施零信任安全環(huán)境
持續(xù)自適應信任體系能確保企業(yè)實現(xiàn)真正意義上的零信任安全環(huán)境���,而實現(xiàn)持續(xù)自適應信任體系的最佳實踐則是實施「持續(xù)自適應多因素認證」�����。通過持續(xù)自適應多因素認證提供持續(xù)風險評估能力來判斷外部風險信號和內部數(shù)據(jù)���,同時基于「持續(xù)自適應多因素認證」的策略引擎來根據(jù)組織設定的安全策略對這些風險信號和訪問請求進行評估。
零信任安全模型通常包含一個策略引擎�,該策略引擎用以接受風險信號和相關數(shù)據(jù),以及配置安全策略和執(zhí)行安全策略����。通過結果判斷是否需要觸發(fā)多因素認證�����。
如何快速為你的企業(yè)構建持續(xù)自適應多因素認證?
值得注意的是��,企業(yè)實現(xiàn)持續(xù)自適應認證����,策略引擎必須能夠連接上下文數(shù)據(jù)與用戶和設備等實體關聯(lián)起來,而保障其決策準確性的前提就是能夠拓展到更細粒度的身份上獲取更多數(shù)據(jù)作為依據(jù)����。同時為了提高拓展性、靈活性以及持續(xù)性�,該流程必須是自動化執(zhí)行的。而需要實現(xiàn)上述能力的關鍵是企業(yè)的身份訪問與管理系統(tǒng)具有可編排的自動化能力�����,同時也需要具備元數(shù)據(jù)能力來統(tǒng)一不同來源上報的行為數(shù)據(jù)的標準��,通過自動化編排能力將整個身份驗證流程串聯(lián)�����,以實現(xiàn)持續(xù)響應的自適應多因素認證�。
Authing 提供基于身份自動化編排引擎的「持續(xù)自適應多因素認證」����。自適應 MFA 認證策略底層基于 Authing
UEBA(用戶或實體行為分析技術)�,可以針對用戶行為和用戶畫像進行深度梳理分析,從而自動選擇與當前行為相匹配的 MFA 策略��。
在自適應 MFA 認證策略中���,Authing UEBA 引擎會根據(jù)用戶的行為和畫像進行分析和判斷�,例如用戶的登錄歷史��、設備信息�、IP
地址����、地理位置、活動模式等等����,從而確定當前用戶的身份和風險級別,并選擇與之相匹配的 MFA
策略�����。而持續(xù)自適應多因素認證(CAMFA)是在自適應多因素認證(AMFA)的基礎上加上 Authing 身份自動化編排引擎。
Authing 持續(xù)自適應 MFA 業(yè)務架構圖
當用戶的業(yè)務系統(tǒng)接入 Authing 后�,從業(yè)務系統(tǒng)后端上報的 UEBA 數(shù)據(jù)到 Authing 系統(tǒng)��,通過在 Authing 配置的持續(xù)自適應
MFA 安全策略流�����,在訂閱安全策略流發(fā)布的事件后�。此時自適應安全策略將持續(xù)對 MFA 事件進行監(jiān)聽,當接收到 MFA 事件后���,將執(zhí)行相應的安全策略����。
Authing 是國內唯一以開發(fā)者為中心的全場景身份云產品�����,為企業(yè)和開發(fā)者提供高安全����、高性能、高生產力的用戶認證和訪問管理服務�。
Authing 目前已經(jīng)服務包括可口可樂�、招商銀行�����、三星集團��、復星集團�����、長鑫存儲海底撈�����、知乎在內的 40000+ 企業(yè)和開發(fā)者���。
絲綢行業(yè)市場貿易現(xiàn)狀及絲綢行業(yè)未來發(fā)展 
研究院服務號
中研網(wǎng)訂閱號