零信任安全治理理念不再是陌生的話題,隨著社會面臨更復雜的信息安全風險,不斷變化的網絡環境使得基于邊界的安全架構不再具備抵御內外部安全威脅的能力。傳統的以網絡中心化的安全體系架構也逐步過渡到以身份為中心的網絡訪問控制理念。
基于零信任理念衍生的安全管理框架也在逐步貼合更多的安全管理需求,例如如何平衡用戶、員工與安全管理間的摩擦問題。過渡代償式的安全管控會造成糟糕的用戶體驗,增加用戶的流失率,同時降低員工的敏捷性,增加運營成本,直接影響就是降低業務收入。
根據 Verizon 數據泄漏調查報告顯示,81% 的黑客相關泄漏事故都是因為憑證盜取造成的。過去傳統的安全治理辦法是添加更多的身份認證流程,例如在帳號密碼單因素認證下添加第二種認證因素,短信/郵箱等驗證流程,這種辦法被稱為 2FA,即雙因素認證。然而這種辦法并不能有效解決此類問題,不法分子會通過釣魚網站/郵件/短信等手段獲取相應的 OTP 指令或者建設偽基站來劫取驗證信息。
在此基礎上,2FA 也迭代成 MFA,即多因素認證,在 OTP 指令的基礎上增加了生物特征識別技術,例如指紋、人臉等。這種辦法能有效解決上述問題,但也同樣衍生出新的問題,受限于設備(例如設備需要支持指紋和人臉識別)、技術等客觀因素,并不能有效覆蓋認證的所有場景。同時增加不必要的因素認證流程會增加用戶體驗的負擔。
「自適應多因素認證(AMFA)」在傳統多因素認證(MFA)的基礎上根據上下文判斷當前的安全狀況以確認是否需要增加多因素認證。通過判斷用戶屬性、上下文行為、ip 地址、設備信息、地理位置等多種「要素」動態評估風險。例如當用戶異地登錄時或者異常 ip 登錄時添加多因素認證,而當用戶在常用的設備以及公司 ip 登錄時則無需二次驗證,這有效解決了用戶體驗與安全管理的摩擦問題。
然而,「自適應多因素認證 AMFA」 雖然有效解決了上述問題,但對于安全環境更復雜以及對于安全審計有特殊要求的組織來說,僅在安全敏感節點設置點狀的一次性自適應 MFA 并不能全面覆蓋企業內所有潛在的安全風險,此時,「持續自適應信任(CAT)」作為下一代安全管理模型被提出,而基于自適應信任框架的「持續自適應多因素認證(CAMFA)」則是解決上述問題的最佳實踐。本文將介紹什么是持續自適應信任以及如何實現持續自適應多因素認證。
Gartner:將焦點從 MFA 轉移到持續自適應信任(CAT)
01.什么是持續自適應信任(CAT)?
持續自適應信任(Continuous Adaptive Trust, CAT)是一種基于動態信任評估的安全模型,旨在實現對數字化生態系統中的實體(如人員、設備、應用程序和服務)進行持續監測和自適應信任評估,從而有效地識別和響應威脅。CAT 模型的核心思想是基于實體行為和可觀測數據的實時分析,借助機器學習、人工智能等技術,對實體的行為進行動態評估,并根據評估結果來調整對實體的信任級別。CAT 模型具有高度自適應性和靈活性,可以根據實體行為的變化實時調整信任評估策略,從而更好地適應不斷變化的威脅環境。通過實現持續自適應信任評估,CAT 模型可以有效地提高數字化生態系統的安全性和可信度,保護企業和用戶的數字資產和隱私。
從“應急響應”到“持續響應”,持續自適應信任構建企業安全免疫系統
舉一個更易懂的例子。「持續自適應信任」在微觀層面類似生物自身的免疫系統,在宏觀層面類似一套完整的生態系統。生物的免疫系統可以對新的安全威脅自主地快速做出反應并進行調整,而生態系統則是孵化生物的基本條件,豐富多元的生態系統可以幫助生物適應更復雜的環境以及造就更強大的免疫系統能力。
換言之,依靠豐富多元的 IT 基礎設施能幫助自適應信任構建更強大完善的自適應信任體系,所以持續自適應信任并非單一的產品或解決方案,它需要一套完善的全場景用戶訪問認證功能以及權限管理等能力,才能更全面的保護企業信息安全。
過去傳統組織依賴預防和基于策略的安全控制,部署防病毒軟件、防火墻、入侵防御系統(IDS/DPS)等產品,而這種辦法已經不能適應如今和未來的安全環境。Gartner 提倡為了實現對更復雜威脅的防控,建議將安全思維方式從“應急響應”到“持續響應”轉變。下一代的安全保護流程的核心是持續、普遍的監控和可見性,企業的安全監控應該無處不在,并盡可能多的包含 IT 堆棧層,包括網絡活動、端點、系統交互、應用程序事務和用戶活動監控。
從零信任延展至持續自適應信任(CAT)
零信任的三個主要原則“默認不信任任何實體(人、設備、軟件等)”“始終持續驗證”“執行最小特權”,在零信任架構中最主要的兩個點:
● 認證:收集和分析信息來建立對實體的信任級別
● 訪問控制:根據身份信息和信任級別控制實體對資源訪問權限
從企業安全的角度來看,身份認證是實體證明其可信的過程,需要基于豐富、持續、準確的數據源為基礎。而從用戶體驗的角度來看,無體感/弱體感的身份認證能保障用戶的留存率和員工的工作效率。
由于開啟零信任之旅需要首先解決零信任認證問題,所以在沒有有效的零信任方案前,很多組織為認證過程添加弱因素認證,有技術能力的組織會在一些敏感節點添加多因素認證以及單點登錄來試圖保障安全和用戶體驗的平衡,但由于無法實現在用戶會話過程中持續動態的評估和認證,通常會采取設置長會話計時器來減少多因素認證的頻次。
無論是在各類敏感會話場景中增加多因素認證流程或者是添加會話計時器等方式,本質上都不能有效解決安全和用戶體驗的問題,反而會增加企業安全支出并且影響用戶體驗。
這些問題都是組織在實施零信任過程中將零信任三個原則簡單的理解為增加更多的認證流程或者對每個認證環節增加因素認證。事實上,將“零信任”的理念換個角度思考就是“持續獲得信任”,只有持續獲得信任的身份才被允許進行下一步操作。某個身份需要持續獲得信任的條件是需要系統持續對其進行風險評估,而為了要保障用戶體驗,這些評估需要用戶無體感的執行,這時,就需要持續的自適應信任(CAT)。本質上,持續自適應信任是基于零信任理念的最佳范式。
02.持續自適應多因素認證(CAMFA)構建企業零信任環境
如文章開頭所述,自適應多因素認證(AMFA)能有效解決用戶體驗和安全管理摩擦問題,但審計監管機構以及企業安全和業務部門對 MFA 的要求也越來越高,他們希望尋求安全性更高、更靈活、響應更快、用戶體驗更好以及成本更低的 MFA 解決方案。
什么是持續自適應多因素認證(CAMFA)
「持續自適應多因素認證(Continuous Adaptive Multi-Factor Authentication,CAMFA)」是一種安全身份驗證方法,它在自適應多因素認證(基于上下文屬性判斷當前安全狀況以增加因素認證)的基礎上增加了實時風險評估技術對用戶進行動態評估安全系數。在時間維度上,持續自適應多因素認證在用戶整個使用旅程中持續不斷的對其進行信任評估,以決定是否需要增加額外的認證流程。這樣做的好處就是企業的安全得到實時監控,而用戶只會在進行風險操作時被提示需要進行額外的認證。
持續自適應多因素認證(CAMFA)對企業的價值
身份認證是企業安全的基礎,在安全監管要求下,從傳統的賬密登錄轉向多因素認證(MFA)是必然的趨勢。然而根據微軟的網絡信號報告顯示,只有 22% 的 AD 身份使用了 MFA,其最主要的原因是,傳統 MFA 為客戶和組織內部員工提供了糟糕的用戶體驗。在用戶流失和生產力阻礙面前,企業通常選擇關閉 MFA 來承擔額外的安全風險。
而自適應多因素認證(AMFA)是平衡安全和用戶體驗有效方案,然而和傳統多因素認證(MFA)一樣,對于面臨更復雜的安全環境和有特殊安全監管需求的企業來說,僅用一次性的身份認證來控制對敏感系統的訪問已經不再足夠,用戶的安全狀況可能在系統會話期間動態變化。此時企業需要有持續評估安全風險技術來對用戶進行動態安全系數評估,并基于該評估來決定是否需要增加額外的因素認證。
通過持續自適應多因素認證(CAMFA)為企業實施零信任安全環境
持續自適應信任體系能確保企業實現真正意義上的零信任安全環境,而實現持續自適應信任體系的最佳實踐則是實施「持續自適應多因素認證」。通過持續自適應多因素認證提供持續風險評估能力來判斷外部風險信號和內部數據,同時基于「持續自適應多因素認證」的策略引擎來根據組織設定的安全策略對這些風險信號和訪問請求進行評估。
零信任安全模型通常包含一個策略引擎,該策略引擎用以接受風險信號和相關數據,以及配置安全策略和執行安全策略。通過結果判斷是否需要觸發多因素認證。
如何快速為你的企業構建持續自適應多因素認證?
值得注意的是,企業實現持續自適應認證,策略引擎必須能夠連接上下文數據與用戶和設備等實體關聯起來,而保障其決策準確性的前提就是能夠拓展到更細粒度的身份上獲取更多數據作為依據。同時為了提高拓展性、靈活性以及持續性,該流程必須是自動化執行的。而需要實現上述能力的關鍵是企業的身份訪問與管理系統具有可編排的自動化能力,同時也需要具備元數據能力來統一不同來源上報的行為數據的標準,通過自動化編排能力將整個身份驗證流程串聯,以實現持續響應的自適應多因素認證。
Authing 提供基于身份自動化編排引擎的「持續自適應多因素認證」。自適應 MFA 認證策略底層基于 Authing UEBA(用戶或實體行為分析技術),可以針對用戶行為和用戶畫像進行深度梳理分析,從而自動選擇與當前行為相匹配的 MFA 策略。
在自適應 MFA 認證策略中,Authing UEBA 引擎會根據用戶的行為和畫像進行分析和判斷,例如用戶的登錄歷史、設備信息、IP 地址、地理位置、活動模式等等,從而確定當前用戶的身份和風險級別,并選擇與之相匹配的 MFA 策略。而持續自適應多因素認證(CAMFA)是在自適應多因素認證(AMFA)的基礎上加上 Authing 身份自動化編排引擎。
Authing 持續自適應 MFA 業務架構圖
當用戶的業務系統接入 Authing 后,從業務系統后端上報的 UEBA 數據到 Authing 系統,通過在 Authing 配置的持續自適應 MFA 安全策略流,在訂閱安全策略流發布的事件后。此時自適應安全策略將持續對 MFA 事件進行監聽,當接收到 MFA 事件后,將執行相應的安全策略。
Authing 是國內唯一以開發者為中心的全場景身份云產品,為企業和開發者提供高安全、高性能、高生產力的用戶認證和訪問管理服務。
Authing 目前已經服務包括可口可樂、招商銀行、三星集團、復星集團、長鑫存儲海底撈、知乎在內的 40000+ 企業和開發者。
