國外一位名為莫雷·哈伯的作者寫了關于網絡安全三大支柱的三本書:
一本是從身份角度出發,考察攻擊向量,設計IAM(身份與訪問管理)方案的《身份攻擊向量》;一本是從權限角度出發,考察攻擊向量,設計PAM(特權訪問管理)方案的《特權攻擊向量》;還有一本是從資產角度出發,考察攻擊向量,設計漏洞管理方案的《資產攻擊向量》。
而這三本書的關鍵詞身份、特權、資產,也被作者視為當前網絡安全的三大支柱。
基于身份(Identity)的安防措施是用于保護用戶的身份、帳戶以及憑證;基于權限(Privilege)的方案主要是對身份或帳戶進行訪問控制;而資產(Asset)則是對一個身份所使用的資源的保護。
事實上,如果將目前所有的網絡安全解決方案進行一個分組的過程,就會發現每個方案都可以被歸納到這三個關鍵詞下面。
莫雷·哈伯認為,一個好的安全解決方案應該同時涵蓋這三個要素,三者的整合也至關重要。如果一個安全解決方案無法與其它方案兼容,也無法使三個要素互通,就無法有效地應對現代新型網絡攻擊的威脅。
例如,當資產本身可被漏洞利用時,身份也難以得到保護。資產攻擊的方法一般都是攻擊漏洞和配置缺陷。防御方法是漏洞管理、補丁管理、配置管理等方式,但現實中很難面面俱到。
同理,如果一個安全廠商沒有促進三大支柱的互操作性和數據交換的集成/整合策略,那么它就是一個單點解決方案。例如,傳統的殺毒軟件,由于它無法共享和獲取用戶的身份信息和身份的上下文。盡管它能夠在檢測到威脅時向用戶報告資產的感染情況,卻無法判斷惡意軟件正在使用何種身份或權限對目標資產進行的入侵。
當前,勒索軟件、機器人(Bot)、蠕蟲和其他惡意軟件是現代攻擊的主要手段。這是一種橫向移動的方式。橫向移動是指從一種資源轉向另一種資源并在這些資源之間持續跳轉的能力。所謂“資源”,不僅指資產(計算機、應用程序、操作系統、虛擬機等),還包括賬戶和身份。
組織中的一個用戶通常擁有多個帳戶和每個帳戶的多項權限。理解身份與其帳戶之間、帳戶與其權限之間、權限與其保護的數據之間的三向關系是關鍵。如果企業只將IAM計劃的重點放在帳戶級別(而非身份級別)的管理上,就無法做出一個整體可見性的設置“誰有權訪問什么”架設。
伴隨著云、大、物、移的趨勢,必須要確保在企業范圍內看見用戶的身份和訪問數據,進行全生命周期的身份治理。通過在身份的整個生命周期中嵌入策略和控制,才能夠增強組織的自動化、持續的合規性、降低組織的安全風險。
