在云和远程工作时代,身份管理变得更加重要,也更具挑战性。 ManageEngine 高级技术顾问 Vivin Sathyan 的演讲题为“2024 年以身份为中心的安全的重要性”,旨在于周三向 RSAC 观众介绍该问题及其解决方案。
网络钓鱼仍然是网络犯罪分子获取凭据并访问公司系统的一种简单而有效的策略。根据KnowBe4 的 2023 年网络钓鱼行业基准报告,近三分之一 (33.2%) 的员工在网络钓鱼模拟中陷入了社会工程策略,而一名拥有管理访问权限或“臃肿”权限的员工就可以引发重大事件。萨蒂安警告说,数据泄露。
Sathyan 通过展示具有管理员权限的攻击者如何轻松地使用live-off-the-land (LOTL)策略来复制Windows Active Directory 数据库文件 (ntds.dit) 和包含私钥的 SYSTEM 文件来提取密码哈希值并使用,从而证明了这一点获取纯文本密码的免费在线服务。
2024 年的挑战是通过采用云计算和远程工作而创建的软网络边界和碎片化身份,这使得访问管理不再那么黑白分明,并限制了谁在访问什么的可见性。
Sathyan 说:“你无法再定义安全的访问位置,”这个问题必须通过“定义与上下文相关的访问策略”来解决。验证身份时,上下文访问策略会考虑其他参数,例如 IP 地址和设备类型。
作为零信任的组成部分,上下文访问只是 Sathyan 针对当前身份安全问题提出的解决方案之一。还强调了混合活动目录系统的使用,作为平衡本地系统的 ID 管理优势与云环境的速度和可扩展性的一种方式。
2024 年安全身份的 5 个行动步骤
Sathyan 演讲的后半部分概述了鉴于当前网络边界模糊和劳动力分散的挑战,组织可以采取五个步骤来帮助防止基于身份的攻击。
首先,Sathyan 建议至少每半年进行一次 Active Directory 风险评估,以检查 AD 的“健康状况”、身份并确定 AD 风险的优先级并修复最高风险的问题。这些评估应检查是否存在弱管理员密码、不适当的权限访问或未修补的 AD 服务器漏洞等问题,并且应根据被利用缺陷的可能性和潜在影响来评估风险级别。
同样,组织应定期开展访问认证活动,以验证用户是否具有正确的访问级别,并在不再需要某些特权时(例如角色变更或项目完成时)撤销某些特权。此类活动提倡“干净、精简的用户帐户系统”,在这种系统中,特权膨胀的情况不太可能被遗漏。
保护用户身份的第三个重点是跨部门和平台的员工用户帐户创建和删除的整合和自动化。这些流程通常是跨平台的,并且可能在人力资源和 IT 部门之间划分,导致访问权限不一致,并且难以管理分散的身份。找到简化和标准化帐户创建和删除的方法,并确保 HR 和 IT 保持一致,有助于防止权限膨胀和未使用的配置文件下落不明的风险。
Sathyan 建议的最后两个步骤是实施基于角色的访问控制 (RBAC) 并加强当今最常用的两层用户身份验证 – 密码和多重身份验证 (MFA)。
RBAC 是一种更有效的方法,可以精确管理拥有多个帐户的许多用户的访问,确保每个角色和工作职责的权限都是适当的,并且可以更轻松地最大程度地减少具有管理员或其他过于广泛权限的帐户数量。
最后,虽然组织开始考虑无密码解决方案,但传统的密码身份验证和 MFA 可能会继续存在几年。设置严格的密码强度要求,并通过自助密码重置和基于上下文的 MFA 等选项找到减少密码和 MFA 疲劳的方法,可以成为优化用户身份安全性的积极步骤。
发表评论
您还未登录,请先登录。
登录