网络安全和基础设施安全局 (CISA) 和国家安全局 (NSA) 最近发布了一份 31 页的新文件,概述了身份和访问管理 (IAM) 管理员的最佳实践。
威胁行为者使用的与身份相关的策略
IAM 威胁缓解技术
CISA-NSA 报告中讨论的最佳实践围绕着通过威慑、预防、检测、损害限制和响应来应对 IAM 威胁的策略。这些技术包括:
-
身份治理
-
环境硬化
-
身份联合和单点登录
-
多重身份验证
-
IAM 监控和审计。
让我们更详细地看看其中的每一个。
身份治理
-
当用户加入时:身份治理从招聘、人力资本管理和人事安全系统中收集传记、职位相关和证书数据(证书或许可),为个人建立身份记录。
-
当用户在组织内移动时:如果个人在组织中的角色发生变化,则会自动为其新角色授予额外的权利,并删除不再需要的权利。
-
当用户离开时:当用户因任何原因离开组织时,他们的帐户和权限必须立即终止。身份治理可以自动禁用和删除帐户,以响应人力资本管理系统或其他人事系统中的分离操作。
环境硬化
CISA-NSA 报告指出,强化企业环境涉及确保 IAM 基础和实施是值得信赖和安全的。所需的强化级别因受保护的资产而异。例如,用于加密数字证书或密码存储的证书颁发系统更为重要,因为它们可以保护整个组织的身份验证。
环境强化对于保护 IAM 解决方案周围的硬件和软件组件至关重要。一些环境强化最佳实践包括修补、资产管理和网络分段。将这些与强大的 IAM 基础和实施相结合可以减少安全漏洞的可能性,并最大限度地减少发生漏洞时的损害。
-
盘点组织内的所有资产。确定丢失或额外未识别资产的原因。
-
识别资产上的所有本地身份,以了解谁有权访问哪些资产。
-
了解现在企业环境中的安全控制措施以及持续存在的安全漏洞。
-
制定网络流量基线以检测网络安全异常。
联合身份验证和 SSO
涉及组织内部或组织之间 SSO 的身份联合可以有效地管理策略和风险级别的差异。集中管理身份的方法可确保遵守组织策略并降低安全漏洞的风险。
身份联合和 SSO 消除了用户在内部和外部目录、应用程序和其他平台中维护多个身份的需要。它消除了对每项资产的本地身份的要求,确保与其他安全控制无缝集成,例如用于升级身份验证的特权访问管理。这增加了只允许活动用户访问的信心,从而增强了安全性。
多重身份验证
身份验证系统是攻击者的主要目标,他们寻找并利用其漏洞。它们也是高容量的用户界面,通常被视为影响用户生产力的障碍。因此,工程师面临的挑战是创建无缝且用户友好的身份验证系统,同时高度安全地抵御攻击。
MFA 通过要求一个额外的因素来加强基于密码的身份验证,从而减少常见的攻击和滥用行为。同时,无密码身份验证消除了作为攻击媒介的密码。
-
拥有的东西(智能手机、密钥卡)
-
知道的信息(密码、母亲的娘家姓等)
-
你是什么(指纹或生物识别面部扫描)。
最安全的 MFA 类型包括在线快速身份识别 (FIDO) 和公钥基础设施 (PKI)。FIDO 在用户设备上本地存储个人身份信息,例如生物认证数据。PKI 使用数字证书来验证用户的身份和权限。
IAM 监控和审计
将自动化工具与审计和监控功能集成可以帮助协调针对 IAM 攻击的响应操作。此外,来自这些流程的有效报告可以提供组织关于 IAM 的安全态势的态势感知。
身份现在比以往任何时候都重要
新的 CISA / NSA 指南建立在多年 IAM 实施的经验和观察之上。对于任何企业而言,完善的 IAM 策略对于有效的安全性至关重要。
原文始发于微信公众号(祺印说信安):CISA、NSA 发布新的 IAM 最佳实践指南
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论