自2023.3月CISA和NSA发布《身份和访问管理推荐的管理员最佳实践指南》后,近日CISA和NSA发布了关于实施身份和访问管理 (IAM) 的新指南,重点关注开发人员和供应商面临的挑战。[文末有福利]
该指南指出多因素认证部署困难原因之一是关于MFA不同变体的定义混乱和政策不明确,不同市场术语之间存在细微的技术差异,但整个供应商社区术语的混乱使得很难阐明组织可以遵循的最佳实践。还指出,威胁行为者越来越多地利用SSO功能来访问整个受害者组织中受保护的资源,开放标准是身份生态系统的重要组成部分,但仍有改进的空间。研究开发默认安全、易于使用的SSO系统,以解决市场中的这些空白。例如:依赖方供应商可以提供安全配置建议及其影响。此外,还管理生命周期令牌,例如ID令牌、访问令牌和刷新令牌应具有合理的安全默认值,以防止滥用情况。IAM供应商可以帮助检测身份联合协议的不安全实施,并与生态系统合作,提高对这些问题的认识,并提高更安全的标准使用的采用。
为了减轻IAM的威胁,组织需要关注身份治理、环境强化、身份联合和SSO、MFA以及IAM监控和审计。
关注本公众号,回复 ESF 获取本报告副本,送笔者今年4月对《身份和访问管理推荐的管理员最佳实践指南》的解读文章。(30day )
往期推荐
CISA 发布新的身份和访问管理指南
身份攻击面的第一份综合调研报告
身份第一安全已经到来
2023年身份安全的5个趋势
原文始发于微信公众号(安全红蓝紫):CISA和NSA发布针对开发人员、供应商的IAM挑战指南
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论