这就是“一念关山”
回顾2023
2023年1月28日一个念想,发了一篇《2023年身份安全的5个趋势》,回顾如下:
趋势一、身份定义的融合安全平台
表达2个观点:
(1)架构安全(或者叫基础安全)唯一的出路是拥有完整的IAM。
(2)数据安全必须依托身份与访问控制,采用零信任原则实现统一的数据和安全治理方法。
现象:市面有在提身份基础设施的重要性而不知道怎么做,有在数据安全保护体系(“某盾”)中结合零信任产品体系。
自评:4星
趋势二、特权访问与零信任在不同的道路上走到一起
现象:PAM市场在国内除了在乎它的行业(金融等)似乎还有很长的路。或许PAM不适用于国内市场。
自评:1星
趋势三、启动MFA与疲劳战争
表达凭据的弱保护和传统MFA的不可靠问题,PasswordLess作为解决方式的优越性。
现象:无密码元年实现Passkeys(FIDO联盟推出)通用密钥登录逐渐兴起。
自评:3星
趋势四、基于身份的网络安全“网状”策略
推崇Gartner的 CSMA,在身份级别应用策略来保护设备和资源,跨越访问路径-从数据到工作负载再到应用程序-从各个组件创建集成安全性。
现象:有思想家,理念家在用身份数据的思维结合传统网络安全,虽然路很长。
自评:2星
趋势五、浏览器隔离技术的缓慢崛起
推崇RBI技术的重要性,从不接受而被接受的趋势。
现象:2023年底有企业标准将其纳入。互联网大厂将其集成到邮件系统中提供增值服务,虽然还很初级。
自评:5星
【展望2024】
2024年可能是网安行业最困难的一年,没那么多时间写细节,基于一些资讯和思考就拍个脑袋吧。
趋势一、数字信任的重启
联合国秘书长古特雷斯发表2024年新年致辞,古特雷斯承认,“2023年是充满苦难、暴力和气候混乱的一年,人类处于痛苦之中,我们的星球岌岌可危。2023年是有记录以来最热的一年;人们被日益严重的贫困和饥饿压垮;战事增加且愈演愈烈。”
古特雷斯谈到了信任的匮乏,并指出“横加指责或是以枪口威逼,是毫无益处的。”他强调:“人类只有团结一致时才是最强大的。2024年必须是建立信任和重燃希望的一年,人类必须跨越分歧,团结起来,寻求共同的解决方案。”
信任是所有关系的基础,数字化转型的未来取决于在线交易各方对信任的关注,数字信任加强了互动中各方的企业创新、经济扩张和价值创造。
数字信任将在网络安全行业提供思维和技术的转变,而身份及延伸的各种安全机制是数字信任的核心。
趋势二、去中心化身份已来
近期一起“倒卖明星网红身份信息”的案件,引发关注。令人没想到的是,幕后黑客,年仅19岁。如今,明星和网红的隐私信息俨然成为“热门商品”,并形成一条产业链。一些卖家会明码标价出售明星的航班信息,甚至他们的住址、身份证号码、微信号等私人信息。2023年11月7日,网警在日常工作中发现,有人在境外社交平台上建立了一个“个人信息库”机器人,大肆贩卖公民个人信息。
美国NIST正在修订2017年特别出版物800-63《数字身份指南》,该指南为联邦机构如何实施身份验证要求提供指导。目前正在进行更新,以反映当前的网络安全环境以及此后发生的威胁变化。新版本将着眼于新指南、新风险管理中必须考虑的一些隐私和道德考虑因素可能纳入的技术以及实施指南可能需要的新技术。
去中心化身份系统代表了身份管理的范式转变,这些系统不依赖中心化机构来验证身份,而是使用区块链技术来创建自我主权身份。用户可以完全控制自己的身份数据,这些数据存储在去中心化网络上。去中心化身份允许用户以分布式方式管理自己的身份,从而使用户处于控制之中。它们将为最终用户提供现在所需的便利,并为以前处于不利地位或边缘化的个人提供获得金融、医疗福利服务的基本途径。
未来几年,去中心化身份系统的采用可能会增加。它们提供了许多好处,包括增强的隐私、安全性和用户控制。然而,它们也带来了可扩展性、互操作性和法规遵从性挑战。
即时播报:华盛顿州贝尔维尤 1 月 18 日– Oleria是一家提供自适应和自主身份安全解决方案的公司,在A轮融资中筹集了3300万美元。这项最新投资由Evolution Equity Partners领投,Salesforce Ventures、Tapestry VC和Zscaler参与,使该公司的总资金超过 4000 万美元。这一轮融资使Oleria 能够增加招聘,以加速其产品创新,包括人工智能功能以及上市战略。
趋势三、身份治理和管理的重要性
IDSA2023年发布的《国际2023年数字身份安全趋势》报告,90%的组织在过去一年中至少经历过一次与身份相关的泄露,比2022年的84%增加了7%,68%的组织因此遭受了直接的业务影响,从而损害企业声誉。
我们可以反思一下,2001年末,美国安然事件爆发,导致2002年通过了萨班斯-奥克斯利法案,这项新法规要求企业监控和审计登录、用户活动和信息访问权限。这强大且合规的驱动各大上市公司都开始购买身份访问管理IAM解决方案。为什么这么多年还存在上述问题?
身份已成为新的边界现实下,组织现在需要面对一个重要的现状:身份的数量和性质正在发生变化,而这些变化对企业IT安全构成了直接风险。
企业身份是一个复杂的问题,部分原因是因为它涉及到组织的许多不同方面。每个职能领域都有自己对身份追踪与理解,无论是销售、人力资源还是财务。身份数量和复杂性的增加与身份相关违规行为的增加同时发生,这并非巧合,身份的类型和数量都在增加,这改变了身份管理的状态转而迈向下一阶段,即身份治理和管理 (IGA) ,它提供了管理身份、访问权限和合规性的整体方法,这需要现代化身份和访问管理 (IAM) 进行支撑。
趋势四、身份威胁与检测响应
SecurityWeek 的身份和零信任策略峰会将于2024年8月7日召开,届时安全领导者和首席信息安全官将参加小组讨论和炉边谈话,讨论身份验证和访问管理的重要性、身份提供商受到威胁时的供应链风险、监管合规性和零信任原则,以及身份和访问管理的未来(IAM)创新。主要议题如下:
1)在不同的组织环境中实施零信任。
2)采用零信任原则,通过强大的安全性来平衡用户体验和影子 IT。
3)人工智能和机器学习技术在减轻基于身份的威胁方面的作用。
4)零信任和监管合规
5)风险投资和创业创新。
我们注意到上述第3点已经进入了安全人士的思考范畴,多年来身份管理并不能很好的实现它的承诺,相反它成了CSO的负担。笔者曾经与Rick Howard交流另一个问题,他谈到:在过去的30年里,我们做IAM的典型方式是依靠“受保护的资源”来对组织的零信任策略有一个强有力的理解。用户打开“受保护资源”并尝试登录,这种方法是有效的,但它很笨拙,难以管理,不利于管理零信任程序与策略。
基于一些背景,Gartner在2022年制造了ITDR(身份威胁与检测响应)这么一个概念,引起大家思潮涌动,纷纷入局,简单来说ITDR用于保护身份和访问管理系统,检测它们是否遭到入侵,启用快速调查,并提供修复建议以恢复受影响的系统。ITDR可以揭示和修复IAM基础设施中的配置漏洞,并实时分析身份活动以侦测网络攻击。反过来说,ITDR必须拥有最佳实践、知识库、工具和流程。
趋势五、态势感知的再次蔓延
网络安全从来不缺概念、名词,令人眼花缭乱,而今网络安全态势感知的风靡将影响其他细分领域的思维,因此产生了如下概念:
1)数据安全态势管理(DSPM)
2)应用安全态势管理(ASPM)
3)身份安全态势管理(ISPM)
PS:P即代表Posture(而非用Situational) ,虽然直译为“姿势,姿态”,在这样的语境下它既代表一种持续改进和适应安全配置的过程,又代表一种趋势状态呈现,所以大多数在网络安全语境中翻译成“态势”。
咋一看,大家应该会感觉到,太卷啦!还是简单说一下
首先笔者在2020年4月自己写的一篇数据安全思考文章中,在自问自答,产生了数据态势感知的名称,应该是当时忘记安全二字,在随手拍脑袋画的不全面的思维导图中产生了“数据地图”的称谓,不过未做深入,因为那时候吸引我的是零信任。
2023年Gartner在其《创新洞察:数据安全态势管理(DSPM)》中对描述了如何创建数据地图。其实DSPM 绘制了一条现代路径,用于了解影响数据安全状况的所有因素。
再到安全与开发之间的不信任日益加剧,安全左移和烦人的安全扫描器降低了开发人员的创新能力,安全左移并没有减少安全漏洞,安全和开发团队都被淹没并与警报疲劳作斗争,应用程序的攻击面逐渐扩大。而ASPM(应用安全态势管理)目标是维持生产中运行的应用程序体系结构的持续且全面的风险状况,包括其所有服务、库、API、依赖项、攻击面和敏感数据流。简而言之,ASPM 回答了如下问题:
1)目前生产中最重要的业务关键风险是什么?
2)有多少微服务和API可以在生产中利用?
3)应用程序在生产中暴露了哪些敏感数据?
最后,身份安全态势管理(ISPM),一听这个名词容易产生威胁概念,容易跟ITDR混淆,身份安全态势是覆盖了人,机器,应用程序以及复杂的身份环境,比如跨越云、本地和混合环境,ITDR是一种工具集可以帮助保护身份系统、检测它们何时受到损害,并实现有效的修复,而ISPM涉及监控和分析整个组织中的身份、访问权限和身份认证流程,维护身份基础设施的安全状态用于防止违规操作和数据泄露,总的来说ISPM是一种大型框架,需要做到如下几点:
1)身份数据和权限的可见性
2)识别身份管理系统中的潜在漏洞以及基于身份的攻击路径
3)持续监控,分析用户和资源,以识别异常活动和可疑行为
4)检测和修复身份基础设施的配置错误
5)跨身份的合规性要求和安全状况
综上所述,他们有一个共同点,即如何解决可观测(察)性和数据质量问题,请参阅如下链接:
趋势六、浏览器扩展程序的试探
Moty Jacob,Surf Security 首席执行官
当我们迈入 2024 年时,我们设想网络安全身份格局将发生变革。身份驱动的浏览器正在为架构带来常态,允许用户通过增强的安全控制直接访问本地和 SaaS 应用程序。使组织能够决定浏览器功能,例如复制、剪切粘贴、数据屏蔽和编辑,预示着信息流处于企业控制和治理之下的新时代,重塑了安全身份管理的未来。这与 Gartner 的预测一致,即到 2025 年,企业浏览器或扩展程序将出现在25% 的网络安全竞争态势中,而目前这一比例还不到 5%。
我们可以看到作为身份安全头部供应商Cyberark 2023先人一步 ,开发安全浏览器,基于 Chromium 的 CyberArk Secure Browser 通过集成安全、集中策略管理和生产力工具支持企业零信任计划,同时提供熟悉的用户体验。CyberArk Identity Security Platform 提供了最强大的分层方法来解决网络安全风险的头号领域:凭证访问。
1)无 Cookie 浏览;
2)数据渗漏保护;
3)密码更换:CyberArk Secure Browser 具有正在申请专利的密码更换功能;
4)可扩展性:CyberArk Identity Security Platform 解决方案支持第三方身份提供商和开箱即用的集成;
5)快速访问栏:内置的快速访问侧栏有助于确保最终用户可以利用其单点登录 (SSO) 凭据直接从 CyberArk Secure Browser 安全地访问常用应用程序、第三方工具和 CyberArk 特权访问管理资源单击一个按钮。
安全浏览器供应商 Talon 新闻:
在2023年10月,一个先前未公开的Google OAuth漏洞“MultiLogin”被发现。这一威胁使用户即使在修改密码后仍能持续访问谷歌服务,对用户帐户和敏感信息构成重大风险。如要安全浏览器解决如下问题:
(1)额外的身份验证层:Talon浏览器现在作为SaaS应用程序的专用网关,阻止攻击者使用受损的Google令牌。
(2)快速漏洞补丁:Talon保证浏览器更新的快速部署,严格的测试,以保持强大的安全性,以应对不断发展的威胁。
(3)管理员驱动的安全性:Talon管理员行使控制权,确保及时的浏览器更新和漏洞修补。
趋势七、非标准应用程序集成
根据 Ponemon Institute 的研究,52% 的组织经历过由非标准应用程序引起的网络安全事件。缺乏对标准的支持意味着它们可能成为人工智能攻击者的主要目标。
当今组织面临的最重大威胁来自人为因素,例如凭证重复使用,那么无法通过身份提供商(非联合)连接和管理的应用程序属于此类,企业必须通过将这些非标准应用程序/遗留应用集成到其身份安全策略中来做出响应。
2023年我们可以看到初创厂商Cerby A轮融资1700万美元,用于降低非标准应用程序的风险。
end
2025年1月再回头看看今天的“瞎喷”
谢谢大家多年的关注,提前祝大家春节快乐
原文始发于微信公众号(安全红蓝紫):2024年身份安全的7个趋势
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论