信息化觀察網(wǎng)

本文來自數(shù)世咨詢，作者/茉泠。

機器身份是企業(yè)攻擊面中一個快速增長的重要組成部分。如今，機器——服務(wù)器、設(shè)備和服務(wù)的數(shù)量正在迅速增長，然而企業(yè)在保護它們的方面所付出的努力卻往往顯得不足。

目前，網(wǎng)絡(luò)不法分子和其他威脅者已經(jīng)迅速利用了這些優(yōu)勢。根據(jù)網(wǎng)絡(luò)安全供應(yīng)商Venafi去年發(fā)布的報告，在過去五年里，與濫用機器身份相關(guān)的網(wǎng)絡(luò)攻擊數(shù)量增長了1600%。

調(diào)研機構(gòu)Gartner在去年秋天發(fā)布的報告中，將機器身份列為今年最熱門的網(wǎng)絡(luò)安全趨勢之一。報告顯示，2020年中，50%的云安全事故均是由身份、訪問和特權(quán)管理的不足導(dǎo)致的。并且預(yù)計2023年，這一比例將上升到75%。

Venafi公司負責(zé)安全戰(zhàn)略和威脅情報的副總裁Kevin Bocek表示，我們每年在人類身份和訪問管理上的花費高達數(shù)十億美元——從生物識別到訪問特權(quán)管理，但投資在保護機器身份的時間卻很少。但是，與人類身份一樣，機器身份也會遭到不法人員的濫用。

Saviynt的產(chǎn)品管理總監(jiān)Chris Owen表示，企業(yè)往往過于信任其網(wǎng)絡(luò)上的機器，這意味著他們未經(jīng)人工干預(yù)或傳統(tǒng)形式的認證，就與其他網(wǎng)絡(luò)資源相連接。因此一旦機器被破壞，那么攻擊者就可以通過這些“機器到機器”的路徑來在網(wǎng)絡(luò)中移動。

幸運是的，企業(yè)已經(jīng)開始意識到該問題。根據(jù)Ponemon研究所和Keyfactor三月發(fā)布的報告，61%（較去年增長了34%）的IT專業(yè)人員認為，盜竊或濫用機器身份是一個嚴重的隱患。

意識到問題是解決問題的第一步，但是企業(yè)也可以采取其他更為具體的措施來防止機器身份問題失控。以下是其中的七個例子。

1、了解自己的證書、密鑰以及數(shù)字資產(chǎn)

Ponemon表示，IT組織的內(nèi)部證書平均擁有量超過26.7萬，較去年同期增長16%。證書以及密鑰與操作基礎(chǔ)設(shè)施、物聯(lián)網(wǎng)、本地IT基礎(chǔ)設(shè)施、云基礎(chǔ)設(shè)施以及容器化基礎(chǔ)設(shè)施相互關(guān)聯(lián)。然而，其中一些證書和密鑰卻版本過舊。有些是被硬編碼的，有些則與其他身份交織在一起。Vanson Bourne去年的一項調(diào)查顯示，61%的組織都對其數(shù)字資產(chǎn)的證書和密鑰缺乏充分的認識。其中96%缺乏充分認識的企業(yè)表示自己遭受了嚴重的后果。對于常見的后果，55%的受訪者表示出現(xiàn)了網(wǎng)絡(luò)安全漏洞；35%表示遭遇了系統(tǒng)中斷，33%表示遭受了財務(wù)損失。

Hitachi ID Systems的副首席工程師Ian Reay表示，他目睹了企業(yè)由于不了解機器身份，從而遇到了嚴重的問題。例如，美國的一家重要企業(yè)需要更改密碼來維護其用來營銷的打印機。

Reay很疑惑：“只是打印機，為什么會造成如此的錯誤”他們遵循所有的更改控制項，更改了密碼，然后才發(fā)覺自己的生產(chǎn)系統(tǒng)正在下線，但卻不清楚其中的原因。

經(jīng)過了幾個小時艱難的全球停電后，他們才意識到發(fā)生了什么。Reay表示大約20年前，一名管理員使用打印機賬戶來達成其他目的，所以該賬戶被混淆使用了，不僅用于打印機，同時還用于生產(chǎn)環(huán)境。而這一點是很難預(yù)測的。

當(dāng)他們試圖改回原密碼時，卻失敗了。因為原來的密碼不再符合該企業(yè)的活動目錄密碼策略。因此，高級管理員不得不參與進來，允許此次例外。

企業(yè)往往都會有多個支離破碎，維護不善，而且充滿了錯誤的列表。Reay表示：“即使是那些頭部客戶，對于我們在客戶那里發(fā)現(xiàn)的問題，很多也無法解決。這實在令人生畏。”

2、頻繁修改密鑰和證書

網(wǎng)絡(luò)安全供應(yīng)商Corsha的聯(lián)合創(chuàng)始人兼首席技術(shù)官AnushaIyer表示，靜態(tài)的密鑰和證書往往更容易成為不法分子盜竊和重復(fù)利用的目標。事實上，憑證填充攻擊從很大程度上已經(jīng)從利用人類身份的用戶名和密碼，轉(zhuǎn)而利用API憑證，而API憑證本質(zhì)上正是當(dāng)今機器身份的代理。

隨著API生態(tài)系統(tǒng)的快速增長，該問題只會變得更具挑戰(zhàn)性。美洲航空公司Capgemini的Excellence網(wǎng)絡(luò)安全中心的高級解決方案經(jīng)理Prasanna Parthasarathy表示，機器身份管理的不當(dāng)往往會導(dǎo)致安全漏洞的產(chǎn)生。在最嚴重的情況下，攻擊者可以同時清除掉整個IT環(huán)境。攻擊者可以利用已知的API調(diào)用來訪問進程控制、事務(wù)或關(guān)鍵基礎(chǔ)設(shè)施，而這會產(chǎn)生毀滅性的后果。

Parthasarathy表示，為了防止該情況的發(fā)生，公司應(yīng)對源機器、云連接、應(yīng)用服務(wù)器、掌上設(shè)備以及API交互實行嚴格的授權(quán)機制。最重要的是，受信任的證書不能是靜態(tài)的。應(yīng)該對其進行頻繁的修改更新，并且永遠不能將其硬編碼到API調(diào)用中。

Parthasarathy認為，為每一筆交易都更改證書可能很困難，但隨著更新的越來越頻繁，企業(yè)將會擁有一個更加安全的環(huán)境。并且，公司必須在設(shè)備或程序棄用時立即其撤銷證書和密鑰。Gartner建議企業(yè)應(yīng)從所有計算基礎(chǔ)設(shè)施中廢除隱性信任，代之以實時的自適應(yīng)信任。

3、采用機器身份管理解決方案

Gartner將機器身份管理歸入身份和訪問管理(IAM)技術(shù)的范疇。并且Gartner最新的“炒作周期”表示，機器身份管理如今正不斷接近預(yù)期的峰值，距離“生產(chǎn)率穩(wěn)定期”還有兩到五年的時間。

根據(jù)VansonBourne的調(diào)查，95%的企業(yè)已經(jīng)實現(xiàn)或計劃實現(xiàn)自動化的機器身份管理工作流、機器身份管理作為一種服務(wù)，或在混合部署模型上管理證書生命周期的能力。然而，只有32%的企業(yè)完全實現(xiàn)了現(xiàn)代機器身份管理。根據(jù)調(diào)查，53%的企業(yè)仍將電子表格作為其機器身份管理的核心，93%在該流程中使用了電子表格。

Keyfactor公司的首席戰(zhàn)略官（CSO）Chris Hickman表示，在大多數(shù)組織中，機器身份的所有權(quán)是模糊的，并非明確分配。因此，許多組織最終采用單一的機器身份管理方法。更糟糕的是，這些身份大多無人管理。他建議企業(yè)應(yīng)建立跨功能的核心小組，來負責(zé)管理所有機器身份。

4、實施自動化

根據(jù)Vanson Bourne的調(diào)查，那些將自動化工作流程應(yīng)用于機器身份管理的公司，其中一部分享受到了其中的益處。其中50%的擁有自動化系統(tǒng)的企業(yè)，能夠跟蹤所有的證書和密鑰，而對于那些沒有自動化系統(tǒng)的企業(yè)，只有28%。另一方面只有33%的組織完全實現(xiàn)了自動化工作流，48%仍在實現(xiàn)的過程中進。另外15%的組織正在計劃實施自動化，而4%的組織則沒有在這一領(lǐng)域?qū)嵤┳詣踊挠媱潯?/p>

IT安全決策者表示，他們預(yù)期自動化可以在一定程度上降低成本，減少管理密鑰和證書所花費的時間，同時也可以簡化工作流程。Venafi's Bocek表示，自動化是不可或缺的，如果沒有自動化管理，數(shù)字化轉(zhuǎn)型計劃就會停滯。并且，自動化還可以避免一些人為的錯誤，。

5、將云部署納入計算機身份管理計劃

根據(jù)Vanson Bourne的調(diào)查，隨著基礎(chǔ)設(shè)施從本地部署轉(zhuǎn)型到云部署，92%的企業(yè)不得不重新考慮和改變機器身份管理解決方案。76%的企業(yè)表示，他們現(xiàn)有的解決方案并不能完全支持云部署或混合部署。

Gartner的分析師Laurence Goasduff在最近的一份報告中表示，“單一玻璃”方法在多云環(huán)境中還不實用。公司可以應(yīng)用單獨的總體框架，集中一些功能的同時，為本地工具留出一定空間。

根據(jù)Vanson Bourne的調(diào)查，只有不到一半的企業(yè)計劃構(gòu)建一個覆蓋所有云部署的單一機器身份管理解決方案；相反，37%的企業(yè)計劃為每個云都建立一個單獨的機器身份管理系統(tǒng)，并以一個核心政策來覆蓋所有云；而22%的企業(yè)則計劃構(gòu)建沒有核心政策的單獨系統(tǒng)。

6、將機器人納入機器身份管理計劃中

隨著全球范圍的大潮流，各企業(yè)都加快了其自動化戰(zhàn)略。Forrester表示，2022年全球機器人程序自動化軟件市場將達到65億美元，相較于2021年的24億美元有所增長。Goasduff在Gartner報告中表示，也需要對這些軟件機器人的身份進行管理。首先，需要對“將RPA工具集成到身份結(jié)構(gòu)中”的最佳實踐和指導(dǎo)原則進行定義，其次還需要將RPA的軟件機器人看作另外的需要機器身份的工作負載。”

7、將機器納入零信任計劃之中

就算不是最重要的，零信任也算是當(dāng)今企業(yè)最首要的安全任務(wù)之一。根據(jù)Information Security Media Group于今年2月發(fā)布的調(diào)查，100%的受訪者都認為零信任對降低安全風(fēng)險來說，具有重要的意義。同時這也是美國總統(tǒng)拜登年初發(fā)布的網(wǎng)絡(luò)安全備忘錄中的核心內(nèi)容。

零信任不僅僅是要求用戶始終都要經(jīng)過完全的身份驗證。同時，它也適用于流程和設(shè)備。在最新的零信任安全模式中，管理設(shè)備的身份尤為重要。如果企業(yè)設(shè)備在網(wǎng)絡(luò)上沒有獲得任何特殊的信任狀態(tài)，那么它就必須要有一種識別與其他設(shè)備、服務(wù)或數(shù)據(jù)的交互并對其授權(quán)的方法。

根據(jù)Fortinet年初的調(diào)查，84%的企業(yè)擁有成熟的或正在發(fā)展的零信任戰(zhàn)略。然而，擁有持續(xù)認證設(shè)備的能力對于59%的企業(yè)來說仍是一個難題。