新型智能身份管理系統(tǒng)正在改變公司企業(yè)驗(yàn)證用戶和設(shè)備身份的方式，令身份成為了新的安全邊界。

[[237582]]

數(shù)據(jù)和資產(chǎn)保護(hù)始于能以可接受的確定性識(shí)別要求訪問系統(tǒng)的人和設(shè)備。傳統(tǒng)上，身份通過“秘密握手”(用戶ID和口令)確立，賦予用戶或設(shè)備訪問特定系統(tǒng)的權(quán)限。一旦通過驗(yàn)證，基本就沒有什么后續(xù)的進(jìn)一步身份確認(rèn)措施了。

如今，公司企業(yè)開始從更廣泛更復(fù)雜的角度來看待身份，以便能提供比用戶ID及口令更可靠的基于上下文的身份確認(rèn)與授權(quán)。當(dāng)前身份是以相當(dāng)靜態(tài)的方式在管理組、資源和網(wǎng)絡(luò)，這種狀態(tài)需要改變，要能通過智能和機(jī)器學(xué)習(xí)來進(jìn)行更實(shí)時(shí)地進(jìn)行訪問控制。

這就需要更加全面地考察能確定身份的其他因素，尤其是行為和環(huán)境屬性。了解接入公司系統(tǒng)的客戶、雇員和設(shè)備的方方面面，就能建立非常特別的身份資料，讓黑客極端難以復(fù)制。

改變公司企業(yè)利用身份來驗(yàn)證并授權(quán)的方式也能驅(qū)動(dòng)公司內(nèi)部的結(jié)構(gòu)性變化。負(fù)責(zé)身份管理的人以往通常與安全部門沒有通聯(lián)。但隨著身份越來越被當(dāng)做防御第一線看待，這種情況正在發(fā)生改變，對(duì)身份管理和安全兩方面也有深遠(yuǎn)的影響。

安全吸收了身份，但身份卻在侵蝕安全。隨著公司企業(yè)轉(zhuǎn)向建立以強(qiáng)身份驗(yàn)證為起始的安全策略，身份變成了新的邊界。

為什么身份管理正在改變

用戶ID和口令如今已毫無意義，太容易被黑或被買到了。所以需要保護(hù)高價(jià)值數(shù)據(jù)的公司企業(yè)都已轉(zhuǎn)為至少需要雙因子的身份驗(yàn)證方法。但因?yàn)榱钆苹蛑悄苁謾C(jī)也會(huì)被盜或被黑，現(xiàn)在即便2FA的安全性也不像以往那么強(qiáng)了。

而且，口令不僅沒用，還特別煩人。面向消費(fèi)者的公司希望消除客戶交互中的摩擦，企業(yè)也想要為自己的員工清除交互上的障礙?？诹罹褪墙换ツΣ林?。

業(yè)務(wù)數(shù)字化的趨勢(shì)也要求有更好的身份管理和強(qiáng)身份驗(yàn)證。數(shù)字化驅(qū)動(dòng)著很多過去沒有的客戶過程，這些過程往往迫使開發(fā)人員在安全和便利之間做出取舍平衡。更好的用戶體驗(yàn)和安全基礎(chǔ)可以增加安全參與率也改善風(fēng)險(xiǎn)態(tài)勢(shì)。

而這更好的用戶體驗(yàn)當(dāng)中，就包括棄用口令的趨勢(shì)。該趨勢(shì)擴(kuò)展至企業(yè)環(huán)境和B2C場(chǎng)景，為客戶、企業(yè)用戶和聯(lián)網(wǎng)設(shè)備消除掉使用口令的麻煩。

通往數(shù)字化的旅程伴隨著移動(dòng)設(shè)備使用的增加，而移動(dòng)設(shè)備使用的增加又反過來促進(jìn)了生物特征識(shí)別之類的智能化身份驗(yàn)證技術(shù)。消費(fèi)者現(xiàn)在很樂于用生物特征識(shí)別來驗(yàn)證他們的移動(dòng)設(shè)備，再加上開放式身份驗(yàn)證FIDO標(biāo)準(zhǔn)的出臺(tái)，我們?nèi)缃褚驯平诹顪缤龅臅r(shí)間點(diǎn)，數(shù)字世界安全強(qiáng)化的堅(jiān)實(shí)基礎(chǔ)已然構(gòu)成。

安全團(tuán)隊(duì)越來越重視身份，是因?yàn)閭鹘y(tǒng)基于邊界的安全方法很多年前就已經(jīng)崩潰了。云計(jì)算和移動(dòng)辦公驅(qū)動(dòng)了邊界方法的分崩離析。員工都不到辦公室坐著，談何邊界?

企業(yè)外部應(yīng)用的激增也是推動(dòng)這一改變的又一因素。手機(jī)App、私有云上的App，或者基于SaaS的App，都是外部應(yīng)用。要保護(hù)這些新型資源，必須采用新的方法，身份管理就是最佳選擇。

身份管理是如何識(shí)別偽裝者和入侵者的

用戶登錄網(wǎng)站或公司系統(tǒng)時(shí)，會(huì)產(chǎn)生很多用戶自身注意不到的信號(hào)，包括用戶所處位置、設(shè)備IP地址、輸入節(jié)奏等等。如果用戶使用的是移動(dòng)設(shè)備，這些信號(hào)甚至更多，比如用戶戳手機(jī)屏幕的力度等等。同樣地，每個(gè)聯(lián)網(wǎng)設(shè)備都有自身基于典型使用模式的各種信號(hào)。

收集并分析這些信號(hào)，可以讓身份管理系統(tǒng)能夠?yàn)槊總€(gè)用戶和設(shè)備創(chuàng)建特定的身份資料。然后就可以設(shè)置確定性閾值，標(biāo)識(shí)什么等級(jí)的置信度可以允許訪問。從授權(quán)的角度看，這么做可以大幅提高訪問授權(quán)或拒絕操作的準(zhǔn)確性。

黑客不會(huì)停下入侵的腳步，但智能身份管理會(huì)給他們制造大麻煩。單因子的口令不僅弱，還累贅。雙因子要強(qiáng)些，但也負(fù)擔(dān)更重，且已經(jīng)被證明并非無法突破。如今的智能身份管理可以自動(dòng)驗(yàn)證25個(gè)因子而無需用戶回答任何問題，這無疑要好得多。

7月11日，SecureAuth + Core Security 公司發(fā)布自適應(yīng)身份驗(yàn)證產(chǎn)品 Login for Windows 和 Login for Mac，稱能在后臺(tái)處理數(shù)十個(gè)驗(yàn)證因子。其CTO表示，在初始登錄時(shí)就進(jìn)行強(qiáng)身份驗(yàn)證，我們就可以信任該身份，讓用戶在隨后訪問其他應(yīng)用和系統(tǒng)時(shí)免除“驗(yàn)證麻煩”。

使用智能身份管理達(dá)成實(shí)時(shí)訪問控制和更好驗(yàn)證體驗(yàn)的創(chuàng)意很簡(jiǎn)單，但需要處理的大量數(shù)據(jù)讓實(shí)現(xiàn)變得很難?？梢岳脭?shù)據(jù)、機(jī)器學(xué)習(xí)和AI來讓終端用戶實(shí)現(xiàn)免密登錄的理想驗(yàn)證體驗(yàn)。比如說，如果能通過一定數(shù)量的被動(dòng)信號(hào)來識(shí)別用戶，那就讓用戶登錄，尤其是當(dāng)用戶做的是一些低風(fēng)險(xiǎn)事務(wù)的時(shí)候。這么做可以帶來很棒的用戶體驗(yàn)。如果檢測(cè)到異常行為，那就停止驗(yàn)證，標(biāo)記異常，要求進(jìn)一步的身份驗(yàn)證或?qū)⒂脩艮D(zhuǎn)交負(fù)責(zé)授權(quán)的人士。

用戶的身份資料還可以包含正常的網(wǎng)絡(luò)行為。如果某用戶通過了初始身份驗(yàn)證過程而隨后做出了該用戶平時(shí)不會(huì)做的事，身份管理系統(tǒng)可以標(biāo)記該行為，要求進(jìn)一步的身份驗(yàn)證，或者直接阻止該行為。

這有助于防御已經(jīng)進(jìn)入到系統(tǒng)中的黑客，還能檢測(cè)潛在的內(nèi)部人威脅，比如訪問超出工作所需的文件或者在奇怪的時(shí)間登錄的雇員。智能身份系統(tǒng)還可以檢測(cè)已授權(quán)設(shè)備的異常行為，幫助阻止或最小化DDoS攻擊。

在授權(quán)方面，AI和機(jī)器學(xué)習(xí)也能幫助管理權(quán)限，即時(shí)賦予用戶剛好夠用的權(quán)限。

在夠用的前提下，用戶擁有的權(quán)限越小越好。能不受限制地網(wǎng)上沖浪固然挺美，但在需要更細(xì)粒度地控制誰在哪個(gè)時(shí)間點(diǎn)能看到什么的世界中，這種做法并不適用。給一個(gè)App或者App中有限的區(qū)域授權(quán)一會(huì)兒是很難的。這就是所謂即時(shí)夠用授權(quán)的例子。

身份管理的新角色

最近的Identiverse(身份世界)大會(huì)上，Ping Identity 發(fā)布了 PingIntelligence for APIs，將并購(gòu) Elastic Beam 而來的API流量監(jiān)視技術(shù)融合進(jìn)了Ping的身份技術(shù)中。

最近幾年API黑客活動(dòng)有所上升，T-Mobile和美國(guó)國(guó)稅局?jǐn)?shù)據(jù)泄露事件充分表明了這一點(diǎn)。API漏洞讓黑客可以接管賬戶和應(yīng)用，增加了網(wǎng)絡(luò)運(yùn)營(yíng)中心(NOC)的壓力。API流量在網(wǎng)絡(luò)上四處穿行，數(shù)據(jù)太多，多到人工難以處理。

Elastic Beam 開發(fā)的平臺(tái)就是為此而生的，可以提供對(duì)客戶API實(shí)時(shí)情況的深入理解——從自動(dòng)發(fā)現(xiàn)活躍API和檢測(cè)交易情況，到識(shí)別API誤用及攻擊。API流量監(jiān)視是一項(xiàng)超級(jí)難的工作，追根究底就是個(gè)大數(shù)據(jù)問題。成百上千的API上同時(shí)發(fā)生著成千上萬的連接，來自不同終端用戶設(shè)備(瀏覽器、移動(dòng)應(yīng)用、桌面應(yīng)用……)，以不同速度發(fā)生?；旧希珹PI流量監(jiān)視就是在大海撈針。

Elastic Beam 產(chǎn)品因具備API網(wǎng)絡(luò)安全引擎，能夠識(shí)別并自動(dòng)封鎖威脅。但主動(dòng)識(shí)別源頭就是另一碼事了。

API如今由采用OAuth之類行業(yè)標(biāo)準(zhǔn)協(xié)議的令牌保護(hù)。Ping Identity 就是在這方面強(qiáng)化了 Elastic Beam 的可見性引擎。其另一款產(chǎn)品PingAccess幫助客戶用OAuth保護(hù)API?，F(xiàn)有安全模型假定令牌未被黑客盜取或劫持，或者說具備合法權(quán)限的用戶不打算做什么惡意的事。用戶一旦經(jīng)過身份驗(yàn)證，基本就處于監(jiān)控盲區(qū)了。通過監(jiān)視用戶被授權(quán)后的API行為，Elastic Beam 為公司引入了全新的安全水準(zhǔn)和威脅檢測(cè)。

在加入Ping之前，Elastic Beam 獲取不到令牌里的用戶身份資料。加入Ping后，因?yàn)闃?gòu)造和讀取令牌都是同一撥人在做，Elastic Beam 也就首次具備了將真正驗(yàn)證過的用戶身份與API流量聯(lián)系起來并將該行為與經(jīng)驗(yàn)證過的已知用戶關(guān)聯(lián)起來的能力。

PingIntelligence for APIs 很好設(shè)置，一旦建立起風(fēng)險(xiǎn)基線，該產(chǎn)品就能檢測(cè)并封鎖DDoS攻擊、內(nèi)部人威脅、口令破解攻擊、被盜憑證攻擊和對(duì)數(shù)據(jù)及應(yīng)用的攻擊。如果攻擊往API上推送異常流量，鑒于其檢測(cè)不是基于規(guī)則也不依賴已知攻擊模式或特征碼，PingIntelligence for APIs 還能檢測(cè)出對(duì)App的零日攻擊。

這意味著 PingIntelligence for APIs 能夠大幅縮短在檢測(cè)到異常后識(shí)別攻擊的用時(shí)。Ping的新聞發(fā)布中宣稱，其攻擊識(shí)別時(shí)間從數(shù)月降至數(shù)分鐘。即便市場(chǎng)營(yíng)銷用語只有一半能信，這也是很有意義的改進(jìn)了。

PingIntelligence for APIs 需與公司企業(yè)的現(xiàn)有報(bào)告架構(gòu)、NOC及安全基礎(chǔ)設(shè)施良好集成。該產(chǎn)品能以所謂的旁帶模式運(yùn)行，也就是流量數(shù)據(jù)的副本被推送給 PingIntelligence for APIs，可以一定程度上消除某些公司對(duì)在自己流量中添加又一個(gè)代理的恐慌。

旁帶模式下是在 PingIntelligence for APIs 外部進(jìn)行實(shí)際的威脅阻止動(dòng)作。發(fā)現(xiàn)異?；蚬魰r(shí)，PingIntelligence for APIs 會(huì)將威脅信息發(fā)回給另一個(gè)產(chǎn)品，可能是API網(wǎng)關(guān)產(chǎn)品也可能是 Ping Access，實(shí)際的攻擊阻止動(dòng)作就是在這另一個(gè)產(chǎn)品中實(shí)現(xiàn)的。

PingIntelligence for APIs 也可以直接作用于數(shù)據(jù)流，實(shí)時(shí)分析事件并采取相應(yīng)操作。提供不同部署模式很重要，每個(gè)IT商店都會(huì)對(duì)其網(wǎng)絡(luò)拓?fù)渲惺褂玫膬?nèi)容有自己的偏好，提供多種選項(xiàng)或選項(xiàng)組合可以充分滿足客戶需要。

身份如何改變安全

隨著身份逐漸成為新的邊界，作為安全功能的身份管理在大多數(shù)企業(yè)的混合云環(huán)境中也越來越現(xiàn)實(shí)有效了。公司企業(yè)正圍繞身份訪問管理系統(tǒng)重新定義自己的邊界。

傳統(tǒng)上，身份不是安全團(tuán)隊(duì)的責(zé)任。如果是在幾年之前，身份管理還是向IT報(bào)告，但現(xiàn)在已經(jīng)向CISO報(bào)告了。

這當(dāng)中出現(xiàn)了管理和技術(shù)集的難題。身份管理人員和安全人員往往思維模式不同，極少看到有人同時(shí)具備這兩套思維，用身份思維連接各種事物而用安全思維防護(hù)各類系統(tǒng)。大多數(shù)情況下人們慣于以某一種思維方式考慮問題。不過，這一情況正在發(fā)生改變。

身份和安全之間一直以來都存在相互理解上的鴻溝，但可以通過對(duì)這兩方面人員進(jìn)行培訓(xùn)來解決。Identiverse大會(huì)上題為《身份應(yīng)該擁有安全嗎?》的議題得到了專家組成員相當(dāng)一致的否定答案，所有專家都強(qiáng)調(diào)了身份管理團(tuán)隊(duì)與安全團(tuán)隊(duì)之間需要更緊密的合作。

即便智能身份管理系統(tǒng)充分發(fā)揮了作用，也不可能提供100%的用戶識(shí)別準(zhǔn)確率。信任不等于知道?，F(xiàn)實(shí)生活中，當(dāng)我們自己不知道或無法確定時(shí)，只能被迫信任，且生活中絕大多數(shù)事務(wù)確定起來要么太不方便要么太過昂貴。比如說，驅(qū)車到以前沒去過的飯店吃飯時(shí)，絕大多數(shù)人都只能將自己的車鑰匙交給門口一身裝束看起來像侍應(yīng)生的陌生男孩。這是個(gè)明智的決定，因?yàn)槟阒劳５?個(gè)街區(qū)以外實(shí)在太不方便了。身份管理領(lǐng)域與現(xiàn)實(shí)生活類似，絕大多數(shù)生活都太難以確定某個(gè)東西，或者確定起來代價(jià)太大。所以我們需要智能系統(tǒng)來幫助確定風(fēng)險(xiǎn)并作出更睿智的訪問控制決策。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文