機(jī)器身份是企業(yè)攻擊面中一個(gè)快速增長的重要組成部分。如今，機(jī)器——服務(wù)器、設(shè)備和服務(wù)的數(shù)量正在迅速增長，然而企業(yè)在保護(hù)它們的方面所付出的努力卻往往顯得不足。

目前，網(wǎng)絡(luò)不法分子和其他威脅者已經(jīng)迅速利用了這些優(yōu)勢。根據(jù)網(wǎng)絡(luò)安全供應(yīng)商Venafi去年發(fā)布的報(bào)告，在過去五年里，與濫用機(jī)器身份相關(guān)的網(wǎng)絡(luò)攻擊數(shù)量增長了1600%。

調(diào)研機(jī)構(gòu)Gartner在去年秋天發(fā)布的報(bào)告中，將機(jī)器身份列為今年最熱門的網(wǎng)絡(luò)安全趨勢之一。報(bào)告顯示，2020年中，50%的云安全事故均是由身份、訪問和特權(quán)管理的不足導(dǎo)致的。并且預(yù)計(jì)2023年，這一比例將上升到75%。

Venafi公司負(fù)責(zé)安全戰(zhàn)略和威脅情報(bào)的副總裁Kevin Bocek表示，我們每年在人類身份和訪問管理上的花費(fèi)高達(dá)數(shù)十億美元——從生物識(shí)別到訪問特權(quán)管理，但投資在保護(hù)機(jī)器身份的時(shí)間卻很少。但是，與人類身份一樣，機(jī)器身份也會(huì)遭到不法人員的濫用。

Saviynt的產(chǎn)品管理總監(jiān)Chris Owen表示，企業(yè)往往過于信任其網(wǎng)絡(luò)上的機(jī)器，這意味著他們未經(jīng)人工干預(yù)或傳統(tǒng)形式的認(rèn)證，就與其他網(wǎng)絡(luò)資源相連接。因此一旦機(jī)器被破壞，那么攻擊者就可以通過這些“機(jī)器到機(jī)器”的路徑來在網(wǎng)絡(luò)中移動(dòng)。

幸運(yùn)是的，企業(yè)已經(jīng)開始意識(shí)到該問題。根據(jù) Ponemon研究所和 Keyfactor三月發(fā)布的報(bào)告，61%（較去年增長了34%）的IT專業(yè)人員認(rèn)為，盜竊或?yàn)E用機(jī)器身份是一個(gè)嚴(yán)重的隱患。

意識(shí)到問題是解決問題的第一步，但是企業(yè)也可以采取其他更為具體的措施來防止機(jī)器身份問題失控。以下是其中的七個(gè)例子。

1. 了解自己的證書、密鑰以及數(shù)字資產(chǎn)

Ponemon表示，IT組織的內(nèi)部證書平均擁有量超過26.7萬，較去年同期增長16%。證書以及密鑰與操作基礎(chǔ)設(shè)施、物聯(lián)網(wǎng)、本地IT基礎(chǔ)設(shè)施、云基礎(chǔ)設(shè)施以及容器化基礎(chǔ)設(shè)施相互關(guān)聯(lián)。然而，其中一些證書和密鑰卻版本過舊。有些是被硬編碼的，有些則與其他身份交織在一起。Vanson Bourne去年的一項(xiàng)調(diào)查顯示，61%的組織都對(duì)其數(shù)字資產(chǎn)的證書和密鑰缺乏充分的認(rèn)識(shí)。其中96%缺乏充分認(rèn)識(shí)的企業(yè)表示自己遭受了嚴(yán)重的后果。對(duì)于常見的后果，55%的受訪者表示出現(xiàn)了網(wǎng)絡(luò)安全漏洞；35%表示遭遇了系統(tǒng)中斷，33%表示遭受了財(cái)務(wù)損失。

Hitachi ID Systems的副首席工程師Ian Reay表示，他目睹了企業(yè)由于不了解機(jī)器身份，從而遇到了嚴(yán)重的問題。例如，美國的一家重要企業(yè)需要更改密碼來維護(hù)其用來營銷的打印機(jī)。

Reay很疑惑：“只是打印機(jī)，為什么會(huì)造成如此的錯(cuò)誤”他們遵循所有的更改控制項(xiàng)，更改了密碼，然后才發(fā)覺自己的生產(chǎn)系統(tǒng)正在下線，但卻不清楚其中的原因。

經(jīng)過了幾個(gè)小時(shí)艱難的全球停電后，他們才意識(shí)到發(fā)生了什么。Reay表示大約20年前，一名管理員使用打印機(jī)賬戶來達(dá)成其他目的，所以該賬戶被混淆使用了，不僅用于打印機(jī)，同時(shí)還用于生產(chǎn)環(huán)境。而這一點(diǎn)是很難預(yù)測的。

當(dāng)他們?cè)噲D改回原密碼時(shí)，卻失敗了。因?yàn)樵瓉淼拿艽a不再符合該企業(yè)的活動(dòng)目錄密碼策略。因此，高級(jí)管理員不得不參與進(jìn)來，允許此次例外。

企業(yè)往往都會(huì)有多個(gè)支離破碎，維護(hù)不善，而且充滿了錯(cuò)誤的列表。Reay表示：“即使是那些頭部客戶，對(duì)于我們?cè)诳蛻裟抢锇l(fā)現(xiàn)的問題，很多也無法解決。這實(shí)在令人生畏?！?/p>

2. 頻繁修改密鑰和證書

網(wǎng)絡(luò)安全供應(yīng)商Corsha的聯(lián)合創(chuàng)始人兼首席技術(shù)官AnushaIyer表示，靜態(tài)的密鑰和證書往往更容易成為不法分子盜竊和重復(fù)利用的目標(biāo)。事實(shí)上，憑證填充攻擊從很大程度上已經(jīng)從利用人類身份的用戶名和密碼，轉(zhuǎn)而利用API憑證，而API憑證本質(zhì)上正是當(dāng)今機(jī)器身份的代理。

隨著API生態(tài)系統(tǒng)的快速增長，該問題只會(huì)變得更具挑戰(zhàn)性。美洲航空公司 Capgemini的Excellence網(wǎng)絡(luò)安全中心的高級(jí)解決方案經(jīng)理 Prasanna Parthasarathy表示，機(jī)器身份管理的不當(dāng)往往會(huì)導(dǎo)致安全漏洞的產(chǎn)生。在最嚴(yán)重的情況下，攻擊者可以同時(shí)清除掉整個(gè)IT環(huán)境。攻擊者可以利用已知的API調(diào)用來訪問進(jìn)程控制、事務(wù)或關(guān)鍵基礎(chǔ)設(shè)施，而這會(huì)產(chǎn)生毀滅性的后果。

Parthasarathy 表示，為了防止該情況的發(fā)生，公司應(yīng)對(duì)源機(jī)器、云連接、應(yīng)用服務(wù)器、掌上設(shè)備以及API交互實(shí)行嚴(yán)格的授權(quán)機(jī)制。最重要的是，受信任的證書不能是靜態(tài)的。應(yīng)該對(duì)其進(jìn)行頻繁的修改更新，并且永遠(yuǎn)不能將其硬編碼到API調(diào)用中。

Parthasarathy認(rèn)為，為每一筆交易都更改證書可能很困難，但隨著更新的越來越頻繁，企業(yè)將會(huì)擁有一個(gè)更加安全的環(huán)境。并且，公司必須在設(shè)備或程序棄用時(shí)立即其撤銷證書和密鑰。Gartner建議企業(yè)應(yīng)從所有計(jì)算基礎(chǔ)設(shè)施中廢除隱性信任，代之以實(shí)時(shí)的自適應(yīng)信任。

3. 采用機(jī)器身份管理解決方案

Gartner將機(jī)器身份管理歸入身份和訪問管理(IAM)技術(shù)的范疇。并且Gartner 最新的“炒作周期”表示，機(jī)器身份管理如今正不斷接近預(yù)期的峰值，距離“生產(chǎn)率穩(wěn)定期”還有兩到五年的時(shí)間。

根據(jù)VansonBourne的調(diào)查，95%的企業(yè)已經(jīng)實(shí)現(xiàn)或計(jì)劃實(shí)現(xiàn)自動(dòng)化的機(jī)器身份管理工作流、機(jī)器身份管理作為一種服務(wù)，或在混合部署模型上管理證書生命周期的能力。然而，只有32%的企業(yè)完全實(shí)現(xiàn)了現(xiàn)代機(jī)器身份管理。根據(jù)調(diào)查，53%的企業(yè)仍將電子表格作為其機(jī)器身份管理的核心，93%在該流程中使用了電子表格。

Keyfactor公司的首席戰(zhàn)略官（CSO）Chris Hickman表示，在大多數(shù)組織中，機(jī)器身份的所有權(quán)是模糊的，并非明確分配。因此，許多組織最終采用單一的機(jī)器身份管理方法。更糟糕的是，這些身份大多無人管理。他建議企業(yè)應(yīng)建立跨功能的核心小組，來負(fù)責(zé)管理所有機(jī)器身份。

4. 實(shí)施自動(dòng)化

根據(jù) Vanson Bourne的調(diào)查，那些將自動(dòng)化工作流程應(yīng)用于機(jī)器身份管理的公司，其中一部分享受到了其中的益處。其中50%的擁有自動(dòng)化系統(tǒng)的企業(yè)，能夠跟蹤所有的證書和密鑰，而對(duì)于那些沒有自動(dòng)化系統(tǒng)的企業(yè)，只有28%。另一方面只有33%的組織完全實(shí)現(xiàn)了自動(dòng)化工作流，48%仍在實(shí)現(xiàn)的過程中進(jìn)。另外15%的組織正在計(jì)劃實(shí)施自動(dòng)化，而4%的組織則沒有在這一領(lǐng)域?qū)嵤┳詣?dòng)化的計(jì)劃。

IT安全決策者表示，他們預(yù)期自動(dòng)化可以在一定程度上降低成本，減少管理密鑰和證書所花費(fèi)的時(shí)間，同時(shí)也可以簡化工作流程。Venafi's Bocek表示，自動(dòng)化是不可或缺的，如果沒有自動(dòng)化管理，數(shù)字化轉(zhuǎn)型計(jì)劃就會(huì)停滯。并且，自動(dòng)化還可以避免一些人為的錯(cuò)誤，。

5. 將云部署納入計(jì)算機(jī)身份管理計(jì)劃

根據(jù) Vanson Bourne的調(diào)查，隨著基礎(chǔ)設(shè)施從本地部署轉(zhuǎn)型到云部署，92%的企業(yè)不得不重新考慮和改變機(jī)器身份管理解決方案。76%的企業(yè)表示，他們現(xiàn)有的解決方案并不能完全支持云部署或混合部署。

Gartner的分析師Laurence Goasduff在最近的一份報(bào)告中表示，“單一玻璃”方法在多云環(huán)境中還不實(shí)用。公司可以應(yīng)用單獨(dú)的總體框架，集中一些功能的同時(shí)，為本地工具留出一定空間。

根據(jù)Vanson Bourne 的調(diào)查，只有不到一半的企業(yè)計(jì)劃構(gòu)建一個(gè)覆蓋所有云部署的單一機(jī)器身份管理解決方案；相反，37%的企業(yè)計(jì)劃為每個(gè)云都建立一個(gè)單獨(dú)的機(jī)器身份管理系統(tǒng)，并以一個(gè)核心政策來覆蓋所有云；而22%的企業(yè)則計(jì)劃構(gòu)建沒有核心政策的單獨(dú)系統(tǒng)。

6. 將機(jī)器人納入機(jī)器身份管理計(jì)劃中

隨著全球范圍的大潮流，各企業(yè)都加快了其自動(dòng)化戰(zhàn)略。Forrester表示，2022年全球機(jī)器人程序自動(dòng)化軟件市場將達(dá)到65億美元，相較于2021年的24億美元有所增長。Goasduff在 Gartner報(bào)告中表示，也需要對(duì)這些軟件機(jī)器人的身份進(jìn)行管理。首先，需要對(duì)“將RPA工具集成到身份結(jié)構(gòu)中”的最佳實(shí)踐和指導(dǎo)原則進(jìn)行定義，其次還需要將RPA的軟件機(jī)器人看作另外的需要機(jī)器身份的工作負(fù)載?！?/p>

7. 將機(jī)器納入零信任計(jì)劃之中

就算不是最重要的，零信任也算是當(dāng)今企業(yè)最首要的安全任務(wù)之一。根據(jù)Information Security Media Group于今年2月發(fā)布的調(diào)查，100%的受訪者都認(rèn)為零信任對(duì)降低安全風(fēng)險(xiǎn)來說，具有重要的意義。同時(shí)這也是美國總統(tǒng)拜登年初發(fā)布的網(wǎng)絡(luò)安全備忘錄中的核心內(nèi)容。

零信任不僅僅是要求用戶始終都要經(jīng)過完全的身份驗(yàn)證。同時(shí)，它也適用于流程和設(shè)備。在最新的零信任安全模式中，管理設(shè)備的身份尤為重要。如果企業(yè)設(shè)備在網(wǎng)絡(luò)上沒有獲得任何特殊的信任狀態(tài)，那么它就必須要有一種識(shí)別與其他設(shè)備、服務(wù)或數(shù)據(jù)的交互并對(duì)其授權(quán)的方法。

根據(jù)Fortinet年初的調(diào)查，84%的企業(yè)擁有成熟的或正在發(fā)展的零信任戰(zhàn)略。然而，擁有持續(xù)認(rèn)證設(shè)備的能力對(duì)于59%的企業(yè)來說仍是一個(gè)難題。

點(diǎn)評(píng)

隨著非人實(shí)體在企業(yè)結(jié)構(gòu)中占比的不斷增加，機(jī)器身份管理已成為安全策略中不可或缺的重要組成部分。同時(shí)，企業(yè)網(wǎng)絡(luò)中的微服務(wù)、云工作負(fù)載以及物聯(lián)網(wǎng)設(shè)備的爆炸式增長，也使該問題變得更加復(fù)雜。如今以人為本的安全模型已經(jīng)不再像以前那樣有效。企業(yè)應(yīng)對(duì)此形成重視，并采取有效的措施，防止其內(nèi)部的機(jī)器身份被別有用心之人竊取或?yàn)E用，從而保證自己的生產(chǎn)環(huán)境始終處于安全的狀態(tài)。