國(guó)外一位名為莫雷·哈伯的作者寫(xiě)了關(guān)于網(wǎng)絡(luò)安全三大支柱的三本書(shū):
一本是從身份角度出發(fā),考察攻擊向量,設(shè)計(jì)IAM(身份與訪問(wèn)管理)方案的《身份攻擊向量》;一本是從權(quán)限角度出發(fā),考察攻擊向量,設(shè)計(jì)PAM(特權(quán)訪問(wèn)管理)方案的《特權(quán)攻擊向量》;還有一本是從資產(chǎn)角度出發(fā),考察攻擊向量,設(shè)計(jì)漏洞管理方案的《資產(chǎn)攻擊向量》。
而這三本書(shū)的關(guān)鍵詞身份、特權(quán)、資產(chǎn),也被作者視為當(dāng)前網(wǎng)絡(luò)安全的三大支柱。
基于身份(Identity)的安防措施是用于保護(hù)用戶的身份、帳戶以及憑證;基于權(quán)限(Privilege)的方案主要是對(duì)身份或帳戶進(jìn)行訪問(wèn)控制;而資產(chǎn)(Asset)則是對(duì)一個(gè)身份所使用的資源的保護(hù)。
事實(shí)上,如果將目前所有的網(wǎng)絡(luò)安全解決方案進(jìn)行一個(gè)分組的過(guò)程,就會(huì)發(fā)現(xiàn)每個(gè)方案都可以被歸納到這三個(gè)關(guān)鍵詞下面。
莫雷·哈伯認(rèn)為,一個(gè)好的安全解決方案應(yīng)該同時(shí)涵蓋這三個(gè)要素,三者的整合也至關(guān)重要。如果一個(gè)安全解決方案無(wú)法與其它方案兼容,也無(wú)法使三個(gè)要素互通,就無(wú)法有效地應(yīng)對(duì)現(xiàn)代新型網(wǎng)絡(luò)攻擊的威脅。
例如,當(dāng)資產(chǎn)本身可被漏洞利用時(shí),身份也難以得到保護(hù)。資產(chǎn)攻擊的方法一般都是攻擊漏洞和配置缺陷。防御方法是漏洞管理、補(bǔ)丁管理、配置管理等方式,但現(xiàn)實(shí)中很難面面俱到。
同理,如果一個(gè)安全廠商沒(méi)有促進(jìn)三大支柱的互操作性和數(shù)據(jù)交換的集成/整合策略,那么它就是一個(gè)單點(diǎn)解決方案。例如,傳統(tǒng)的殺毒軟件,由于它無(wú)法共享和獲取用戶的身份信息和身份的上下文。盡管它能夠在檢測(cè)到威脅時(shí)向用戶報(bào)告資產(chǎn)的感染情況,卻無(wú)法判斷惡意軟件正在使用何種身份或權(quán)限對(duì)目標(biāo)資產(chǎn)進(jìn)行的入侵。
當(dāng)前,勒索軟件、機(jī)器人(Bot)、蠕蟲(chóng)和其他惡意軟件是現(xiàn)代攻擊的主要手段。這是一種橫向移動(dòng)的方式。橫向移動(dòng)是指從一種資源轉(zhuǎn)向另一種資源并在這些資源之間持續(xù)跳轉(zhuǎn)的能力。所謂“資源”,不僅指資產(chǎn)(計(jì)算機(jī)、應(yīng)用程序、操作系統(tǒng)、虛擬機(jī)等),還包括賬戶和身份。
組織中的一個(gè)用戶通常擁有多個(gè)帳戶和每個(gè)帳戶的多項(xiàng)權(quán)限。理解身份與其帳戶之間、帳戶與其權(quán)限之間、權(quán)限與其保護(hù)的數(shù)據(jù)之間的三向關(guān)系是關(guān)鍵。如果企業(yè)只將IAM計(jì)劃的重點(diǎn)放在帳戶級(jí)別(而非身份級(jí)別)的管理上,就無(wú)法做出一個(gè)整體可見(jiàn)性的設(shè)置“誰(shuí)有權(quán)訪問(wèn)什么”架設(shè)。
伴隨著云、大、物、移的趨勢(shì),必須要確保在企業(yè)范圍內(nèi)看見(jiàn)用戶的身份和訪問(wèn)數(shù)據(jù),進(jìn)行全生命周期的身份治理。通過(guò)在身份的整個(gè)生命周期中嵌入策略和控制,才能夠增強(qiáng)組織的自動(dòng)化、持續(xù)的合規(guī)性、降低組織的安全風(fēng)險(xiǎn)。
