這里有六種方法可以判斷公司的IAM策略是否失敗。
1.用戶無法訪問他們的應用程序,但犯罪分子可以
IAM平臺的主要目標是允許合法用戶訪問他們需要的資源,同時阻止壞人。如果發生相反的情況,則說明有問題。根據最新的Verizon數據泄露事件報告,被盜憑據是去年最常見的攻擊方法,涉及一半的泄露事件和超過80%的Web應用程序泄露事件。
Bretzmann說,公司通常會嘗試做的第一件事是擺脫簡單的用戶名和密碼組合,并添加短信一次性密碼。他說,這并沒有多大幫助,而且會加重用戶的啟動情緒。“做得對,IAM不僅僅是單點登錄和多因素身份驗證,”他說。“這是關于了解請求訪問IT系統并解決他們的連接問題的用戶的多樣性。”
根據Forrester公司分析師AndrasCser的說法,企業IAM系統范圍內的用戶包括員工、業務合作伙伴和最終客戶。所有這些都需要不同的方法。對于員工而言,企業通常會求助于身份即服務提供商,例如Okta、AzureActiveDirectory或本地IAM系統,他說,這些系統仍然比基于云的選項更強大、功能更豐富。對于客戶來說,一些公司開始從用戶名和密碼轉向谷歌和Facebook等社交登錄。
最后一個IAM訪問類別是機器身份。根據Pulse和KeyFactor去年秋天發布的一項調查,機器身份的優先級低于用戶身份,但95%的CIO表示他們的IAM策略可以保護機器身份免受攻擊。
企業還需要注意這樣一個事實,即他們必須在各種環境(本地、云、SaaS、移動和在家工作)中保護所有這些不同類型的用戶。
2.孤立的身份和訪問管理平臺
Gartner分析師HenriqueTeixeira表示,許多組織使用不同的解決方案進行訪問管理、身份治理和管理以及特權訪問管理。他說,孤島創造了額外的工作。“而且攻擊者可以利用的每個解決方案之間經常存在差距。”
Teixeira說,“供應商開始轉向統一系統來解決這個問題。例如,Okta和微軟已經開始提供更加融合的平臺。”Gartner估計,到2025年,70%的IAM采用將通過這些融合的IAM平臺實現。
Teixeira說,“面向客戶的IAM更加落后。大多數組織都在使用定制的本土應用程序。在解決新的隱私法規要求和保護基礎設施免受更現代類型的攻擊時,這是有問題的。”
3.過于激進的IAM推出計劃
很容易認為IAM平臺會一次性完成所有工作。Cser說,高管們很容易對解決方案過于熱情,而供應商也會過度承諾。“這對很多組織來說都是個問題,”他說。“如果您嘗試安裝訪問管理解決方案,并且必須在一天內讓所有300個應用程序全部上線,那將是失敗的。”
Cser建議改為分階段推出。試圖一口氣完成所有事情是不現實的。例如,盡管供應商做出了承諾,但公司通常必須做更多的定制和編排工作才能集成他們的應用程序。如果IAM的現代方法需要重新設計內部流程,則尤其如此。他建議進行IAM更新的公司利用這個機會首先簡化和合理化流程。“而且不執行現有的爛攤子。這就像搬家一樣。當你從一個地方搬到另一個地方時,你想先把東西扔掉,而不是把它們搬到新的地方。”
4、認證與授權分離
“IAM是任何安全和IT計劃的基石,”搜索技術公司Yext的首席信息安全官RohitParchuri說。他說,沒有它,其他安全控制的商業價值就會降低,并且無法充分發揮其潛力。“您需要先了解您的投資組合中存在哪些用戶和資產,然后才能開始保護它們。IAM提供了訪問環境的可見性,同時還啟用了控制該訪問的功能。”
在之前的職位上,Parchuri在部署IAM時遇到了幾個問題。他說,“當我們最初冒險執行IAM時,我們錯過了在我們的成功標準中添加一些東西,第一個問題是授權被視為獨立于身份驗證的實體。使用單獨的授權服務器,我們必須在兩個不同系統的身份驗證和授權實踐之間來回切換。”這增加了總擁有成本,并給管理兩個獨立實體的團隊帶來了額外負擔。
5.認證覆蓋盲點
Parchuri面臨的另一個問題是一些內部系統沒有被編目并且仍然依賴于本地身份驗證。“在我們的內部系統上進行本地身份驗證,在會話管理和用戶入職和離職實踐方面缺乏可見性,”他說。這些任務應該由IAM工具處理,但沒有。
該公司在對其資產管理計劃進行覆蓋練習時發現了這個錯誤。Parchuri說,“我們發現在我們的配置管理數據庫中記錄的應用程序沒有在IAM工具中捕獲,”一旦我們確定了這些應用程序,我們還注意到IAM工具將授權驗證外包給本地部署的本地系統,盡管它們作為一個實體存在于IAM工具中。”
要解決這個問題,最難的部分是弄清楚是否可以使用安全斷言標記語言(SAML)或跨域身份管理(SCIM)來集成IAM工具和內部工具。Parchuri說,“一旦我們能夠做到這一點,剩下的就是執行和永久管理。”
6.多個IAM系統導致可見性問題
專注于監管、風險和合規問題的全球咨詢公司StoneTurn的合伙人LukeTenery表示,公司有時會在集成不同的IAM平臺時遇到挑戰。他說,“如果他們有太多的身份管理系統,就很難找到安全異常之間的關系,這就是痛苦的地方。”
例如,許多網絡攻擊都涉及某種形式的電子郵件泄露。例如,如果相同的身份也用于訪問公司的Salesforce系統,那么在發現第二個攻擊向量之前可能會有很大的延遲。“如果它是相同的用戶名和密碼,但以分散的方式管理,他們可能不會看到Salesforce中發生的妥協,”Tenery說,“如果停留時間更長,對組織產生影響的風險就會增加。癌癥在體內的時間越長,威脅造成損害的時間就越長。”
Tenery說,他看到了一個案例,威脅參與者能夠進入Salesforce數據庫以執行全球酒店供應商的忠誠度計劃,從而訪問數百萬客戶記錄。解決方案是創建整個企業的身份和訪問管理的整體視圖。“將結締組織整合在一起可能是一個艱苦的過程,”他說,“但有一些平臺可以幫助組織整合其IAM功能。”
如果直接集成不是一種選擇,Tenery說,有一些先進的工具可以利用機器學習和人工智能來創建自動化來建立這些聯系。對于Salesforce和Office365,可以直接集成。他說,“還有第三方工具,比如我們使用的ObsidianSecurity。這是一個利用不同形式的自動化和機器學習來識別身份鏈接以檢測安全異常和管理身份風險的平臺。”?
