零信任安全治理理念不再是陌生的话题,随着社会面临更复杂的信息安全风险,不断变化的网络环境使得基于边界的安全架构不再具备抵御内外部安全威胁的能力。传统的以网络中心化的安全体系架构也逐步过渡到以身份为中心的网络访问控制理念。
基于零信任理念衍生的安全管理框架也在逐步贴合更多的安全管理需求,例如如何平衡用户、员工与安全管理间的摩擦问题。过渡代偿式的安全管控会造成糟糕的用户体验,增加用户的流失率,同时降低员工的敏捷性,增加运营成本,直接影响就是降低业务收入。
根据 Verizon 数据泄漏调查报告显示,81% 的黑客相关泄漏事故都是因为凭证盗取造成的。过去传统的安全治理办法是添加更多的身份认证流程,例如在帐号密码单因素认证下添加第二种认证因素,短信/邮箱等验证流程,这种办法被称为 2FA,即双因素认证。然而这种办法并不能有效解决此类问题,不法分子会通过钓鱼网站/邮件/短信等手段获取相应的 OTP 指令或者建设伪基站来劫取验证信息。
在此基础上,2FA 也迭代成 MFA,即多因素认证,在 OTP 指令的基础上增加了生物特征识别技术,例如指纹、人脸等。这种办法能有效解决上述问题,但也同样衍生出新的问题,受限于设备(例如设备需要支持指纹和人脸识别)、技术等客观因素,并不能有效覆盖认证的所有场景。同时增加不必要的因素认证流程会增加用户体验的负担。
「自适应多因素认证(AMFA)」在传统多因素认证(MFA)的基础上根据上下文判断当前的安全状况以确认是否需要增加多因素认证。通过判断用户属性、上下文行为、ip 地址、设备信息、地理位置等多种「要素」动态评估风险。例如当用户异地登录时或者异常 ip 登录时添加多因素认证,而当用户在常用的设备以及公司 ip 登录时则无需二次验证,这有效解决了用户体验与安全管理的摩擦问题。
然而,「自适应多因素认证 AMFA」 虽然有效解决了上述问题,但对于安全环境更复杂以及对于安全审计有特殊要求的组织来说,仅在安全敏感节点设置点状的一次性自适应 MFA 并不能全面覆盖企业内所有潜在的安全风险,此时,「持续自适应信任(CAT)」作为下一代安全管理模型被提出,而基于自适应信任框架的「持续自适应多因素认证(CAMFA)」则是解决上述问题的最佳实践。本文将介绍什么是持续自适应信任以及如何实现持续自适应多因素认证。
Gartner:将焦点从 MFA 转移到持续自适应信任(CAT)
一.什么是持续自适应信任(CAT)?
持续自适应信任(Continuous Adaptive Trust, CAT)是一种基于动态信任评估的安全模型,旨在实现对数字化生态系统中的实体(如人员、设备、应用程序和服务)进行持续监测和自适应信任评估,从而有效地识别和响应威胁。CAT 模型的核心思想是基于实体行为和可观测数据的实时分析,借助机器学习、人工智能等技术,对实体的行为进行动态评估,并根据评估结果来调整对实体的信任级别。CAT 模型具有高度自适应性和灵活性,可以根据实体行为的变化实时调整信任评估策略,从而更好地适应不断变化的威胁环境。通过实现持续自适应信任评估,CAT 模型可以有效地提高数字化生态系统的安全性和可信度,保护企业和用户的数字资产和隐私。
1.从“应急响应”到“持续响应”,持续自适应信任构建企业安全免疫系统
举一个更易懂的例子。「持续自适应信任」在微观层面类似生物自身的免疫系统,在宏观层面类似一套完整的生态系统。生物的免疫系统可以对新的安全威胁自主地快速做出反应并进行调整,而生态系统则是孵化生物的基本条件,丰富多元的生态系统可以帮助生物适应更复杂的环境以及造就更强大的免疫系统能力。
换言之,依靠丰富多元的 IT 基础设施能帮助自适应信任构建更强大完善的自适应信任体系,所以持续自适应信任并非单一的产品或解决方案,它需要一套完善的全场景用户访问认证功能以及权限管理等能力,才能更全面的保护企业信息安全。
过去传统组织依赖预防和基于策略的安全控制,部署防病毒软件、防火墙、入侵防御系统(IDS/DPS)等产品,而这种办法已经不能适应如今和未来的安全环境。Gartner 提倡为了实现对更复杂威胁的防控,建议将安全思维方式从“应急响应”到“持续响应”转变。下一代的安全保护流程的核心是持续、普遍的监控和可见性,企业的安全监控应该无处不在,并尽可能多的包含 IT 堆栈层,包括网络活动、端点、系统交互、应用程序事务和用户活动监控。
2.从零信任延展至持续自适应信任(CAT)
零信任的三个主要原则“默认不信任任何实体(人、设备、软件等)”“始终持续验证”“执行最小特权”,在零信任架构中最主要的两个点:
认证:收集和分析信息来建立对实体的信任级别
访问控制:根据身份信息和信任级别控制实体对资源访问权限
从企业安全的角度来看,身份认证是实体证明其可信的过程,需要基于丰富、持续、准确的数据源为基础。而从用户体验的角度来看,无体感/弱体感的身份认证能保障用户的留存率和员工的工作效率。
由于开启零信任之旅需要首先解决零信任认证问题,所以在没有有效的零信任方案前,很多组织为认证过程添加弱因素认证,有技术能力的组织会在一些敏感节点添加多因素认证以及单点登录来试图保障安全和用户体验的平衡,但由于无法实现在用户会话过程中持续动态的评估和认证,通常会采取设置长会话计时器来减少多因素认证的频次。
无论是在各类敏感会话场景中增加多因素认证流程或者是添加会话计时器等方式,本质上都不能有效解决安全和用户体验的问题,反而会增加企业安全支出并且影响用户体验。
这些问题都是组织在实施零信任过程中将零信任三个原则简单的理解为增加更多的认证流程或者对每个认证环节增加因素认证。事实上,将“零信任”的理念换个角度思考就是“持续获得信任”,只有持续获得信任的身份才被允许进行下一步操作。某个身份需要持续获得信任的条件是需要系统持续对其进行风险评估,而为了要保障用户体验,这些评估需要用户无体感的执行,这时,就需要持续的自适应信任(CAT)。本质上,持续自适应信任是基于零信任理念的最佳范式。
二.持续自适应多因素认证(CAMFA)构建企业零信任环境
如文章开头所述,自适应多因素认证(AMFA)能有效解决用户体验和安全管理摩擦问题,但审计监管机构以及企业安全和业务部门对 MFA 的要求也越来越高,他们希望寻求安全性更高、更灵活、响应更快、用户体验更好以及成本更低的 MFA 解决方案。
1.什么是持续自适应多因素认证(CAMFA)
「持续自适应多因素认证(Continuous Adaptive Multi-Factor Authentication,CAMFA)」是一种安全身份验证方法,它在自适应多因素认证(基于上下文属性判断当前安全状况以增加因素认证)的基础上增加了实时风险评估技术对用户进行动态评估安全系数。在时间维度上,持续自适应多因素认证在用户整个使用旅程中持续不断的对其进行信任评估,以决定是否需要增加额外的认证流程。这样做的好处就是企业的安全得到实时监控,而用户只会在进行风险操作时被提示需要进行额外的认证。
2.持续自适应多因素认证(CAMFA)对企业的价值
身份认证是企业安全的基础,在安全监管要求下,从传统的账密登录转向多因素认证(MFA)是必然的趋势。然而根据微软的网络信号报告显示,只有 22% 的 AD 身份使用了 MFA,其最主要的原因是,传统 MFA 为客户和组织内部员工提供了糟糕的用户体验。在用户流失和生产力阻碍面前,企业通常选择关闭 MFA 来承担额外的安全风险。
而自适应多因素认证(AMFA)是平衡安全和用户体验有效方案,然而和传统多因素认证(MFA)一样,对于面临更复杂的安全环境和有特殊安全监管需求的企业来说,仅用一次性的身份认证来控制对敏感系统的访问已经不再足够,用户的安全状况可能在系统会话期间动态变化。此时企业需要有持续评估安全风险技术来对用户进行动态安全系数评估,并基于该评估来决定是否需要增加额外的因素认证。
3.通过持续自适应多因素认证(CAMFA)为企业实施零信任安全环境
持续自适应信任体系能确保企业实现真正意义上的零信任安全环境,而实现持续自适应信任体系的最佳实践则是实施「持续自适应多因素认证」。通过持续自适应多因素认证提供持续风险评估能力来判断外部风险信号和内部数据,同时基于「持续自适应多因素认证」的策略引擎来根据组织设定的安全策略对这些风险信号和访问请求进行评估。
零信任安全模型通常包含一个策略引擎,该策略引擎用以接受风险信号和相关数据,以及配置安全策略和执行安全策略。通过结果判断是否需要触发多因素认证。
4.如何快速为你的企业构建持续自适应多因素认证?
值得注意的是,企业实现持续自适应认证,策略引擎必须能够连接上下文数据与用户和设备等实体关联起来,而保障其决策准确性的前提就是能够拓展到更细粒度的身份上获取更多数据作为依据。同时为了提高拓展性、灵活性以及持续性,该流程必须是自动化执行的。而需要实现上述能力的关键是企业的身份访问与管理系统具有可编排的自动化能力,同时也需要具备元数据能力来统一不同来源上报的行为数据的标准,通过自动化编排能力将整个身份验证流程串联,以实现持续响应的自适应多因素认证。
自适应 MFA 认证策略底层基于 Authing UEBA(用户或实体行为分析技术),可以针对用户行为和用户画像进行深度梳理分析,从而自动选择与当前行为相匹配的 MFA 策略。
在自适应 MFA 认证策略中,Authing UEBA 引擎会根据用户的行为和画像进行分析和判断,例如用户的登录历史、设备信息、IP 地址、地理位置、活动模式等等,从而确定当前用户的身份和风险级别,并选择与之相匹配的 MFA 策略。而持续自适应多因素认证(CAMFA)是在自适应多因素认证(AMFA)的基础上加上 Authing 身份自动化编排引擎。
Authing 持续自适应 MFA 业务架构图
当用户的业务系统接入 Authing 后,从业务系统后端上报的 UEBA 数据到 Authing 系统,通过在 Authing 配置的持续自适应 MFA 安全策略流,在订阅安全策略流发布的事件后。此时自适应安全策略将持续对 MFA 事件进行监听,当接收到 MFA 事件后,将执行相应的安全策略。