国外一位名为莫雷·哈伯的作者写了关于网络安全三大支柱的三本书:
一本是从身份角度出发,考察攻击向量,设计IAM(身份与访问管理)方案的《身份攻击向量》;一本是从权限角度出发,考察攻击向量,设计PAM(特权访问管理)方案的《特权攻击向量》;还有一本是从资产角度出发,考察攻击向量,设计漏洞管理方案的《资产攻击向量》。
而这三本书的关键词身份、特权、资产,也被作者视为当前网络安全的三大支柱。
基于身份(Identity)的安防措施是用于保护用户的身份、帐户以及凭证;基于权限(Privilege)的方案主要是对身份或帐户进行访问控制;而资产(Asset)则是对一个身份所使用的资源的保护。
事实上,如果将目前所有的网络安全解决方案进行一个分组的过程,就会发现每个方案都可以被归纳到这三个关键词下面。
莫雷·哈伯认为,一个好的安全解决方案应该同时涵盖这三个要素,三者的整合也至关重要。如果一个安全解决方案无法与其它方案兼容,也无法使三个要素互通,就无法有效地应对现代新型网络攻击的威胁。
例如,当资产本身可被漏洞利用时,身份也难以得到保护。资产攻击的方法一般都是攻击漏洞和配置缺陷。防御方法是漏洞管理、补丁管理、配置管理等方式,但现实中很难面面俱到。
同理,如果一个安全厂商没有促进三大支柱的互操作性和数据交换的集成/整合策略,那么它就是一个单点解决方案。例如,传统的杀毒软件,由于它无法共享和获取用户的身份信息和身份的上下文。尽管它能够在检测到威胁时向用户报告资产的感染情况,却无法判断恶意软件正在使用何种身份或权限对目标资产进行的入侵。
当前,勒索软件、机器人(Bot)、蠕虫和其他恶意软件是现代攻击的主要手段。这是一种横向移动的方式。横向移动是指从一种资源转向另一种资源并在这些资源之间持续跳转的能力。所谓“资源”,不仅指资产(计算机、应用程序、操作系统、虚拟机等),还包括账户和身份。
组织中的一个用户通常拥有多个帐户和每个帐户的多项权限。理解身份与其帐户之间、帐户与其权限之间、权限与其保护的数据之间的三向关系是关键。如果企业只将IAM计划的重点放在帐户级别(而非身份级别)的管理上,就无法做出一个整体可见性的设置“谁有权访问什么”架设。
伴随着云、大、物、移的趋势,必须要确保在企业范围内看见用户的身份和访问数据,进行全生命周期的身份治理。通过在身份的整个生命周期中嵌入策略和控制,才能够增强组织的自动化、持续的合规性、降低组织的安全风险。