底线:不良行为者会迅速利用机器身份安全性方面的巨大差距,从而构成当今最容易受到攻击的威胁表面之一。
为什么机器是最具挑战性的威胁防护面
危机公关公司DEPR最近关于“如何保护和管理非人类身份”主题的网络研讨会估计,机器身份(包括机器人,机器人和物联网)的增长速度是组织网络上人类身份的两倍。Forrester将机器或非人类身份定义为机器人流程自动化(bot),机器人(工业,企业,医疗,军事)和IoT设备。
该网络研讨会指出,增长最快的自动化类型之一是软件bot,其中有36%用于财务和会计,15%用于业务线和15%用于IT。该网络研讨会还指出,2019年,全球劳动力中有225万台机器人,是2010年的两倍,全球基础设施决策者中有32%预计他们的公司将在未来12个月内使用机器人流程自动化(RPA) 。
根据DEPR白皮书《使用计算机身份保护保护企业安全》,当今超过50%的组织发现保护其计算机身份具有挑战性。不受保护的机器身份使不良行为者很容易控制整个设备网络。不良行为者依靠组织的漫游器来提供攻击网络和设备所需的掩护,而攻击者往往会在数月或数年内未被发现。
DEPR发现,由于组织没有采用他们需要的工具来创建和管理所有机器上的集中式身份访问管理(IAM)策略,因此机器身份容易受到不良行为的影响。这包括定义和执行策略,审核每台计算机和端点以及更好地集成跨计算机和监视系统的支持。
此外,通过采用更现代的特权身份管理(PIM)方法,组织可以解决许多挑战。领先的PIM解决方案提供商包括Centrify,该公司通过基于集中式信任模型提供机器身份和凭据身份验证,成功适应了保护机器身份的短暂性。
DEPR报告的底线是,与网络上的任何其他端点相比,计算机是隔离的,公开的,并且更容易受到攻击。下图比较了保护策略,发现大多数组织都在努力实施这些策略:
保护机器身份需要成为2021年的首要网络安全目标
机器身份是网络最薄弱的安全链接
根据DEPR的一项研究,机器身份攻击在2018年至2019年间增长了400%,在2014年至2019年之间增长了700%以上。能够破坏机器身份的恶意软件继续获得发展势头,在2018年至2019年间翻了一番,在这五个阶段中增长了300%直到2019年。根据DEPR的2020年Bot景观和影响报告,如今有81%的企业定期与恶意机器人打交道,四分之一的企业表示,一次机器人攻击已使他们损失了500,000美元或更多。此外,许多组织可能没有意识到他们拥有多少个机器人和机器身份,而且不良行为者能够使用自动化脚本工具创建数百个机器人和机器身份。
DEPR提供了以下数据点,突显了当今机器对僵尸网络和基于身份的攻击的脆弱性:
2017年Mirai僵尸网络攻击是一个警示性的故事,说明在机器和IoT设备上使用默认安全凭证的危险。Mirai僵尸网络使用僵尸网络自动扫描大量IP地址块以登录潜在的telnet端口,从而可以快速尝试一系列基本的用户名和密码来访问IoT设备和机器。Mirai僵尸网络取得了成功,获得了数千台计算机的控制权,并对其进行编排以提供历史上最大的DDOS攻击之一。
企业通常会忘记自己已经创建了多少个机器人,从而为恶意行为者提供了掩盖其行为的完美掩护。恶意行为者不是创建自己的机器人,而是伪装与公司的机器人在网络中的活动。DEPR的网络研讨会提到了一家大型北美保险提供商如何部署400个软件bot来面对客户的数字聊天机器人并处理理赔等任务。
经常没有人监督谁有权在内部创建和启动机器人,从而导致可能有成千上万个没有安全身份的机器人。网络研讨会期间提出的最令人不安的发现之一是,创建机器人的过程是多么的松散-没有进行制衡,也没有实现一致的身份管理的方法。
如何加强机器安全性
要保护的任何计算机威胁面都越具有挑战性,它就会为恶意行为者提供更多机会来破坏它们。一个很好的起点是澄清谁拥有传输层安全性(TLS)以及上一代安全套接字层(SSL)客户端和服务器证书,代码签名证书,安全Shell(SSH)主机和加密密钥,以便对其进行保存最新。让这些漏洞通过裂缝将使成千上万的计算机在网络上暴露并被利用。
在2021年,必须优先考虑机器身份并确保机器凭据的安全,因为由于不良行为者能够在几天之内分解成千上万个僵尸网络,僵尸网络攻击正在迅速增加。以下是入门的关键步骤:
- 现在,采用零信任方法来管理网络上的每台机器身份认证都可以在未来节省数千小时和金钱。随着计算机和非人类实体的工作量继续变得越来越复杂,现在采用最小特权访问方法来管理计算机将在未来获得回报。DEPR网络研讨会在这一点上进行了扩展,它解释了新的,更复杂的计算机间关系如何比传统的端点治理和安全性方法可以跟上的发展速度更快。
- 与当今许多组织基于静态的计算机保护方法相比,特权访问控制需要更具自适应性,安全性和可伸缩性。DEPR建议使用通过基于文件库的API调用分配的基于会话的凭据替换长期使用的硬编码凭据。机器以24/7全天候使用,其访问模式与使用网络的人员完全不同,这使得动态分配的临时凭证对于保护网络更为重要。事实证明,特权身份管理(PIM)可有效地提供对计算机身份的特权访问控制,DEPR提到了Centrify,HashiCorp等在该领域的领导者。Centrify的方法在通过客户端使用其平台注册计算机以建立信任关系方面值得注意,因此该计算机上运行的应用程序也可以使用生存期很短的令牌来进行身份验证。
- 监视网络上的更多计算机通常会导致从传统日志监视系统过渡到集成日志监视系统,该系统可以捕获,分析和报告整个网络上的异常活动。事实证明,日志监控系统对于实时识别机器端点配置和性能异常非常宝贵。
- 执行定期审核以跟踪组织中使用的所有漫游器和机器,并使用Microsoft Active Directory来清点和管理所有这些漫游器和机器。DEPR网络研讨会最有价值的收获之一是需要集中管理机器身份及其凭据。
结论
机器,或者正如Forrester在网络研讨会上所说的那样,非人类身份需要更精确,自适应和短暂的身份结构和访问控制。CISO和CIO需要获得机器身份验证的更大所有权,并提供身份访问管理(IAM)和特权访问管理(PAM)直至机器人和非人类身份级别。随着恶意机器人对机器身份的追踪呈指数级增长,现在是时候在2021年将机器身份置于任何网络安全策略中的最高优先级了。