身份验证仍然是CISO最头疼的难题
发布时间:2022-04-09 04:01:49 所属栏目:安全 来源:互联网
导读:身份验证仍然是CISO面临的最艰巨的挑战之一。对于安全领导者来说,这种长期存在的基本安全要素经常让他们头痛不已,因为他们需要识别和授权通常分布在不同地区、边界和时区的用户及设备。与此同时,随着企业日趋敏捷和数字化,与无效的身份验证策略和流程相
|
身份验证仍然是CISO面临的最艰巨的挑战之一。对于安全领导者来说,这种长期存在的基本安全要素经常让他们头痛不已,因为他们需要识别和授权通常分布在不同地区、边界和时区的用户及设备。与此同时,随着企业日趋敏捷和数字化,与无效的身份验证策略和流程相关的持续风险势必威胁企业安全,这就需要安全团队重新考虑现代环境中的身份验证方法。 无效授权会给企业带来重大风险,其结果可能体现在特权用户、系统/机器、服务和设备上,可能导致未经授权的访问和数据泄露。在DevOps生态系统中,API组件可能存在多个漏洞,例如损坏的对象级授权。无效的授权还会引入泄漏的API,进而导致隐私受损以及勒索软件攻击,为企业带来罚款威胁。 事实上,数据是每个企业拥有的最具价值的资产之一,如果无法控制谁可以访问它,那么企业必将面临风险。我们经常通过勒索软件及其带来的巨额支付需求,才清楚地意识到身份验证和访问授权对现实世界的影响。控制谁可以访问数据以及与谁共享数据,是每个企业成功的基础。 勒索软件组织LAPSUS$入侵Okta(基于云的身份验证软件提供商)内部系统,并造成数据泄露的案例就是最好的证明。据报道,LAPSUS$ 并未直接针对Okta的数据库,而是针对Okta客户以获取对系统的超级用户访问权限。出于谨慎考虑,Okta决定重置过去四个月内更改密码的任何员工的Okta凭据。 Synopsys Software Integrity Group首席科学家Sammy Migues倡导努力实现无密码身份验证,并确保API到API(API-to-API)身份验证与员工访问敏感文件一样受到重视。他建议在规划身份验证策略时使用NIST 800-63B和类似指南。此外,要了解针对身份验证服务的攻击无法避免,因此请在各处部署velocity检查装置以减缓自动攻击。 在Netskope公司的CISO Lamont Orange看来,让治理、风险和合规(GRC)团队参与进来,以帮助提供现代身份验证的要求;持续测试以识别弱点;通过部署的解决方案重新获得可见性和上下文分析,以及积极地对员工进行相关威胁的教育和培训,这些也是可行的重要最佳实践。 (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐