分散的ID关键身份安全
据Kim Cameron在Microsoft的架构架构师的说法,统计数据显示,相关的网络攻击正在增加,强调了企业的需求来解决这个问题。
“在过去的一年中,微软Azure Active Directory服务的800,000个高使用租户,在布鲁塞尔的EEMA ISSE 2018网络安全会议上,在800,000次高使用租户中,身份攻击增加了300%。
Mameron表示,大部分问题是使用蛮力攻击,网络钓鱼和违规重播攻击的密码和攻击。
“我们对蛮力攻击的结论[横跨Azure Active Directory用户]是,攻击者在进入一个系统方面取得了1%的成功率,即在他们所做的尝试数量方面是巨大的,”他说。
通过这种方法,Cameron表示,很容易损害组织内的电子邮件帐户,即使帐户不属于任何可以访问公司资源的人,可以收集可用于制作成功网络钓鱼攻击的信息。
“这使攻击者能够将有针对性的电子邮件发送有嵌入式链接的目标电子邮件,它们通常会达到15%的成功率,这可能导致灾难性的漏洞,当有人受到妥协的人遭到获得许多信息时,”他说。
然后,攻击者可以使用Breach Replay软件再次开始整个过程,以便尝试使用他们收集的所有用户名和密码组合访问敏感系统。
“此循环是似乎推动身份攻击的增加[Azure Active Directory用户],2018年5月检测到46亿攻击者驱动的签名,在2018年4月检测到350,000个受损账户,以及2300万高风险企业登录尝试于2018年3月检测到,这是不可持续发展的,“卡梅隆说。
在短期内,他说有几个简单的步骤,即企业可以减少身份攻击量,从实施多因素认证开始。
“让人们使用额外的令牌减少妥协99.99%,这是一个很好的一步,尽管密码重用,灾难性违规的可能性更加难以实现。”
他说,组织可以通过阻止遗留认证来进一步减少攻击面,这减少了妥协,进一步66%。
第三,卡梅伦表示,组织应该自动化其威胁响应能力。“实施风险政策减少了96%的妥协,”他说。“我的主要信息是,这不是一个可持续的情况,在指数上升的袭击方面,像机器学习这样的防御机制的使用是不充分的。”
卡梅伦表示,他认为网络必须“重新平衡”,以便为用户部署复杂的技术,以便他们的系统可以跟踪成功的登录以帮助异常检测系统使用用户的凭据识别登录,但不由该用户执行他们的系统。
“通过这种方式,我们将开始获得调整机器学习算法所需的信息,但由于用户的当前状态,因为用户没有技术可以保护它们免受所有这些问题的技术来保护它们是不可能的。
“我继续相信真正的答案是分散的身份证(DID),这是人们将负责自己身份的概念。人们可以将这些IDS视为由用户自己而不是巨大组织运行的新社交网络。
“并由用户运行自己使他们能够决定他们想要透露哪些信息,以便他们验证的任何服务,”他说。
根据Cameron的说法,可以部署为“渐进式Web应用程序”,需要零安装,因此用户有“无摩擦”。
“DID应用程序可以说OpenID连接[OIDC]就像任何其他社交网络一样,因此对依赖派对或客户来接受这些事情非常低的摩擦,”他说。“如果您查看OIDC规范,一切都已在那里并在自我发出的开放身份提供者方面进行国际批准,以及如何从政府当局或其他人插入已核实索赔。”
IT行业中的一些组织表示,卡梅伦正在努力推进技术架构,其中用户能够用技术“协同工作”的技术,以便以现实的方式处理身份攻击。
“保持调整为此开源原型,但消息不是我们将在此原型中展示的特定选项。相反,我们需要改变我们的思维,只是看我们如何捍卫自己如何重新平衡网络,所以用户可以拥有与组织合作的技术来保护基础设施。“