隨著雲端身分識別供應商(IdP)的使用日漸普及,我們都意識到這樣做會擴大系統遭攻擊的風險面向,但究竟會增加多少呢?答案似乎是難以確定的。
正如籃球巨星邁克爾·喬丹所說:"掌握基本功,你做任何事都會變得更好。"在探討如何安全地運用雲端身分管理之前,我們有必要回到基礎,承認它的風險。
雲端IdP與攻擊面風險擴增
IdP會在雲端伺服器上儲存使用者的網路存取憑證,轉而使用雲端身分管理就意味著有更多途徑讓攻擊者取得系統的"鑰匙"。
首先,您無法完全控制這些憑證。
此外,您的網路更容易遭受各種攻擊,例如勒索軟體。您不僅要擔心自己的使用者,還要擔心平台上數以萬計的其他使用者點選了釣魚連結。
攻擊面會擴大到何種程度?
2023年10月,Okta資安團隊發現有駭客利用竊取的憑證存取公司的支援案例管理系統。駭客藉此進入內部系統,並使用最近支援案例的有效會話權杖存取Okta客戶上傳的檔案。
會話權杖一旦被攻擊者利用,風險就會大增,因為這個分散式存取點可能會發放大量的存取權限給未經授權的使用者。
舉例如下:
會話權杖本身:在這次入侵事件中,攻客取得了管理員的會話權杖,不僅能輕易劫持網路帳號存取權,還可存取透過SAML單一簽入整合的更多商業應用程式。
延伸存取:攻擊者利用從一個客戶竊取的會話權杖,存取了數十個IdP客戶的網路和資料。
橫向移動:一個權杖就讓攻擊者可在平台內的應用程式間游移,並輕易將攻擊範圍擴及雲端的其他區域。
一個已被駭客入侵的使用者帳號,加上會話權杖安全性等各種遭破解的機制,就能打開許多網路滲透的可能性。
解決方案為何?
降低雲端IdP導致的攻擊面擴增風險的第一步,就是承認存在這些風險及潛在的漏洞。
如果您使用雲端IdP,可啟用多重身份驗證(MFA),並針對管理員會話提供透明度的存取控管措施,以提高會話權杖的安全性。
健全的以角色為基礎的存取控管也能協助您阻擋未經授權的存取,即使攻擊者擁有有效憑證。
如果您尚未採用IdP,但組織正計劃朝這個方向邁進,則最好是在轉移之前先規劃風險因應措施。例如,您可以選用不會在雲端儲存使用者網路存取憑證的身分識別供應商。
對於某些組織而言,讓使用者安全地存取雲端資源,同時將身分管理保留在內部部署環境,或許是更好的選擇。
是時候重新思考如何管理雲端身分認證風險了嗎?
IT主管應該為這樣的事實做好準備:我們可能無法完全評估雲端身分認證會擴增多少攻擊面,而且未來也難以確定。這很重要,原因有一個:風險管理。如果不知道風險存在,就很難加以管理。
當資訊安全長官承受了前所未有的壓力,必須證明所有存取點都受到保護時,也許是時候重新評估組織能承擔多少風險了。雖然雲端IdP能提供可擴展的存取管理,但會大幅擴大組織的攻擊面,尤其是涉及會話權杖等分散式存取點的情況下。
這些資安事件可能正是一記醒鐘,讓我們意識到在不完全了解風險的情況下,我們可能是太急於採用雲端身分識別了。
詳情請看:
How much does cloud-based identity expand your attack surface?