来源 :奇安信集团2024-01-04
近日,Tenable在其社区宣布完成与奇安信PAM的适配集成。通过本次适配,Tenable的漏洞扫描工具可以从奇安信PAM解决方案中获取凭据,用于目标节点自动化身份验证。该能力将在Tenable的拳头产品Tenable Vulnerability Management和Nessus Manager中得到实现并将在近期正式对外发布。
目前,我们已经在国内某商业银行中完成首个合作案例,相信在后续的客户案例中将会看到越来越多的Tenable和奇安信PAM合作的身影。
01
那么,为什么需要保护应用程序的凭据?
时至今日,企业IT数字化转型正在加速,与大多数组织一样,您可能在过去几年中也加快了组织数字化建设进程。基础设施迁移上云、持续集成和交付(CI/CD)等等,这些变革性IT改造计划能够大幅度提高企业的运营效率,并构建更具弹性的组织IT架构。但同时,这些新技术新理念的运用也导致诸如应用程序和RPA(机器人流程自动化)机器人数量的大幅增加,而用于验证这些机器身份的凭据(SSH密钥、API密钥和其他凭据)同样如此。
非人类身份或机器身份的数量正以指数级增长,这些身份同样需要凭据来执行其任务。为了保护企业资产,特权凭据的保护必须覆盖人类和非人类身份,并将特权凭据管理作为组织全面身份安全计划的核心组成部分。
?平均每位员工访问超过30个应用程序;
?机器身份的数量已经达到人类身份的45倍以上。
02
特权凭据无处不在特权凭据对攻击者非常有吸引力。它们分散在IT环境中的各类资产中,从主机到DevOps工具再到云原生技术,跟踪所有特权凭据极其困难,而要确保所有特权凭据的安全性更是难上加难。
虽然部分组织的安全团队在保护生产环境中的特权凭据方面有所斩获,但SolarWinds等事件表明,攻击者正在“向左”转向攻击组织的开发和测试环境(当然,生产环境的特权风险依旧显著)。在DevOps流程中,存在各种强大的自动化编排工具,他们的权限巨大,达到了在几乎没有人类干预的情况下就能访问到组织大量敏感资源的地步。
例如,CI/CD工具(如Ansible)和用于运行自动化测试和构建的工具(如Jenkins)是可以完全控制开发测试环境的“T0级”工具。然而,在这些环境中,安全控制往往有限。如果不对这些工具应用严加管控,组织将无法保护自己的应用程序,更不用说更庞大的软件供应链安全了。为了解决这些安全风险,组织需要在开发生命周期的每个阶段以及流程中涵盖的各类应用程序组合中保护特权凭据。
? 71%的组织遭受了与软件供应链相关的成功攻击,导致数据丢失或资产受损。
03
特权凭据管理需要可见性、自动化和协作
很可能在您的企业中已经存在大量的应用程序凭据。但很可能这些凭据被个别项目团队孤立或分散在多个工具中,形成了凭据扩散。安全或开发团队可能依赖手动流程来管理和轮换凭据,这会消耗宝贵的时间并减慢开发速度。
而且,在涉及应用程序开发和部署的各个团队之间协调凭据管理活动可能很困难,包括开发人员、运维人员、云架构师等。更有效和全面的秘密管理策略取决于三个主要支柱:可见性、自动化和协作。
可见性
组织需要对需要进行特权访问的各类应用程序类型以及它们的所有相关凭据进行全面的清单梳理。但是,当凭据在各个团队和项目中以不同方式进行管理(87%的组织表示是这种情况)时,凭据扩散可能会使梳理变得困难,同时还会引入操作复杂性。集中的凭据管理视图可以帮助组织掌握这些凭据,并全面了解组织的数字身份情况。
自动化
不能拖缓组织开发团队的研发效率,当需要部署新的应用程序或功能时,特权凭据管理的相关活动不能拖慢他们的速度。通过自动化凭据管理,例如自动轮换凭据,组织可以使开发人员更容易按照正确的方式开展工作,而不会牺牲速度或通过捷径(如残留漏洞,带病上线)以满足开发截止时间。
协作
如上所述,有许多不同的团队参与应用程序的开发和部署。孤立可能导致遗漏重要的特权凭据管理任务。建立更高效的协作流程可以帮助团队对齐,并在整个组织中提供一致的特权访问安全实践。
04
最后的思考:为什么在整个企业中保护应用程序凭据至关重要
在构建全面的身份安全计划时,确保机器身份和应用程序凭据的安全性——无论它们存在于何处——对于减少安全漏洞、最小化攻击面和简化运营至关重要。但它不能拖慢开发团队的速度,毕竟速度是商业的要素。
正确的集中化特权凭据管理将开发、运营和安全团队聚集在一起,这将推动企业走在数字创新的前沿。