身份系统将成为下一代信息安全核心
| 2014-08-31 18:11 评论: 1 分享: 1
你的数据在哪里,你能以多快的速度安全地获得数据?
目前,随着Dropbox、Google Apps和iCloud等云计算和移动应用的发展,以及手机银行逐渐深入到我们的日常生活中,这些问题变得越来越重要。数据显示,到2020年,平均每人将拥有约6.5个互联设备。而随着婴儿监视器、汽车和心脏起搏器等设备的联网,我们正面临一个更大的问题:黑客攻破设备,获得敏感信息究竟有多容易?
随着我们的生活越来越多地被展示在互联网上,我们都在担心如何保护个人数据。对企业首席信息官和IT团队来说,关于如何保护公司、合作伙伴和客户的数据及设备,这里存在巨大的挑战。请考虑一下以下的场景:
公司高管前往国外出差,通过不安全的网络接入公司内部系统。员工使用移动设备来登录企业云计算服务,并通过电子邮件、云存储服务和网站来分享敏感信息。在很多情况下,他们并未遵守,甚至并不清楚公司官方的IT安全政策。黑客将绕开传统的安全措施和防火墙,找到系统弱点,窃取密码,从而从公司网络中获得敏感的个人数据。
这样的现实将令企业付出代价,高昂的代价。2013年,一次数据泄露的平均成本为350万美元,较前一年上升15%。目前每年,黑客活动将使美国经济付出1000亿美元的代价,并需要50万个工作岗位来进行应对。黑客正在不断出现,而对传统信息安全软件的投资不再适合应对这些黑客。到2017年,市场对信息安全解决方案的支出将接近500亿美元,其中包括反病毒软件、网络信息安全,以及移动和云计算信息安全等。
当前信息安全行业的存在很大一部分是由于,从30年前开始,在整个网络层面上,我们未能确保身份系统向正确方向发展。我们信息安全模型的很多元素基于这样的理念,即我们应当将已知、可控、可信的用户、设备和应用都放在统一的位置,并在它们周围设置防火墙。但实际上,在云计算和移动的世界中,这样的防火墙已不再适用。
根据Ponemon Institute进行的一项研究,57%的信息安全专家表示,他们的组织没有针对高级攻击进行防护,而63%的人认为,他们无法阻止机密信息的泄露。许多人都承认,他们的防御措施被打开了一个缺口。那么现在应当怎么办?
取消密码
在我们应对信息安全犯罪者的过程中,最薄弱的一环在于密码。由于缺乏强大、持续而统一的互联网身份认证系统,所有应用和设备都被迫要求用户使用用户名和密码来登录。这种多余、浪费,最终存在缺陷的现实机制带来了上亿个弱点,很容易被窃取,从而导致黑客入侵我们的网络、应用和数据。
麻省理工学院教授埃默里图斯·费尔南多·科巴托(Emeritus Fernando Corbató)是计算机密码的发明人。即使是他也承认,这样的机制存在缺陷,因为强大的密码很难记忆。因此,大部分用户在多个帐户中重复使用同一密码,这使得黑客容易实现更大的破坏。根据Verizon的2013年网络调查数据泄露报告,76%的网络入侵事件源于虚弱的密码或被窃取的密码。这带来了巨大的经济损失。市场研究公司Forrester Research指出,在线服务行业每年由于密码泄露而遭到的损失超过2亿美元。
让我们先停下来做一个计算。尽管每年向IT信息安全产品投入500亿美元,但企业每年与密码相关的损失仍高达2000亿美元。这样的数字描绘了一幅清晰的画面:传统的IT信息安全和身份管理方式遭遇了失败。那么,取消密码是否确实是一个有竞争力的解决方案?
我们可以通过部署多种技术来取消密码,例如iPhone正在推动的指纹认证等生物识别技术、USB安全令牌、可信平台模块(TPM)、嵌入式安全元件(eSE),以及智能卡。但到目前为止,没有任何一种方式能彻底挽救局面。这是为什么?这是因为,我们还没有在整个互联网范围内实现身份的联网,因此无法使用统一的身份认证系统来访问所有产品和服务,包括内部网络、互联网接入、移动设备和云计算应用。信息安全的中心应当在于身份,而不是一次性的插件。
在我们的日常生活中,密码已经非常普遍,而经过过去多年的训练,密码也成为了我们一些基本行为的根源。因此,消除密码似乎是一项不可能完成的任务。不过,仍有一些公司认为,身份系统代表了未来。他们正在重新分配预算,将关注重点从传统的信息安全系统转向身份系统。他们意识到,身份不仅提供了更好的安全性,同时也将改变当代企业运转的方式。他们认为,防御的边界不仅限于防火墙,而是应当扩大至云计算平台,以及所有访问应用的终端用户设备,包括笔记本、平板电脑和手机。
这些充满前瞻性的公司有哪些?美国前五大银行之一已开始尝试减少对密码的依赖。你仍需要使用传统的用户名和密码来登录,而一旦你进入系统,你还需要登录该公司网络中的大量程序。在这里,你不再需要重定向,或是进行多次登录。
例如,当你申请新支票时,一家集成的解决方案支付服务提供商将处理这一申请,而你无需再输入登录信息。如果你使用在线投资工具,那么将被转向另一个服务,但不会离开这家银行的网站。如果希望参与现金回馈奖励活动,那么系统将展示不同的项目合作伙伴,帮助你了解数百家零售商的优惠活动。如果你选择“无纸化”,接受电子账单,那么你无需离开银行网站,即可获得不同提供商的帐户信息。
在所有这些服务中,身份是关键。无论服务提供商是谁,身份都能将这些服务联系在一起。在企业内部,身份信息使员工和供应商能获得适合他们角色的不同应用。如果企业能确保员工身份的准确性,那么将可以给员工提供数十种甚至上百种服务,同时不需要员工进行反复的登入、登出操作。
请想象一下利用这一技术去优化效率软件。基于在公司内部的角色,员工可以获得他们需要的信息,同时也只能看到他们需要的信息。在这样的场景下,企业可以安全地整合所有合作伙伴和供应商。这是我所期待的现代化企业。在不远的将来,我们将看到,这将成为一种标准。
改变将带来巨大的机遇
随着云计算和移动服务的发展,我们正看到信息安全行业内部的预算调整。投资者正试图利用市场机会,改变并保障当代企业的安全。自2009年以来,开发独特信息安全技术的相关公司已经获得了超过29亿美元投资。2014年第一季度,信息安全市场的26家新公司获得了超过1.5亿美元投资。
未来的挑战和机遇在于为可信的用户、设备和应用搭建框架,将它们安全地联系在一起。这将使身份系统和信息安全系统趋向统一。身份系统将成为新的围墙。(译:维金)