CyberArk荣幸宣布 荣获 2022 年 Gartner® Magic Quadrant™ 特权访问管理领导者奖项¹，凭借其在执行能力及愿景完整性方面获得最佳成绩而连续第四年荣获该奖。

我们还要感谢全球员工始终将客户放在首位，并感谢他们杰出的奉献精神。这一殊荣因为有你们。Gartner认为：“虽然核心PAM产品仍然是重要的安全工具，但市场需求的转变带来了对云的新重视，从PAM工具的SaaS交付，到扩展PAM工具中的云安全功能，包括密钥管理和CIEM。²”

感谢我们的客户和合作伙伴激励推动着我们每天无所畏惧地前进，进行创新并成为他们值得信赖的顾问。 我们还要感谢全球员工始终将客户放在首位，并感谢他们杰出的奉献精神。 这一殊荣因为有你们。

CyberArk的PAM观点： 我们的历史和身份安全的基础中心

特权访问管理是CyberArk建立的坚实基础 — 这是我们的宗旨，也是我们自豪地向市场推出的产品。 从一开始，CyberArk就带来了安全第一的思维方式，旨在帮助全球组织保护动态企业的核心。 随着我们作为一个组织的不断发展，特权访问管理作为我们的核心仍然稳固地存在。如今，超过7500家客户，包括大多数财富500强公司和全球许多政府组织，都信任CyberArk来保护他们最宝贵的资产。 如今，超过7500家客户，包括大多数财富500强公司和全球许多政府组织，都信任CyberArk来保护他们最宝贵的资产。

以特权访问管理为基础，随着整体 身份安全平台 的发展，我们已经变得更加强大，能够实现数字化转型并帮助阻止更复杂的网络威胁。 想象一下，一个巨大的用户身份群 — 人类和机器，从家庭、办公室、联合办公空间和公共交通访问各种企业资源，并跨越数据中心、运营技术以及混合、多云和SaaS环境。 每个身份都是攻击者的目标， 每个身份都可以具有强大的特权访问。 正因为如此，每个身份都需要强有力的安全保护。

自从CyberArk将我们扩展的身份安全愿景和战略付诸实施以来，我们不断提高创新标准，并沿着路线图进一步发展。
我们相信身份安全是加强网络弹性和释放更高运营效率的关键 —— 将特权访问管理、访问管理和身份管理统一在一个平台中，可以实现任何身份的无缝、安全访问，从任何地方使用任何设备对任何资源或环境。 随着各种规模和类型的组织朝着零信任的未来迈进，动态实施策略、身份验证和授权的能力将有助于铺平道路。

我们认为，始终如一的执行最小权限，通过持续和即时访问、会话隔离和监视、提升和委派以及凭据和机密管理，从未如此重要。 当今的挑战（以及即将到来的挑战）需要一种以智能权限控制为中心的高级统一方法，同时实现所有身份的无缝、安全访问，并通过持续的威胁检测和保护灵活地自动化身份生命周期。 这就是身份安全，我们相信现在是拥抱它的时刻了。

CyberArk专注于执行力。 本月初，在 CyberArk Impact 2022 上，我们宣布了 特权访问管理、身份管理、云特权安全和机密管理方面的新创新和重大进展，使组织能够充满信心地以更低的风险加速业务转型。 呼应 CyberArk创始人，董事长兼首席执行官Udi Mokady说，“我们才刚刚开始。”

立即下载免费报告以了解更多详情：

Gartner® Magic Quadrant™ 2022 年特权存取管理

许多网络安全的概念很复杂，往往难以向非技术性受众解释。Kerberoasting？Golden SAML？嗯？这使得安全领导者很难传达紧迫感并获得利益相关者对重要项目的支持。

让企业利益相关者和消费者认识保护个人和专业数字身份的重要性，正是身份定义安全联盟（IDSA）和国家网络安全联盟设立身份管理日（#IDMgmtDay2022）的原因。当您在 4 月 12 日着手开展意识建设计划时，考虑从 “债务 “的角度来看待日益严重的数字身份问题–这是一个既被普遍理解又令人恐惧的概念。—

根据今天发布的《CyberArk 2022年身份安全威胁态势报告》*的调查结果，许多企业由于优先考虑数字计划，例如加速云迁移，开发新的数字服务和支持随时随地工作的模式，而推迟了以身份为重点的安全保护措施，从而更深入地陷入网络安全债务。

不断上升的网络安全债务可能会阻碍创新和未来的成功

无论是大手大脚地去度个假，购买新房还是为客户推出新的交互式应用程序，您都可以通过将“付款”推迟到明天来承担债务，以获得您今天需要（或想要）的东西。但是，俗话说：“债务就像其他陷阱一样：容易陷入，但很难摆脱。”

网络安全债务是一种技术债务—这个术语首先由计算机程序员Ward Cunningham提出的，指重新设计一个从一开始就没有完全或适当设计的解决方案的未来成本。网络安全债务具体是指随着新系统和技术的不断增加，在组织的IT环境中积累的未解决的安全漏洞。当网络安全债务没有及时偿还时（换句话说，如果安全问题没有立即得到解决），”利息 “就会迅速积累，使得在未来修复这些短板变得困难和昂贵。

陷入网络安全债务的泥潭，最终导致用于维持企业生产和效率的专用资源减少。

企业数字化转型的权衡

虽然波动性仍然是企业的最大商业挑战，但不能选择停滞不前。几乎每个接受调查的组织（99%）在过去12个月内都加快了业务或IT计划，以推动持续的弹性和差异化竞争。

但是，尤其是在涉及大规模技术计划时，变革性项目很少能在不引起波动性的情况下实现。每一个项目都创建了大量新的相互关联的数字身份——网络空间的虚拟身份证——每个身份都包含与之相连的人或机器的凭据。这些数字身份用于促进交互和代理访问，通常是访问敏感的企业数据和执行工作或功能所需的资产。—

一个高利息的数字身份债务困境

威胁参与者或恶意内部人员只需一个受损的身份即可发起攻击，并开始提升特权，以便更深入地进入一个环境中去寻找有价值的资产。这可能就是为什么受访者将获取凭据列为其第一大风险领域的原因。然而，79%的受访者表示，他们的组织没有优先保护关键数据和资产。相反，他们正在全力推进受访者认为可能带来重大风险的举措。

这种不和谐的现象造成了大量的网络安全债务，随着“利息”以新的非管理的身份在每个主要的IT基础设施组件中积累，这种债务还在继续增加。

这个身份管理日，制定可行的回报计划，以解决网络安全债务问题

正如我们的个人生活一样，一定程度的债务有时是必要的。如果你的车坏了，你需要一辆车来上下班，你可能被迫贷款。同样，许多组织别无选择，只能快速跟踪能够在大流行驱动的挑战中保持运营的项目，并在此过程中进行一些安全权衡。

现在的关键是负责任地处理这一债务，以免余额变得过于庞大，或者更糟糕的是，由于安全决策不佳而未能以技术变革的速度发展，导致组织面临“破产”。

值得称道的是，一些受访者承诺要扭转局面。值得注意的是，几乎所有受访者都接受了“什么都不相信，验证一切”的零信任网络安全模型。其中一半（50%）的受访者将身份安全工具的实施作为他们铺平道路的三大举措之一。

面对持续的勒索软件攻击和其他新出现的威胁，他们正在更全面地处理网络安全债务和降低风险的能力—不仅强调重要的技术控制，如多因素身份验证（MFA）和最小特权，而且还强调以人为本的举措，如安全意识培训，将安全意识行为植入到他们的文化。这种纵深防御方法反映了一种普遍的“假设违规”心态，82%的受访者表示他们已经接受了这种心态。

摆脱网络安全债务需要时间，对于许多组织来说，还有很多工作要做。制定基于风险的计划可以帮助他们找到快速、高回报“付款”的方法，然后遵循可行的时间表来减少剩余的网络安全债务。有了一个可靠的以身份为中心的风险计划，组织可以有效地加强对新出现的威胁的防御，同时推进关键举措，以推动其业务向前发展。

要了解更多信息，请下载CyberArk 2022身份安全威胁形势报告。

*《CyberArk 2022 年身份安全威胁形势报告》调查了全球所有私营和公共部门中至少500人及以上的组织的1750项IT安全决策。

主流身份和访问管理供应商 Okta 已证实其于 2022 年 1 月在通过第三方支持工程师的机器发起的一次有针对性的网络攻击中遭受入侵。3 月 22 日，在犯罪集团 Lapsus$ 在线上分享截图后，该证实信息发布。在此之前，还发生了涉及同一威胁行为体的另一起广受关注的事件。
这一事件的发生令人警醒，它意味着我们都是此类威胁的目标，无一例外——不存在简单解决办法。没有任何一家公司、解决方案或技术能够独立地阻止攻击者花样百出的新招数。作为网络卫士，我们必须在事件发生时公开并迅速地进行沟通，记住，安全是一项“团体运动”，然后，我们需要以肩负共同使命以及安全优先的心态携手面对此类威胁。
下文概述了到目前为止对此事件的情况说明，以及在身份提供商 (IdP)（无论您使用的是哪一家）被入侵后，您需要采取的一些实际步骤。

针对 Okta 漏洞的简要回顾

威胁行为体在 2022 年 1 月入侵了 Okta 第三方支持工程师的终端，并获得了 Okta 客户数据的访问权限。该问题很快被发现，但直到 2022 年 3 月 22 日 Lapsus$ 在网上发布截图后，事件才得以公开。Okta 随后证实了此次入侵。使用 Okta 进行单点登录和作为身份提供商的客户可能会受到此事件的影响。
Lapsus$ 犯罪集团因其目标之高调和非常规的手段而迅速变得臭名昭著。虽然潜在动机和整体损失情况尚不明确，但有两件事是可以确定的：身份入侵在这些事件中占据主导作用，而受害的主流科技公司并不是此类攻击唯一的预期目标。在 Okta 事件中， Lapsus$ 明确表示，其实际目标是 Okta 的客户。

随着恶意网络活动的增加，每一个组织都迫切需要主动承担漏洞，强化自身系统并做好迎战潜在攻击的准备，无论这些攻击是直接针对贵组织还是在最初时影响第三方提供商。
身份提供商应被视为第 0 层资产，并受到相应保护。如果贵组织的身份提供商遭受入侵，或者您怀疑其已经遭受入侵，那么应立即采取以下四个步骤，以最大程度地减少暴露和影响。

知晓或怀疑身份提供商已遭到入侵后，您应立即采取的 4 个步骤

随着恶意网络活动的增加，每一个组织都迫切需要主动承担漏洞，强化自身系统并做好迎战潜在攻击的准备，无论这些攻击是直接针对贵组织还是在最初时影响第三方提供商。
身份提供商应被视为第 0 层资产，并受到相应保护。如果贵组织的身份提供商遭受入侵，或者您怀疑其已经遭受入侵，那么应立即采取以下四个步骤，以最大程度地减少暴露和影响。

第 1 步：细致检查（从报告的攻击日期以来）所做的配置更改。.一项简单的配置更改，即可切换整个身份验证流，并为攻击者提供持久性访问权限。请留意以下具体的入侵指标：

• 任何新的 MFA 设备部署或设备变更。
• MFA 设置变更：例如，威胁行为体可以通过盗用身份和用户密码来禁用某些应用程序的 MFA，在绕过 MFA 的同时获得对这些应用程序的完全访问权限。
• 身份提供商 (IdP) 配置变更：若 URI（SSO 解决方案和 IdP 之间的连接）和相关配置发生变更，即便用户的密码发生更改，威胁行为体也可获得对应用程序和服务的持久访问。
• 密码和 MFA 重置尝试（尤其是针对特权帐户和管理帐户）。假设所有密码重置尝试（无论其成功与否）均可疑，并重置所有密码。
• 权限和角色变更以及新用户的创建。如果您的 IdP 解决方案提供基于风险的访问和基于异常访问的风险评分机制，请对系统中的所有高风险事件和高风险用户进行评估。比如，这些事件或许是通过 IP、位置、设备或不可能的旅行进行异常访问的结果。在目标应用程序自身中查找这些变化也很重要。检测在这些应用程序中所创建的，允许直接登录到这些目标应用程序的影子管理员可能更为困难。如果贵组织采用了身份治理和管理 (IGA) 平台，那么，现在是使用它进行认证练习的最佳时机。

第 2 步：查找任何无法识别或恶意的应用程序。如果威胁行为体可访问 SSO 平台，那么就能够添加恶意应用程序，或替换现有的应用程序，从而伪装成合法应用程序。应该为新添加的应用程序实施一个治理流程，例如批准流程或向多个管理员发送通知。恶意应用程序可能会在获得用户同意后滥用分配给它们的权限。例如，恶意应用程序可能会请求读取 Outlook 上的电子邮件或访问基于云的存储。

第 3 步：实施最小特权以最大限度地减少威胁行为体通过获取不同应用程序和服务的访问令牌，而造成的潜在损害及获得的访问权限。考虑实施即时访问和动态提升功能，以摒弃长期访问权限，并审查最小特权基础（如从终端删除本地管理员）。这也意味着实施符合最高身份验证器保证级别 (AAL3) 的 MFA 策略，以访问关键的应用程序。

第 4 步：限制特定和受管设备对敏感应用程序的访问，以帮助限制对这些应用程序的访问，包括在 MFA 之上添加多重访问条件（例如 IP 和设备健康状况）。还应采用最小特权管理实践，如限制 RDP 和远程访问仅访问服务台、特权访问管理解决方案 (PAM)、供应商特权访问和管理子网。

安全优先之路的未来

在当今的网络威胁环境中，我们需要抱有安全优先的心态，并全力以赴。我们时刻准备与我们的安全合作伙伴及同行携手，围绕共同使命，团结一致，保护和捍卫我们最宝贵的财产。

我们将继续监测处于不断变化之中的情况，并在获得更多信息时提供更新。欲了解更多信息，请访问我们的网页并加入我们的网络研讨会。

欲了解我们如何不断增强自身的网络安全态势，请访问CyberArk 信任中心。

尽管人们普遍认为“边界已经消逝”，但当前的现实迫使许多组织以比计划更快的速度改进其安全方法。

传统防火墙和基于 VPN 的安全模式并非用于保护当今高度分散的 IT 环境。随着组织采用云和混合基础架构，接纳越来越多的各种 SaaS 应用程序，以及鼓励员工远程工作，身份显然已成为唯一的真实边界。如今，企业安全是否有效，取决于安全管理、验证身份以及控制每个人、应用程序和机器的特权访问的能力——无论他们是在网络边界之内还是之外。在当今的环境中，所有身份都可能在某些条件下获得特权，这取决于他们访问的系统、环境、应用程序或数据，或者他们正在执行的操作类型。

密码带来的问题

在此背景下，网络罪犯将特权用户凭据作为首要目标就不足为奇了——因为它们可以提供访问组织最关键数据和基础设施的大量机会。根据 2020 Verizon DBIR 报告，超过 80% 的黑客相关数据泄露涉及使用丢失或被盗的凭据或暴力破解。在窃取特权凭据后，攻击者能够访问内部资源，获取机密数据，并中断业务。然而许多组织仍然依靠密码来保护用户凭据。从很多方面来说，这都不是什么稳妥之法。

每天都有超过 3 亿次针对 Microsoft Services 的欺诈性登录尝试，然而仍有 53% 的用户在过去 12 个月内没有更改过密码。即使他们更改了密码，新密码也可能是弱密码，或在多个场合中使用。根据一项 Google 研究，52% 的人为多个账户使用相同密码。

当然，许多组织已经采取措施来保护身份，例如要求唯一密码、要求频繁更改密码，以及强制执行复杂密码政策。然而，这些控制措施实际上弊大于利，因为这可能会导致最终用户采用有风险的密码做法（例如将密码写下来！），以及给负责手动管理访问权限的 IT 团队带来不必要的负担。

记住、忘记、输入和重置密码会给用户带来巨大的痛苦，并导致生产效率低下。尤其是在当今这个远程工作的时代，员工和第三方供应商严重依赖于应用程序来开展合作和访问企业资源。如今，员工每周通常需要浪费大约 12.6 分钟的时间来输入和重置密码。一项 PwC 研究表明，大约 30% 的服务台电话都与密码相关，这使得宝贵的 IT 资源无法将时间用于更具战略性的活动。一些简单的计算表明，使用密码的生产力成本约为每位员工每年 725 美元。

立即将 SSO 添加至安全工具包的四大原因

单点登录 (SSO) 解决了这一普遍存在的密码问题，并通过使组织执行以下操作来缩小攻击面：

1.统一执行强密码策略，并通过彻底消除对个人密码的需求，减少糟糕密码实践的风险。通过 SSO，组织可以利用单一安全身份来访问所有应用程序、端点和资源。

2.增强最终用户体验，本地和远程用户均可实现一键访问分配的云与本地应用程序。为了帮助员工保持工作效率并跟上业务发展速度，一些 SSO 解决方案只针对高风险的特权访问请求要求额外的安全控制。

3.打破孤岛并简化用户和账户管理，并利用无缝目录集成来付诸实现。

4.全面了解用户的访问活动——帮助满足有关访问的合规要求、简化报告并改善整体安全态势。

SSO 解决方案都各有不同

SSO 的直接好处是显而易见的：通过加强身份安全控制，组织可以降低风险、增强用户体验并简化对企业资源的访问，同时减轻 IT 部门的负担。

然而，通过实施 SSO 解决方案，组织可以获得许多额外的长期利益，而这些在最初的讨论中经常被忽视。例如，通过正确配置的自助服务工具，公司可以大大减少与密码相关的服务台工单和电话数量，从而显著降低 IT 成本。此外，SSO 可以消除当员工换岗或离职后账户仍然保持活动的可能性。正确的 SSO 解决方案甚至可以将安全功能扩展到密码之外，纳入多因素身份验证 (MFA) 和无密码身份验证方法。

加入我们的点播网络研讨会，“单点登录解决方案的更多优势”，探索现代化 SSO 的益处以及可帮助您的企业选择最佳解决方案的重要考量事项。

《周六夜现场》的老粉可能会记得Nick Burns——又名“你公司的电脑专家”，这是 Jimmy Fallon 在 21 世纪初反复扮演的一个角色，深受观众喜爱。

佩戴着口袋护笔器和嘟嘟作响的寻呼机的Nick ，在大型公司办公室里走来走去，回答 IT 支持问题，并讽刺地嘲笑他技术上“无能”的客户，即公司内部员工，他们永远无法让打印机工作，也不理解 JavaScript 笑话。每一出短剧少不了他扑到工作站解决问题时说出的那句标志性的“请让一下”，以及在几秒钟解决问题后说一句“这真的很难吗？！”这一幕。

尽管 Nick 的性格与当今 IT 服务台经理的业务关键型角色相去甚远，但如今处于这一职位的许多人都能对他每天面对的各种支持工单感同身受。即使是那些性格最开朗的人，有时也会在一次又一次处理相同问题时感到沮丧。大多数情况下，这些问题归根究底都与密码相关。

“好了，一个一个来。我的大脑并没有极碟驱动器！”

尽管 Nick 使用具有 32 位处理器的 Outlook 6.0 和 LC-475 Mac 的日子早已一去不复返，但密码在 20 年后仍然存在，而且被组织用来对企业用户进行身份验证。

随着数字创新步伐的加快，许多组织正在以令人眼花缭乱的速度采用新技术。每一个新的企业应用程序或工具都成为一个新的身份孤岛，具有独特的密码管理要求，如复杂性和轮换节奏。

要求企业用户在这些新系统中重复进行身份验证，并维护（更不用说记住！）大量复杂密码，会给服务台的专业人员带来许多麻烦。他们不仅负责配置用户，还管理数百个（甚至数千个）公司账户——以及随之而来的大量密码重置请求和账户锁定问题。

让我们用一些行业估计和简单的计算来量化这个庞大的密码问题：

• 一般服务台重置密码的“全部”费用介于 $40 到 $50 之间：我们采用中间值 $45。
• 在许多员工因新冠疫情爆发而在家工作之前，估计每年每名企业员工联系服务台处理密码相关问题的次数为六到十次。因此，在 261 个八小时工作日中（或者说 2,088 个小时中），每年每个人平均有八次问题。换句话说，每工作 261 个小时，就会有一个密码问题找上服务台。
• 现在考虑一下，自从普遍转向远程工作以来，美国知识工作者的典型工作日已从 8 小时延长到 11 小时 。这意味着 261 个 11 小时工作日，总计 2,871 小时，或者说，比“平常”多了 783 小时。这也意味着每个人还会产生额外三个与密码相关的服务台问题。
• 基于此数据，CyberArk 估计，对于拥有 1,000 名员工的大型企业，每年每人需要花费 $495,000 来解决密码问题。（每 11 个密码相关服务台请求 x $45 每人 x 1,000 名用户。）

时间和资源本来就有限的 IT 服务台经理无法再专注于战略业务计划，而是不得不延长工作时间来解决密码问题、满足服务水平协议 (SLA)，以及解决令人精疲力尽的终端用户问题。

“不要告诉我你的密码是你家狗狗的名字……请让一下！”

人们在选择强密码方面做得很糟，这已经是老生常谈了。他们选择的密码往往过于简单、常见、重复使用或多账号共用。事实上，员工平均跨 16 个企业账户重复使用密码。虽然使用密码管理器来解决这一挑战非常具有诱惑力，但这种方法并非没有风险。此外，密码管理器无法管理能够访问敏感资源的人员与时长。

攻击者知道，许多组织仍然只依靠一种验证方法（例如一组凭据）来保护对各种系统和工具的访问。当与允许广泛访问许多系统和应用程序的单点登录结合使用时，这尤其危险。

他们知道，他们只需窃取或入侵一个企业身份（任何人都可以）的凭据以获得立足点，然后就可以升级特权以获取高价值资源。如今，67% 的泄露都由凭据盗窃（使用被盗密码或弱密码）和社交攻击引起。

然而，当 IT 团队以安全的名义实施更强大的身份验证方法时，工作人员通常会想出“巧妙”的方法来规避这些控制措施——或者完全避免使用公司批准的系统和应用程序来保持生产力。

84% 的 IT 服务管理专业人员认为，在未来三年内，从事 IT 工作将变得更加困难。这是有道理的，因为他们发现自己进退两难，必须在确保所有系统和数据安全和团队保持高效之间做出取舍。

不要再重置密码，而是考虑彻底排除密码

采用集成了无密码身份验证方法等解决方案的零信任安全模型，前瞻性 IT 安全和服务台团队能够取得适当的平衡并收回部分控制权。

通过将具有自适应多因素身份验证 (MFA) 的云端单点登录 (SSO) 分层，这些团队可以克服普遍存在的密码挑战，并确保用户是他们所声明的用户本人——同时让他们能够快速、即时且简单地访问所需的任何内容。

这就是以基于风险的访问形式提供一些情报和背景。使用机器学习和背景信号（包括用户数据、设备数据和活动数据），组织可以根据历史模式自动分析访问请求，向每个登录尝试分配风险评级，并创建由异常行为触发的访问策略。

此外，通过为员工提供自助服务机会，IT 服务台团队可以减轻自己的工作量，将耗时的任务自动化，并将精力重新集中在保持业务运营和盈利的高影响力工作上。

正如 Nick Burns 在他经典的告别语中所说的：“哦，顺便说一句……不客气！”

作为消费者，我们期望我们的数字体验简便、快速、直观且高度个性化。近年来，为了满足这些日益增长的需求并获得竞争优势，企业已经更多使用基于云的技术和服务。这一趋势不可阻挡，并在 2020 年以 10 倍速度快速发展。这一年间，我们生活的方方面面几乎都发生了变化，从我们工作和学习的方式，到我们购买产品和服务的方式，再到我们相互交流的方式。

最近的一份 Accenture 报告称，“体验大复兴正在进行中”，随着企业比以往任何时候都更注重提供卓越的最终用户体验，数字转型已经深入人心。这种快速的创新——再加上支持分散办公的技术复杂性——使得身份的数量、类型和互联性在业务应用程序和云工作负载之间成倍增加，而曾经清晰区分“好人”与“坏人”的物理和网络安全边界已经瓦解。

条条大路通身份

虽然几年前只有一小部分用户（主要是 IT 管理员）被视为具有特权，但在当今的环境中，任何身份（无论是客户、远程员工、第三方供应商、设备还是应用程序）都可能在某些情况下具有特权，这无疑创建了一条通往组织最有价值资产的攻击路径。

新威胁领域的一些例子包括云控制台访问、过度的云授权以及嵌入式 DevOps 和应用程序密钥带来的极端危险。而攻击者完全认识到了这个机会：一项 IDSA 研究发现，在过去两年中，79% 的企业都经历过与身份相关的攻击。和其他许多攻击一样，最近的 SolarWinds 数字供应链攻击同样涉及了身份盗窃和特权访问操纵。

面对这些现代威胁，身份显然已成为新的安全战场，基于零信任原则“假设漏洞”的思维方式绝对至关重要。不过，尽管网络攻击不可避免，但负面业务影响却并非如此。

身份安全让你勇往直前，无所畏惧

今天，我们推出新的身份安全产品以完善 CyberArk 身份安全产品组合，并展示了实现我们愿景的持续创新。

虽然对这套强大的新订阅、程序和工具感到十分兴奋，但我们认为退一步来解释“身份安全”的确切含义会有所帮助。

CyberArk 身份安全方法以特权访问管理为中心，并侧重于在访问关键资产的整个周期中保护个人身份（人类或机器）。

这意味着准确地验证该身份，为该身份授予适当的权限，并以结构化的方式为该身份提供对特权资产的访问权限——所有这些都以能够审计（或解释）的方式来确保整个过程的合理性。借助 CyberArk 身份安全，组织可以在适当的时间、任何地点、任何设备上实现安全访问，而不必在安全性和生产效率之间做出选择。

现在，您可能会问，“这和零信任有何不同？”

零信任不是一种解决方案或技术，而是一种基于“从不信任，始终验证”原则的安全方法。这种方法确保每个用户的身份都得到验证，他们的设备都得到验证，他们的访问权限被智能地限制在其需要的范围内，并且在不需要时将其收回。作为该模型的典型，身份安全提供了一组实现零信任的基础技术。

最完整且灵活的身份安全功能集

在 CyberArk，安全刻在我们的 DNA 中。作为特权访问管理市场的领导者，我们在解决快速变化的特权性质和帮助组织采用基于风险的策略，以防御基于身份攻击的方面具有独特的优势。

我们以人工智能为驱动的方法消除了因用户每次尝试访问系统反复请求重新验证而产生的摩擦和风险习惯，从而在强大的安全性与出色的最终用户体验之间取得了平衡。为此，我们使用实时情报和分析功能区分好与坏，并即时提供且仅提供所需的信息。在潜在威胁造成危害之前，先对其进行遏制、消除和补救。

除了强大的身份保障之外，我们还为企业注入了加速转型计划所需的信心和灵活性，使其能够为客户提供卓越的体验，从而提高客户忠诚度和可测量的业务影响。

身份安全成功路线图

身份安全让组织安心无忧，因为他们最关键的资产得到了保护。但开始实施仅仅成功了一半。

CyberArk 蓝图建立在多年客户实践和 CyberArk 实验室团队前沿研究的最佳实践基础之上，是身份安全成功的最佳实践框架。无论您现在是专注于保护对内部基础设施的访问、敏捷软件开发方法还是新的数字转型项目，在规划路线时，CyberArk 蓝图都将为您指明方向。

想象一下，现在有一个攻击者潜伏在您的网络中。您有能力在他们造成损害之前发现并做出反应吗？现在设想一下，不法分子拥有对您 IT 环境中几乎所有文件和系统的特权访问权，并且可以随时模拟任何人类、应用程序或机器身份。您能认出藏在眼皮底下的袭击者吗？

这些只是安全团队在大规模 SolarWinds 攻击利用数字供应链载体进而可能深入全球 18000 多家组织后，自问的许多问题中的一部分。

虽然攻击的细节和其影响持续浮出水面，但很明显，身份泄露和特权访问操纵对这次攻击的成功至关重要。而如今，通过研究不法分子使用的战术、技术和程序 (TTP)，我们可以学到他们展开攻击的许多细节，了解他们如何实现这次由华盛顿邮报 描述为“相当于潜入国务院，印制完美伪造的美国护照的计算机网络攻击”。

我们请 CyberArk 实验室负责人 Lavi Lazarovitz 帮我们解析此次攻击，从而帮助组织更好地了解所面临的挑战，并优先考虑能够降低最大风险的工作。要获得更深入的技术分析和风险缓解指导，请参加我们于 3 月 18 日举办的网络研讨会，并在 4 月 22 日（美国注册，欧洲、中东与非洲注册和亚太区及日本即将推出！）从整体上了解“Solorigate”等重大攻击事件对防御者和攻击者而言意味着什么。

解析 SolarWinds 攻击的三个主要阶段

攻击的起源

2020 年 12 月初，一些组织发现并在几天内向各自的网络报告了侵入事件。不久，安全和威胁分析师就将这些点联系起来，因为不法分子在这些公司最初获得立足的方式都是相同的：在一个流行的基础设施监控和管理平台（SolarWinds 的 Orion）的更新中植入特洛伊木马。很快，许多其他组织和政府机构也发现了类似感染。

但为什么是 Orion？“因为它无处不在——从交换机和路由器到防火墙、虚拟化基础设施、Active Directory、存储管理工具等等，”Lazarovitz 解释道。“所有这些连接都依赖于凭据，在大多数情况下，这些凭据具有很高的特权。简单地说，Orion 与企业的方方面面都挂钩，这使它成为攻击者的完美目标。”

攻击阶段 1：感染 Orion 软件管道感染

虽然目前还不清楚攻击者到底是如何首先感染 SolarWinds Orion 的，但媒体报道的司法鉴定证据表明，他们在发动攻击前下功夫学习了该公司的代码结构和术语。不过，具体的侵入方式并不重要。重要的是，威胁行为者，特别是来自资源充足的民族/国家的行为者，几乎总能找到进入的途径。这也是为什么防御者必须始终“假设漏洞”。

为了在组织中站稳脚跟，威胁行为者破坏了 CI/CD 管道的“心脏”，即管道中对代码进行测试、包装、装箱和签名的部位，然后成功地更改了 SolarWinds 的源代码。攻击者部署了恶意软件，即如今臭名昭著的“SunSpot”，它以高权限运行，扫描 Orion 构建。

凭借手术般的精确度，在未惊动开发人员或工程师的情况下，恶意软件更改了源文件代码名称（略有更改）以部署后门程序。构建更新后，后门代码被删除，原始文件名也得到恢复。

Lazarovitz 强调这种操作的复杂性，并指出，“攻击者必须使代码中的警告保持静默，确保恶意代码的部署是完美无缺的。”让他们看起来好像从未出现过，这并不是一件容易的事。

这些发现促使许多组织重新审视自身 CI/CD 管道的安全性，尤其是管道编排器和基础架构管理器，因为这些资产具有广泛的特权访问权限。这些组织要求他们的供应链供应商也这样做。

攻击阶段 2：瞄准 SolarWinds 客户

经过大约两周的休眠期（故意暂停以帮助攻击者掩盖行踪），恶意负载开始进行一些侦察和操作安全检查。

其中一项检查旨在识别链接到特定端点安全代理和可能暴露运行中的恶意软件的取证工具的哈希。如果在环境中识别出此“检查表”上的代理或工具，则恶意软件将尝试终止代理或将其自身暂停（如果失败）。

但是，如果恶意软件没有找到这些特定的哈希，或者成功地终止了这些哈希，它就会进入下一个阶段：呼叫总部，从 C&C 服务器分派命令并禁用任何易受攻击的端点安全代理。

“一般来说，”Lazarovitz 解释道，“恶意软件在初始感染时所拥有的权限级别决定了攻击者是否只能感染端点或占领整个网络。”在所有端点上强制执行最小权限原则有助于防止横向移动，使攻击者更难实现目标。但在这种数字供应链攻击中，恶意软件在到达每个 Orion 客户组织时已经拥有了提升后的权限。

值得关注的是，事后看来，保护 Orion 凭据数据库的凭据防盗策略可能因为迫使行为者使用增加暴露机会的工具和技术来减缓攻击。

但事实上，“一旦进入，攻击者就可以访问且几乎肯定会在下一阶段的攻击中使用 Orion 特权凭据，” Lazarovitz 说道。

攻击阶段 3：特权提升以到达高价值目标

根据报告，攻击者很可能收集了存储在 Orion 数据库中的凭据，例如Active Directory、防火墙和基础架构以及网络管理软件等的传统 Tier 0 资产。这将使特权快速提升。而且，有了这些强大的凭据，威胁行为者可能能够立即占领目标网络。

Lazarovitz 说：“但有趣的地方来了。攻击者开始采取措施建立持久性。在拥有足够的权限后，攻击者不仅可以添加后门账户，还可以完全控制整个受信任的租户。这样就可以使用新的可信租户账户继续访问目标网络的应用程序、服务和数据。此外，它消除了组织可能更改密码的影响，并允许攻击者完全绕过多因素身份验证。

要做到这一点，需要多种复杂的方法，尤其是 Golden SAML 技术。

攻击者使用具有高度特权的凭据，成功访问并操纵了受害组织的 SAML 令牌签名证书并伪造数字 SAML 令牌，这些数字 SAML 令牌提供了对环境中几乎所有系统和应用程序（包括本地和云中）的单点登录访问。由于 SAML 令牌签名证书几乎从不更改，攻击者可以在网络中长期存在而不必担心被检测到，并最终实现预期目标。

“Golden SAML 技术强调了这样一个事实，即如果身份提供方的主要密钥（例如，Active Directory 联合身份验证服务）被泄露，那么威胁行为者将“拥有”真相的来源，并成为自己的身份提供方。Lazarovitz 表示：“他们可以根据需要模拟任何用户，不管用户的密码是什么，不管权限级别是什么，也不管是否实施了 MFA。”他强调了实施强有力的身份安全政策和控制措施的重要性，这些政策和控制措施限制了对这些 Tier 0 系统的特权访问，减少暴露，并使尽早侦测成为可能。

欲了解更多关于 Golden SAML 技术的信息（该技术于 2017 年首次被 CyberArk 实验室识别），请访问 CyberArk 威胁研究博客。

正确的心态：采取“假设漏洞”的思维方式

绝大多数网络攻击都涉及身份盗窃和特权访问操纵，SolarWinds 攻击也不例外。

随着传统网络安全边界的瓦解，“假设漏洞”的思维方式变得空前重要。通过 假设您网络中的任何人类或机器身份可能已被泄露，您可以在威胁造成破坏之前将注意力转向识别、隔离和阻止威胁，防止其获得特权访问权限并执行横向移动。

差不多一年前，世界发生了翻天覆地的变化。新冠病毒 (COVID-19) 疫情似乎彻底改变了世界。疫情期间，所有人都被迫在家办公，云计算的采用率飞速上升，数字转型成为了大规模企业的当务之急。这些事件同时发生，让攻击者有机可乘——这一事实在网络犯罪数据中得到了广泛反映。

在疫情爆发即将满一年之际，让我们通过一些极具启发性的行业网络安全统计数据，回顾这段前所未有的变革时期。

攻击大爆炸

在封锁后的六周内，世界卫生组织 (WHO) 发出警告，除了直接针对世卫组织系统和雇员外，诈骗犯还冒充世卫组织，利用人们对疫情的恐惧和不确定来牟利，而这一比率是 2019 年同期的五倍。

虽然攻击者大多坚持他们最偏好的、行之有效的战术来发动攻击——网络钓鱼和身份盗窃，攻击数量之大令人震惊，并分散了人们的注意力、使人们措手不及、手忙脚乱。TechRepublic 报告称，仅在 2020 年 3 月，网络钓鱼攻击就增加了 667%。截至同年 4 月，FBI 报告称网络攻击激增了 400%。

勒索软件攻击在迅速演变的全球危机中也大幅上涨了 800%，这促使国际刑警组织针对日益严重的威胁向前线医疗机构发出警告。此外，微软研究人员警告公众，犯罪集团利用诸如 Robbinhood、Maze 和 REvil 等流行毒株实施“长尾”攻击，潜伏数周甚至数月以部署勒索软件，破解大量高价值数据，并进行巨额勒索。

同时，随着组织为满足客户需求和支持分散办公的员工而加速云采用，在 1 月到 4 月之间所记录的基于云的攻击增加了 630％，主要针对 Microsoft 365 等服务，且多数涉及使用被盗凭据。

与此同时，攻击也在不断涌现：70% 在公共云中托管数据或工作负载的组织在过去一年中发生了安全事件，多云组织报告的事件数量是采用单一平台的组织的两倍。

Ponemon Institute 估计与远程工作相关的新风险和挑战将在 2020 年数据泄露的全球平均总成本的基础上额外增加 13.7 万美元，每次事件的总成本约为 400 万美元。

细分来看，医疗保健行业的平均成本最高，为 713 万美元，美国的国家平均成本最高，为 864 万美元。

个人识别信息 (PII) 的单条记录成本最高，为 150 美元。同时，据 德勤 称，姓名和信用卡信息等基本个人识别信息可以在暗网上以 0.10 美元或更低的价格批量出售。

数字盔甲上的裂缝

在全球疫情给世界带来剧烈变化时，没有人做好了万全准备。一瞬间，各个组织不得不争先恐后地连接家庭办公室，支持新设备，并尽快推出新的协作工具。太多时候，安全问题并没有得到优先考虑。与此同时，远程工作的员工也在试图弄清楚如何在家里做好工作。不久，打着生产效率旗号绕过安全措施的“捷径”就成为了危险而顽固的习惯。

据 Malwarebytes 称，20% 的公司明确表示，他们面临的安全漏洞是由远程办公的员工造成的，24% 的公司在网络安全漏洞或恶意软件攻击上花费了超出预算的资金。

那么，问题出在哪里呢？事实证明——几乎是无处不在。让我们了解数字盔甲的其中一个“裂缝”。

设备相互影响

2020 年第四季度 CyberArk 远程工作状态调查发现 69% 的远程工作人员将公司设备用于个人用途。更糟糕的是，57% 的员工承认允许其他家庭成员使用他们的工作设备进行非工作活动，如购物、游戏或学校作业。自 CyberArk 在 2020 年春季进行类似调查以来，这种危险的设备共享活动几乎翻了一番。

据估计每 36 台移动设备中就有一台安装了高风险应用程序。当员工在他们的设备上同时进行工作与休闲活动时，这些漏洞为攻击者提供了窃取凭据和在组织中站稳脚跟的潜在机会。而攻击者正以这些基于 Web 的应用程序为攻击目标：《2020 年 Verizon 数据泄露调查报告》强调，Web 应用程序泄露事件同比增长了两倍，达到 43%。80% 以上的案例中涉及被盗凭据的使用。

简言之，员工将个人设备用于工作目的（或将工作设备用于个人活动）越多，他们所造成的组织风险就越大。而这一现象正在发生，且十分普遍。

但即使远程办公员工遵守安全最佳实践并严格遵守公司协议，在一堆合法工作电子邮件中发现欺诈行为仍然不是容易的事。据 CSO 报告，94% 的恶意软件是通过电子邮件发送的，而且往往进行了巧妙的伪装。

那么，我们能做些什么？

每 39 秒就会发生一次网络攻击。到 2021 年，网络犯罪造成的损失预计每年将达到 6 万亿美元，而今年全球因勒索软件造成的损失预计将达到 200 亿美元。

然而，Ponemon Institute 的数据显示，尽管人们的意识不断提高，2020 年发现漏洞的平均时间仍高达 207 天。然后，从识别到遏制，平均又需要 280 天——这么长的时间，已经足以让攻击者造成混乱或破坏。

墨菲定律认为凡是可能出错的事情就一定会出错。这就是为什么假设您已遭受攻击并专注于打破攻击链是如此重要。这意味着要在攻击者造成破坏之前，识别、隔离并阻止攻击者窃取身份并获取特权。

在数字世界中的善恶对决里，还有更多的工作需要去做，但却没有足够的网络安全专业人员。Cybersecurity Ventures 估计，到 2021 年，将有 350 万个网络安全职位空缺。为了满足不断增长的需求并消除网络安全人员的短缺，全球相关劳动力数量需要增长 145％。

根据 ESG 和信息系统安全协会的最新研究，这一短缺的情况只会越来越严峻。这项研究显示，70% 的网络安全专业人士表示，他们的组织已经感受到了缺少人才的影响，表现在工作量不断增加、无法填补的职位空缺以及专业人士无法充分发挥其潜力学习或使用网络安全技术。此外，该项研究显示，18% 的网络安全专业人士在这一领域仅工作了三年或更短的时间，而且大多数人都是从 IT 专业转变而来。

ESG 的结论称，采用整体方法可以开始弥合这一缺口——在网络威胁不断演变的情况下，要求从公立学校一级开始进行持续的网络安全教育，以及为新的和成熟的专业人员进行职业规划和发展。

这一过程无法一蹴而就，虽然全世界可能都需要改变迅速发生。

既然没有英雄会从天而降来挽救局面，组织便必须学会像攻击者一样思考，并假设系统已遭攻破，而不是假设（或希望）自己可以幸免于难。这并不一定像听起来那么可怕：心态的转变和积极的姿态是朝着更强有力的安全态势迈出第一步的关键所在。

想要更准确地预测 2021 年趋势，就必须回溯困难重重、令人不愿回首的 2020 年（#2020） 。当然，2020 年将有两大主题记录在历史长卷：新冠病毒疫情和美国总统大选。对于企业而言，这次疫情几乎彻底改变了组织运作的方方面面。从快速向远程办公转型，到完全重新考虑客户动态，商业已经迈入了翻天覆地的变革之路。

这些变化还导致各行业加快数字化计划进程的步伐。许多企业在 5 个月内实现的改变几乎等于 5 年计划的成果——他们迅速采用技术助力推高生产力和业务连续性。无论是使用全新协作工具，还是将基础架构和应用程序迁移到云中，企业的布局开始走向分散化，这也让攻击者更加有机可乘。

展望 2021 年，这些不可思议的事件和它们所具有的力量，如何在未来 12 个月内影响网络安全？

我和几位内部专家进行了讨论，汇总了他们的看法：

个人安全孤岛改变了攻击者的观念

随着越来越多的公司将目光投向远程办公方法，分散式 IT 环境必将加快拓展步伐。由于许多员工在家工作，经常通过不安全的家庭网络和个人设备访问公司的系统和资源，导致每个用户成为易受攻击的孤岛，传统安全控制措施对此无计可施。个人行为对企业安全的影响远超以往。

由于这些安全孤岛的存在，我们看到网络犯罪分子的攻击策略从“广泛撒网，重点捞鱼”的社交工程学攻击，转向针对性攻击拥有特权访问敏感系统、数据和基础结构的具体用户。

在攻击者通常依靠横向移动的情况下（寻找任何可能的立足点，努力提高访问权限，通过跨网络移动达到预期目标），这些孤岛并不能帮助攻击者抵达需要更高访问权限的目标。因此，我们将看到从横向移动向垂直移动的转变，即攻击者根据目标对象有权访问的内容（比如管理控制台、财务记录和竞争数据等），将诸如企业用户的个人作为攻击目标。

虽然对于攻击者而言，这种全新“针对性攻击链”方法需要耗费更多的时间和金钱寻找和识别目标用户，但也会缩短攻击周期，组织很难在攻击造成业务影响前识别并阻止攻击。

-Shay Nahari，Red Team 服务总监

企业攻击“换脸”威胁

什么事情会在被大肆炒作的同时并又称为安全新威胁？这就是 deepfake（换脸），一个被过度使用的术语，攻击者将使用这种方式继续进行针对性攻击。

所谓 deepfake ，就是通过合成或受操纵的媒体对视频或图像中的人像进行换脸。媒体中的文章对 deepfake 威胁的态度，大多是担心被用于干扰公众舆论，损害目标声誉。通常这些攻击会成为头条新闻，但其具体的结果却并没有太多的影响。

但是随着针对性攻击链趋势的发展，我们将在企业攻击中越来越多地看到 deepfake 身影——可能不是用于制造恐慌或混乱，而是作为一种辅助，强化社交工程攻击的结果。

例如，现在可以通过营销资料、社交媒体渠道等轻松获得管理层和业务主管的视频和记录。攻击者可以对这些资料应用 deepfake 技术，作为网络钓鱼尝试的策略性后续手段（攻击也会从电子邮件转移到其他平台，例如聊天和协作应用程序），让受操控的通信更加真实。特别是当今，越来越多的组织依靠视频作为企业高管与远程员工的通信方式，攻击者可以利用这种建立的信任度大做文章。

例如，网络钓鱼电子邮件通常伪装成 IT 部门索要密码，但如果随后 CEO 就在 WhatsApp 上发出了一条紧急消息，结果会怎样？攻击者还可以在社交渠道上使用高管的换脸视频，诱使客户、员工、合作伙伴和其他人点击恶意链接，为恶意行为者创建更广泛的新攻击途径。

-Nir Chako，Cyber 研究团队主管，CyberArk 实验室

5G 或引发最大规模的 DDoS 攻击

5G、IoT 和云等技术将把业务发展推向一个全新高度，这一趋势在 2021 年将不断升温。特别是 5G，它可以让企业加快数字化转型进程，创造更动态的客户体验。但随着越来越多的互连设备接入网络，也让攻击面以指数级增加，导致组织面临新的风险。

谷歌最近表示，曾在 2017 年遭受 2.5Tbps 的大规模 DDoS 攻击，这是有史以来最大规模的攻击，甚至超过了 2018 年针对亚马逊的 2.3 Tbps 攻击。相比之下，这些攻击规模是 2016 年大规模 Mirai 僵尸网络攻击的 4 倍超过 600,000 个 IoT 设备和端点受到损害。

随着 5G 在全球的推广，更频繁的大规模 DDoS 攻击也将拉开序幕，相比之下，之前所见量级的攻击将不值一提。5G 将增加可用的整体带宽，允许连接大量 IoT 设备。由于目前尚未出台正式的 IoT 安全性标准，这些设备通常很容易受到破坏和控制，成为僵尸网络大军的一部分。

因此，明年我们将见证有史以来的首次 5Tbps DDoS 攻击。谷歌和亚马逊阻止的 2Tbps 攻击将变得越来越普遍，这将造成在线和联网业务的大规模中断。

-Bryan Murphy，咨询服务总监

疫情的压力导致企业内部人员做出错误的决定

疫情给员工及其家人带来了巨大压力。经济的不确定性以及向远程办公和学习的转变，让我们开始面对更多未知领域。这些新挑战可能会促使更多员工在网络安全方面做出错误决定，让更多攻击从内部人员而起。

正如我们在 2020 年所见，攻击者日益频繁地向拥有访问权限的员工抛出具有诱惑力的金钱激励诱饵，让他们共享或“意外”泄漏其凭据。与此同时，暗网上的特权访问买卖比以往任何时候都更为猖狂，研究报告表明，攻击者愿意出高价购买对公司网络、VPN 和工作站的访问权限。

潜在的财务回报和对经济问题的忧虑，将催生让组织疲于应对的新威胁。

-David Higgins，技术总监

对于许多员工而言，他们的日常上班习惯看起来与以往大不相同。以前，他们必须通勤，而现在他们可以在冲完咖啡后，“通勤”到家中的工作区，并连接到虚拟专用网络 (VPN) 以访问公司资源和应用程序。

尽管存在一些风险，VPN 是久经验证的安全远程访问解决方案之一。之所以会用上”风险“一词，是因为如果未正确实施和维护，攻击者可能能够利用弱点来获得对敏感系统和数据的特权访问。实际上，一些组织正在选用连接远程员工的新方法，从而不再需要 VPN 或代理，并帮助简化操作和用户工作流程。

对于使用 VPN 的组织，重要的一点是要正确修补 VPN 堆栈，使用正确的加密法并持续监控流量模式和使用情况。更重要的是，努力确保对登录 VPN 的用户进行高水平验证，对设备进行验证且相关的特权和权利符合最小权限原则……这听起来难道不像是零信任安全性的基本原则吗？

让我们在“零信任”安全的这三大支柱的背景下研究实施 VPN 的五种最佳实践。

规则 1：验证用户：确保 VPN 解决方案通过 RADIUS 和/或 SAML 支持多因素身份验证 (MFA)。

大多数 VPN 解决方案支持不同类型的身份验证机制，具体取决于 VPN 的类型（站点到站点，远程用户）。支持 MFA 的一种类型是使用 RADIUS，其中 VPN 服务器成为 RADIUS 服务器的 RADIUS 客户端，而 RADIUS 服务器又可以执行多因素身份验证。 例如，CyberArk Idaptive Connector 软件可以用作 RADIUS 服务器以及 AD 代理，以执行 AD 身份验证，并以移动身份验证器、OATH OTP、电子邮件的形式提供第二种因素。

下图显示了 RADIUS 客户端与充当 RADIUS 服务器的 CyberArk Idaptive Connector 之间的基于 RADIUS 的身份验证所涉及的各个步骤。

将 VPN 与外部 IDP 集成以进行身份验证的另一种方法是通过 SAML。并非所有的 VPN 供应商都支持此功能，但是如果支持，则无需在端点上安装桌面 VPN 客户端。下图说明了此方法如何与 Palo Alto Network 的 Global Protect 解决方案一起使用。

因此，在寻找 VPN 解决方案时，请考虑以下问题：

1. 它支持 MFA 吗？
2. 该解决方案是否需要在端点上安装 VPN 客户端？如果需要安装，它可以支持哪些身份验证机制？例如，某些机制被直接推送到身份验证提供程序 (AP) 进行验证，而某些机制则要求最终用户与 VPN 客户端进行交互以输入代码（例如 OATH OTP 代码），然后将其发送给 AP 进行验证。
3. 该解决方案是否支持无客户端 VPN 身份验证机制（例如 SAML）？这样非常方便，因为 IT 管理员不必确保每个客户端都安装了正确版本的客户端，因此能够以安全的方式涵盖更广泛的端点。某些客户端（例如 Cisco 的 Anyconnect）确实支持嵌入式浏览器，从而可以支持 SAML。

规则 2：限制访问：确保 RADIUS 服务器能够使用特定属性来限制访问和授权。

如果要授予用户一种以上访问类型的权限，则必须使用供应商的特定属性。例如，基于用户角色，可以为用户授予特定的特权级别，从而限制访问。VSA 可以与 RADIUS 定义的属性结合使用。例如，此链接介绍了思科的 VSA。

规则 3：验证用户：身份验证提供程序（在我们的示例中为 CyberArk Idaptive）解决方案能够支持异构 VPN 环境。

很多时候，一个组织可能拥有多个 VPN 供应商，这些 VPN 供应商采用多种用于身份验证和访问控制的协议支持。RADIUS 服务器/IDP 必须能够支持不同的身份验证配置文件，例如，针对不同的 VPN 服务器（RADIUS 客户端）。例如，如果从一台 VPN 服务器访问更敏感的资源类型，则可以应用具有更强身份验证等级的身份验证配置文件，而不是使用针对关键资源较少的不同 VPN 服务器的身份验证配置文件。

规则 4：智能限制访问：IDP 解决方案能够提供一种自适应的、基于风险的解决方案。

即使对于单台 VPN 服务器，身份验证提供程序也必须能够提供一种方法来检测用户的异常行为，并根据用户的风险提出不同的挑战。在当前情况下，这一点尤其重要，因为大多数（即使不是全部）工人在可预见的将来都将处于远程办公的状态。

规则 5：验证设备：端点本身受到 MFA 和条件访问的保护。

由于用户远程办公，并且还可能使用自己的设备 (BYOD)，因此仅对在登录设备时已经过 MFA 验证的用户的设备授予访问权限。

有关保护远程办公员工的更多信息，请访问我们的风险隔离资源中心。

设想一下，您在笔记本电脑上使用的许多应用程序都不会要求您提供凭据，尤其是在您的组织没有强大的多因素身份验证 (MFA) 策略的情况下。为了方便起见，您的应用程序密码可能会缓存在您的浏览器中，但这也使得它们很容易成为凭据盗窃攻击的目标。如果您的组织为了方便起见使用基于证书的身份验证或 iWA 作为惯例，则可以从受信任的设备直接访问大多数应用程序，而不会遇到任何身份验证挑战。考虑到即使是中型公司也可能会使用 100 多个 SaaS 应用程序，只访问其中一些应用程序所可能造成的损害也就可想而知。

即使世界正朝着云存储的方向发展，一些工作人员还是倾向于使用 One Drive、Box 或 Dropbox 存储重要的敏感文件的副本。销售人员等经常在外的员工喜欢将关键信息保存在本地，因为他们不一定总是可以访问云。此类文件可能包含销售线索、财务信息、合作伙伴信息、代码、商业秘密等。最坏的情况是，粗心的员工可能将其密码存储在电子表格中。

除了敏感的公司数据外，一台普通的笔记本电脑可能还包含几个带有所有者个人信息的文件，例如其地址、电话号码、电子邮件、SSN、银行帐户信息和信用卡详细信息。这些重要的财务记录落入不法分子之手后可用于身份盗用。

而且，Outlook 等电子邮件客户端通常处于“始终打开”状态，这使它们处于危险之中。员工电子邮件地址通常可用于重置各种服务的密码，此外电子邮件本身通常包含有关雇主的敏感信息。利用社会工程学，攻击者可以使用一封员工电子邮件获取有关其他员工的敏感信息。

简而言之，即使只有一名员工丢失了笔记本电脑，后果也可能是灾难性的。没有稳健的企业密码政策，很可能会发生密码很弱，甚至无法承受基本的暴力攻击的情况。

恶意内部人员也以不安全的笔记本电脑为目标，试图窃取同事或高级管理人员的有价值的信息，或者获得对其无权访问的企业系统或数据的特权访问权限。内部人员威胁频率在不断增加，并可能特别危险，因为它们可能在数周、数月甚至数年内无法被发现。

因此，在启动屏幕和锁定屏幕上使用强大的 MFA 保护工作（甚至个人）笔记本电脑绝对至关重要。否则，将在组织的数字安全方面留下危险的缺口。

为解决此难题，CyberArk Idaptive 云代理为 Windows 和 macOS 设备的启动屏幕和锁定屏幕支持强大的 MFA，功能如下：

• 基于风险的自适应 MFA
• 在对 Windows 服务器的 RDP/RDS 访问上支持 MFA
• 基于身份验证挑战的自助重置密码，以最大程度地减少 IT 服务台支持和成本
• 适用于离线设备的 MFA，如果被盗，可以锁定和擦除 Windows 和 macOS 设备
• 灵活的身份验证因素，例如 OTP、SMS、电子邮件、移动推送、FIDO2 密钥（例如 Yubikey）等

端点对当今的数字业务构成重大的安全风险，尤其是在当前远程工作员工数量庞大的背景下。狡猾的攻击者可以利用端点漏洞窃取机密信息或破坏 IT 服务。通过对端点安全性采用深度防御方法——从 MFA 到特权访问管理等安全控制工具的强大结合，可以增强整体安全性并减少暴露。

若要了解有关保护远程用户、端点和关键资产的更多信息，请访问我们的风险隔离资源中心。

用户的地理位置对我们开展业务方式的重要性日趋下降。2019 年的一项研究表明，至少 62％ 的受访者有一部分时间在家办公。在同一项研究中，至少部分时间远程工作的人中有 82％ 表示他们计划保持或增加远程工作的时间。此外，一半以上 (51％) 从未有过任何远程工作经验的受访者想要开始远程工作。

值得一提的是，这些数据不包括像员工一样为公司执行基本任务的远程供应商的数量。这些用户通常需要像员工一样访问关键系统。当然，为员工提供更大的灵活性必然会带来更大的安全风险。为了配置访问权限，组织通常依赖于不安全且效率低下的方法，通常依赖于 VPN 来提供安全访问。

然而，远程工作者的特权各有不同。有些可能只需要访问电子邮件和少量的业务应用程序，而另一些可能需要访问关键的业务应用程序，例如工资、人力资源以及销售和营销数据。提供外包服务台支持的外部 IT 服务提供商则需要与内部 IT 提供商相同的广泛访问权限。

在本文章中，我们将确定经常需要提升其系统访问特权的五种远程工作者，并讨论 CyberArk Alero 如何助您进行特权访问管理 (PAM) ，并协助组织对 CyberArk 管理的关键系统提供安全、便捷的访问。

1. 远程 IT 或网络安全公司员工

这类用户包括域管理员、网络管理员、以及其他通常从内部办公室访问关键内部系统，但现在可能需要进行远程访问的人员。当 IT 或安全部门在办公室外办公时，就会给安全管理员的日常工作添加难度。

精确地确定远程 IT 和网络安全员工所需的访问级别，并实施最小权限以确保他们仅访问所需内容，这一点至关重要。VPN 等传统解决方案无法提供必要级别的细粒度应用程序级访问权限来有效地实现此目的。分配这种细粒度访问非常重要，因为它有助于防止 Windows 管理员有权访问根帐户之类的情况发生。

同时还应提前将安全工具与目录服务集成在一起以提供自动化的特定访问权限。如此一来，在计划外的远程工作高峰时，IT 或安全智能部门就不会出现缺口，可以在家中建立安全的工作状况。

2. 第三方硬件和软件供应商

第三方硬件和软件供应商，包括 IT 服务提供商和外包服务台支持，通常会提供需要提升特权的远程服务和维护。这些类型的供应商通常需要管理员级别的访问权限才能在各种 Windows 或 Linux 服务器或数据库上执行任务，并被要求执行修补、系统更新等操作。

每个供应商基本上都像域级别的管理员那样行事，因此，如果未进行正确的监控和配置，可能会对网络造成严重破坏。但是，一般的做法是由管理员根据情况逐个确定这些用户并评估其各自的远程供应商访问级别，而这可能会花费大量时间。因此，重要的是要确保所有这些用户都已被识别并提供了正确的访问权限。

3. 供应链供应商

当支持产品的生产或交付不是组织的主要服务范围时，通常会请专门的供应链供应商来提供帮助。这些远程用户通常可以访问网络，以监视零售或制造组织中的库存。他们还可以访问与预测输出、质量控制和其他可能与工业控制系统和操作技术 (ICS/OT) 或现场供应链流程有关的敏感数据。

尽管您可能因为供应商没有管理员权限，而会将其忽略，但是供应链供应商拥有的访问权限可能会被恶意攻击者以危险方式利用，或者由于内部误用而成为严重问题。

4. 服务公司

执行法务、公关和薪资等部门任务的服务公司可能需要访问特定的业务应用程序才能有效完成任务。因此，要确定这些类型的用户并执行最小权限原则，以确保他们不会访问权限范围之外的任何内容，或者访问时间不会超出了他们所需的限度，这一点非常重要。让法律服务公司访问薪资信息并没有太大的实际意义，这只会增加潜在风险。

客户关系管理 (CRM)、企业资源计划 (ERP)、云控制台等业务关键型应用程序对于业务连续性和运营非常重要，但是如果落入不法分子手中，这些应用程序中的数据可能会非常危险。识别谁有权访问这些应用程序非常重要，最大程度地限制从一个业务应用程序横向移动到下一个业务应用程序的能力可能是防止常规业务演变为重大数据泄露事件的关键。

5. 外部顾问

业务和 IT 顾问有时需要特权访问权限，以使他们承包的项目富有成效，但他们只应在合同规定的时间段内拥有该访问权限。这些类型的供应商本质上是临时的，通常在履行职责时只需要访问几天、几周或几个月。但是，在该时间段内，外部顾问通常会获得对某些业务领域的广泛访问权限。

尽早确定这些顾问的身份，以及他们所需的访问权限类型（以及访问时间和访问期限），有助于降低风险并保护业务。此外，外部顾问的访问应在活动期间受到严格监控和保护，并且应在为公司工作的时间结束后，自动取消其访问权限。

设想一下，一名顾问参加了一个为期三周的项目，但未获得预期的回报，并且对补偿方式感到不满。如果未自动取消其访问权限，则他们可能会在合同期满后保持较高的访问权限级别，并以此对组织造成无法弥补的损害以进行报复。尽管这种情况似乎不太可能发生，但这仅是高访问权限级别可能导致的危害的一个示例（如果未定期对其进行监控和更新的话）。

随着越来越多的公司将远程用户纳入其日常业务计划的一部分，他们必须了解在办公室外登录其系统的各种类型的用户，这点非常重要。更重要的是要管理、监视和保护该访问。

虽然这项任务听起来非常艰巨，但 CyberArk Alero 是一种 SaaS 产品，可帮助组织为访问由 CyberArk 管理的关键系统的远程用户提供并分配安全的访问。它可以轻松地在任意数量的远程用户中部署，无需使用 VPN、代理或密码。

在《Impact Live 2020》中，我们花费了大量时间讨论在远程工作时代保持强大网络安全态势的策略。当今的用户需要能够随时随地访问业务系统，同时灵活、有效地完成工作。但是，这种新的工作方式也带来了新的安全挑战——这些挑战需要现代的解决方案。

本文中介绍了可帮助远程工作者保持生产力和安全性，而又不会对运营或既定的商业实践产生不利影响的七大最佳实践。

1. 部署单点登录 (SSO) 和多因素身份验证 (MFA)。使用 SSO，您可以利用中央身份提供者来管理用户身份验证，并通过一套登录凭据来授予对应用程序和资源的访问权限。这使您能够通过更强大的密码策略来提高安全性，通过简化对员工完成工作所需的所有资源的访问来提高生产率，并使您的 IT 部门更容易满足访问方面的合规性要求。MFA 为公司资源添加了额外的保护层。借助 MFA，您可以要求用户通过多重身份验证挑战，从而确切地确定用户的真实身份。例如，您可以要求用户提供他们知道的信息（例如密码）和拥有的信息（例如发送到其移动设备的一次性代码）。您可以使用 MFA 保护对应用程序、工作站、虚拟桌面、VPN 等的访问。对于不是直接从公司网络内部连接的用户，MFA 对于防止使用泄露的凭据访问受保护的资源至关重要。
2. 在端点上实施最小权限以保护敏感数据和应用程序。仅向最终用户和管理员提供他们所需的绝对最低限度的特权访问权限（也称为最小特权原则）大大减少了攻击面。实现此目标的一种方法是将不需要的本地管理员权限从工作站剥离，以防止端点受到损害和允许横向移动。这降低了将恶意软件或勒索软件引入环境并在其中轻松传播的风险。​
3. 阻止来自工作站的 RDP 暴露。远程桌面协议 (RDP) 暴露是许多重大泄漏事件的根源——尤其是随着越来越多的人员开始远程办公。隔离会话可以减少端点（一直是最弱的网络访问链接）暴露关键系统的可能性。此外，将每个会话的自动记录与实时分析行为相结合，有助于在如果发生以及发生时迅速检测和纠正可疑行为。​
4. 减少对于 VPN 的整体依赖度。远程办公的激增导致 VPN 的使用急剧增加。CyberArk 最近的一项调查显示，63％ 的员工表示有使用 VPN 来访问关键业务系统。攻击者长期以来一直将 VPN 作为攻击目标，因为它们可以访问整个内部网络。VPN 显然不是为提供对关键系统和应用程序的细粒度访问而设计的，并且可能需要很长的时间才能建立。这些工具通常需要大量的手动工作来设置和操作，以致于无法实现安全团队的实际目标——降低风险。
5. 制定政策以允许、阻止或限制应用程序。在远程办公时代，不必要的服务台呼叫激增。借助允许/阻止/限制策略，管理员可以使远程用户可以访问其工作所需的系统，而不会带来任何其他麻烦。减少服务台呼叫的另一种方法是使用户无需呼叫服务台即可访问受信任的应用程序。这样可以释放 IT 资源，将精力集中在更具战略意义的方面，同时还可以帮助最终用户更有效地完成工作。​
6. 部署适用的自助服务计划。与上文所述类似，组织可以采取的任何减少不必要的服务台呼叫的措施都可以节省大量的时间和人力。建立受 MFA 保护的自助服务密码重置和帐户解锁功能，使最终用户能够重置自己的公司密码并解锁自己的帐户。自助服务应用程序和服务器访问请求进一步使最终用户和远程供应商可以请求访问应用程序、服务器和其他关键内部系统，从而使 IT 和管理部门可以批准访问而无需提交服务台票证。自助 MFA 注册/替换允许最终用户注册新的身份验证器以及替换和重置密码。这些功能还为最终用户提供了在无需提交票证即可替换丢失或被盗凭据的能力。最后，自助服务还引入了请求访问应用程序或服务器的能力，而不会增加服务台的负担。
7. 为第三方用户提供即时特权分配。为动员员工所做的努力也对组织所依赖的第三方供应商的数量产生了明显影响。这些类型的用户不是公司目录的一部分，因此在管理和跟踪方面构成了新的挑战。通过引入一次性入职流程以自动分配和取消分配访问权限的解决方案，您可以显著减少攻击面。如此一来，供应商将具有即时访问权限——只需在需要时提供他们所需的访问权限即可——无需安全人员或 IT 管理员进行手动工作来分配权限和撤消对攻击面的访问权限。

在远程办公时代，平衡安全性和便利性对于组织来说是一项难题。由于许多员工目前都只能远程办公，而且恢复之日遥遥无期，因此解决这一难题的重要性比以往任何时候都加重要。通过遵循这些最佳实践，组织可以为其远程员工提供安全的访问权限，而不会影响生产力或业务实践。

无法参与 Impact Live 活动？没问题。只需注册获取 Impact 视频点播，随时随地观赏所有期会。

近几个月来，保持安全社交距离在我们个人和职业生活的几乎各个方面都扮演着关键作用。我们大多数人都在家办公。父母除了全职工作外，还要兼顾成为老师和全职看护者。哪怕只在街上走动一会儿也需要仔细计划：口罩？准备好了。消毒洗手液？准备好了。而虚拟聚会已经取代了社交活动。

很难想象生活何时或是否会恢复到“正常”状态，但是无论如何，现在，保持安全社交距离已成为我们词典的一部分。但是风险隔离又如何呢？保持安全社交距离是关于遵循建议的最佳实践以避免感染或传播新型冠状病毒，而风险隔离提醒我们遵循最佳安全实践以降低攻击风险。

随着新型冠状病毒的出现，风险局势也发生了巨大变化。各家公司一拥而上，采用新的应用程序和服务，以使远程工作成为可能。有风险的在家办公习惯使关键的业务系统和敏感信息处于危险之中。例如，最近的一项调查表明，77％ 的远程员工使用不受管理的、不安全的自备设备来访问公司系统。66％ 的远程员工使用具有已知安全漏洞的通信和协作工具，例如 Microsoft Teams 和 Zoom。同时，趁虚而入的网络罪犯扩大了攻击范围，从针对 RDP 服务器到发动复杂的勒索软件，以利用这一段不确定的时间。

组织面临的挑战是如何以最佳方式快速、适当地解决基础架构和生产力的需求，并认识到风险隔离的必要性。当涉及在分布式公司端点上保护远程工作者的特权访问时尤其如此。

在新常态下实践风险隔离

CNBC 的告指出，包括技术、金融服务和保险在内的行业已投资于远程办公工具，并且没有迹象表明它们将恢复到旧的经营方式。随着越来越多的组织长期推行在家办公政策，安全团队应认真研究现有的网络安全计划和优先级，以确定它们是否仍足以应对不断变化的形势。

我们精心策划了一系列资源，可帮助您制定新的战略，有效平衡安全性和生产力，组织的未来工作做好更充分的准备，并能够为您自己的组织推动安全和负责任的风险隔离。

请访问我们的风险隔离资源中心以了解为什么特权访问管理 (PAM) 是保护关键资产、工作站和远程用户访问的最有效方法之一。查看最佳实践，观看内容丰富的“专家问答”视频，并使用免费的 CyberArk 试用版本和工具，以帮助您识别和缓解环境中与特权相关的漏洞。

准备好实践风险隔离了吗？阅读我们的最新博客文章，以帮助指导您的下一步行动，包括：

• 应对“新常态”网络安全挑战
• 世卫组织的攻击对我们重新定义风险有什么启示
• 您需要考虑的 5 种远程用户类型
• 远程办公的新趋势推动端点（不）安全性
• 攻击者在寻找暴露的 RDP 服务器
• FBI 警告网络攻击案件大幅上升
• 特权访问管理确保远程工作者安全的 4 种方法
• 远程办公调查：家庭网络使用习惯如何危及公司网络安全

在短短的一个月之内，许多公司已经无法照常营业，数以百万计的工人已经转移到远程办公，获得重新分配以专注于不断发展的业务重点，或者在工作方面面临总体不确定性。IT 团队夜以继日地执行业务连续性计划，而在同时，网络攻击者也一直在努力并迅速地利用这些动态多变的环境中的弱点。

通过我与技术领导者的定期交谈，很明显，要在这种新形势下始终在已知和新威胁出现之前领先一步，使本来就已经很复杂的工作变得更加复杂。各地组织的 CIO 和 CISO 都在寻找最佳方法来应对这些挑战，同时又要确保员工的安全和生产力。随着组织适应这一“新常态”，安全领域领导者已确认出三个基本领域，作为跨关键人员、流程和技术维度的关键优先事项：

人员保护

虽然远程办公的采用率早在其成为必要要求之前就已经不断增长，但仍然有很多行业（例如政府、金融和教育行业）的人士从未采取过此类工作方式。如今，他们被迫采用一种完全不同办公方式。与此同时，他们要看护在家上学的孩子、照顾年迈的父母，在互联网上针对持续变化的状况关注最新消息，并抢先获取网上超市的送货时间。由于他们必须不断地考虑到种种的繁琐事项，他们往往会忽略到安全问题，而攻击者也知道这一点。攻击者利用这种混乱和干扰发出了网络钓鱼、勒索软件和社交工程攻击。一些网络攻击看似与工作相关，例如冒充 IT 团队发出的虚假电子邮件，要求用户在设置过程中单击链接，而另一些则通过操纵用户情感，要求他们支持某种“崇高事业”或假借政府津贴或其他经济补助的名义作为“鱼钩”。

保护设备和应用程序

IT 团队几乎没有多少时间来准备好应对远程办公人员的急剧增长。虽然部分员工有机会将办公室的计算机带回家，但另一些员工则使用了自己的技术设备办公。新设备和个人设备使用的激增带来了许多新的挑战，特别是对于那些尚未实施 BYOD 政策的组织。随着公司急于让员工联网，错误的配置比比皆是，让新设备保持默认（不安全）出厂设置更可能会使公司面临风险。攻击者不断地在伺机抓住这些“弱点”以便侵入组织网络。

此外，由于我们比以往任何时候都更依赖于传讯和电话会议应用程序来保持联系，因此攻击者也正在利用这些系统中的漏洞。无论是“Zoombombing”攻击（不请自来的与会者闯入并破坏 Zoom 会议），还是试图获取存储在 Web 浏览器中的应用程序凭据，攻击者已针对存在安全漏洞的基于 Web 的常用应用程序，有组织地发起各种攻击，使组织陷入危机。

保护连接和访问

根据 CNBC 的一项调查，有 53％ 的组织从未针对此类事件进行过压力测试。随着成千上万的员工尝试使用虚拟专用网络 (VPN) 进行连接以发送和接收数据，许多组织都面临安全性和可用性方面的挑战。雪上加霜的是，员工往往使用家中的 WiFi 网络来登录公司的 VPN。这些网络往往会有多名家庭成员试图进行远程办公和学习，而且通常并不安全、不受监控且超载运行。攻击者可以轻松地利用恶意软件感染这些 WiFi 路由器，从而使家庭中的所有连接设备（从电视、智能恒温器到手机和计算机）都容易受到攻击。

除了只为普通员工提供对服务器和系统的访问权限外，许多其他人员还需要访问敏感信息和数据以完成工作。尽管对于传统角色尤其如此（例如需要强大的特权访问关键系统的 IT 管理员），但随着来自财务和法律部门的员工也需要访问云控制台、RPA 控制台和编排工具，特权用户的数量仍在不断增加。

随着特权用户的定义迅速扩展，安全团队的一大问题便是如何保持这些用户从各种远程办公位置访问的内容、访问时间和时长的可见性。同时，许多组织已将各种职责分散，调配工人执行其他或不同的任务，以帮助可能人手短缺的部门。某些人员可能获得了前所未有的更高特权且通常没有适当的安全策略，例如自动设置和取消凭据。这使得攻击者可以轻松利用通常会授予强大内部人员的访问权限，借助其发起和执行攻击，并有可能获得对所有基础结构的控制权。

尽管 CISO 如今共同面对的安全问题并不新鲜，但它们比以往任何时候都更加尖锐。虽然我们经常认为这种“新常态”是暂时性的，但其很可能在当前局势结束后仍会持续很长时间。不习惯在家办公的员工可能会慢慢意识到优势，并能在远程办公和生活之间找到平衡。同样，他们的雇主可以实现运营效率、生产率的提高和员工赋权的机会，并允许甚至鼓励更多地进行远程办公。

无论未来如何发展，当今的组织所采取的行动都将为我们共同的明天提供启示。首先要 保持高度警惕 并保持强大的网络安全实践。有了这些作为基础，您就可以重新定义如何跨人员、跨流程和跨技术维度地应对风险，开始为打赢这一场持久战而从长计议。