零信任安全治理理念不再是陌生的話題，隨著社會面臨更復(fù)雜的信息安全風(fēng)險，不斷變化的網(wǎng)絡(luò)環(huán)境使得基于邊界的安全架構(gòu)不再具備抵御內(nèi)外部安全威脅的能力。傳統(tǒng)的以網(wǎng)絡(luò)中心化的安全體系架構(gòu)也逐步過渡到以身份為中心的網(wǎng)絡(luò)訪問控制理念。

基于零信任理念衍生的安全管理框架也在逐步貼合更多的安全管理需求，例如如何平衡用戶、員工與安全管理間的摩擦問題。過渡代償式的安全管控會造成糟糕的用戶體驗，增加用戶的流失率，同時降低員工的敏捷性，增加運營成本，直接影響就是降低業(yè)務(wù)收入。

根據(jù) Verizon 數(shù)據(jù)泄漏調(diào)查報告顯示，81% 的黑客相關(guān)泄漏事故都是因為憑證盜取造成的。過去傳統(tǒng)的安全治理辦法是添加更多的身份認(rèn)證流程，例如在帳號密碼單因素認(rèn)證下添加第二種認(rèn)證因素，短信/郵箱等驗證流程，這種辦法被稱為 2FA，即雙因素認(rèn)證。然而這種辦法并不能有效解決此類問題，不法分子會通過釣魚網(wǎng)站/郵件/短信等手段獲取相應(yīng)的 OTP 指令或者建設(shè)偽基站來劫取驗證信息。

在此基礎(chǔ)上，2FA 也迭代成 MFA，即多因素認(rèn)證，在 OTP 指令的基礎(chǔ)上增加了生物特征識別技術(shù)，例如指紋、人臉等。這種辦法能有效解決上述問題，但也同樣衍生出新的問題，受限于設(shè)備（例如設(shè)備需要支持指紋和人臉識別）、技術(shù)等客觀因素，并不能有效覆蓋認(rèn)證的所有場景。同時增加不必要的因素認(rèn)證流程會增加用戶體驗的負(fù)擔(dān)。

「自適應(yīng)多因素認(rèn)證（AMFA）」在傳統(tǒng)多因素認(rèn)證（MFA）的基礎(chǔ)上根據(jù)上下文判斷當(dāng)前的安全狀況以確認(rèn)是否需要增加多因素認(rèn)證。通過判斷用戶屬性、上下文行為、ip 地址、設(shè)備信息、地理位置等多種「要素」動態(tài)評估風(fēng)險。例如當(dāng)用戶異地登錄時或者異常 ip 登錄時添加多因素認(rèn)證，而當(dāng)用戶在常用的設(shè)備以及公司 ip 登錄時則無需二次驗證，這有效解決了用戶體驗與安全管理的摩擦問題。

然而，「自適應(yīng)多因素認(rèn)證 AMFA」?雖然有效解決了上述問題，但對于安全環(huán)境更復(fù)雜以及對于安全審計有特殊要求的組織來說，僅在安全敏感節(jié)點設(shè)置點狀的一次性自適應(yīng) MFA 并不能全面覆蓋企業(yè)內(nèi)所有潛在的安全風(fēng)險，此時，「持續(xù)自適應(yīng)信任（CAT）」作為下一代安全管理模型被提出，而基于自適應(yīng)信任框架的「持續(xù)自適應(yīng)多因素認(rèn)證（CAMFA）」則是解決上述問題的最佳實踐。本文將介紹什么是持續(xù)自適應(yīng)信任以及如何實現(xiàn)持續(xù)自適應(yīng)多因素認(rèn)證。

01.什么是持續(xù)自適應(yīng)信任（CAT）？

持續(xù)自適應(yīng)信任（Continuous Adaptive Trust, CAT）是一種基于動態(tài)信任評估的安全模型，旨在實現(xiàn)對數(shù)字化生態(tài)系統(tǒng)中的實體（如人員、設(shè)備、應(yīng)用程序和服務(wù)）進行持續(xù)監(jiān)測和自適應(yīng)信任評估，從而有效地識別和響應(yīng)威脅。CAT 模型的核心思想是基于實體行為和可觀測數(shù)據(jù)的實時分析，借助機器學(xué)習(xí)、人工智能等技術(shù)，對實體的行為進行動態(tài)評估，并根據(jù)評估結(jié)果來調(diào)整對實體的信任級別。CAT 模型具有高度自適應(yīng)性和靈活性，可以根據(jù)實體行為的變化實時調(diào)整信任評估策略，從而更好地適應(yīng)不斷變化的威脅環(huán)境。通過實現(xiàn)持續(xù)自適應(yīng)信任評估，CAT 模型可以有效地提高數(shù)字化生態(tài)系統(tǒng)的安全性和可信度，保護企業(yè)和用戶的數(shù)字資產(chǎn)和隱私。

從“應(yīng)急響應(yīng)”到“持續(xù)響應(yīng)”，持續(xù)自適應(yīng)信任構(gòu)建企業(yè)安全免疫系統(tǒng)

舉一個更易懂的例子。「持續(xù)自適應(yīng)信任」在微觀層面類似生物自身的免疫系統(tǒng)，在宏觀層面類似一套完整的生態(tài)系統(tǒng)。生物的免疫系統(tǒng)可以對新的安全威脅自主地快速做出反應(yīng)并進行調(diào)整，而生態(tài)系統(tǒng)則是孵化生物的基本條件，豐富多元的生態(tài)系統(tǒng)可以幫助生物適應(yīng)更復(fù)雜的環(huán)境以及造就更強大的免疫系統(tǒng)能力。

換言之，依靠豐富多元的 IT 基礎(chǔ)設(shè)施能幫助自適應(yīng)信任構(gòu)建更強大完善的自適應(yīng)信任體系，所以持續(xù)自適應(yīng)信任并非單一的產(chǎn)品或解決方案，它需要一套完善的全場景用戶訪問認(rèn)證功能以及權(quán)限管理等能力，才能更全面的保護企業(yè)信息安全。

過去傳統(tǒng)組織依賴預(yù)防和基于策略的安全控制，部署防病毒軟件、防火墻、入侵防御系統(tǒng)（IDS/DPS）等產(chǎn)品，而這種辦法已經(jīng)不能適應(yīng)如今和未來的安全環(huán)境。Gartner 提倡為了實現(xiàn)對更復(fù)雜威脅的防控，建議將安全思維方式從“應(yīng)急響應(yīng)”到“持續(xù)響應(yīng)”轉(zhuǎn)變。下一代的安全保護流程的核心是持續(xù)、普遍的監(jiān)控和可見性，企業(yè)的安全監(jiān)控應(yīng)該無處不在，并盡可能多的包含 IT 堆棧層，包括網(wǎng)絡(luò)活動、端點、系統(tǒng)交互、應(yīng)用程序事務(wù)和用戶活動監(jiān)控。

從零信任延展至持續(xù)自適應(yīng)信任（CAT）

零信任的三個主要原則“默認(rèn)不信任任何實體（人、設(shè)備、軟件等）”“始終持續(xù)驗證”“執(zhí)行最小特權(quán)”，在零信任架構(gòu)中最主要的兩個點：

• 認(rèn)證：收集和分析信息來建立對實體的信任級別

• 訪問控制：根據(jù)身份信息和信任級別控制實體對資源訪問權(quán)限

從企業(yè)安全的角度來看，身份認(rèn)證是實體證明其可信的過程，需要基于豐富、持續(xù)、準(zhǔn)確的數(shù)據(jù)源為基礎(chǔ)。而從用戶體驗的角度來看，無體感/弱體感的身份認(rèn)證能保障用戶的留存率和員工的工作效率。

由于開啟零信任之旅需要首先解決零信任認(rèn)證問題，所以在沒有有效的零信任方案前，很多組織為認(rèn)證過程添加弱因素認(rèn)證，有技術(shù)能力的組織會在一些敏感節(jié)點添加多因素認(rèn)證以及單點登錄來試圖保障安全和用戶體驗的平衡，但由于無法實現(xiàn)在用戶會話過程中持續(xù)動態(tài)的評估和認(rèn)證，通常會采取設(shè)置長會話計時器來減少多因素認(rèn)證的頻次。

無論是在各類敏感會話場景中增加多因素認(rèn)證流程或者是添加會話計時器等方式，本質(zhì)上都不能有效解決安全和用戶體驗的問題，反而會增加企業(yè)安全支出并且影響用戶體驗。

這些問題都是組織在實施零信任過程中將零信任三個原則簡單的理解為增加更多的認(rèn)證流程或者對每個認(rèn)證環(huán)節(jié)增加因素認(rèn)證。事實上，將“零信任”的理念換個角度思考就是“持續(xù)獲得信任”，只有持續(xù)獲得信任的身份才被允許進行下一步操作。某個身份需要持續(xù)獲得信任的條件是需要系統(tǒng)持續(xù)對其進行風(fēng)險評估，而為了要保障用戶體驗，這些評估需要用戶無體感的執(zhí)行，這時，就需要持續(xù)的自適應(yīng)信任（CAT）。本質(zhì)上，持續(xù)自適應(yīng)信任是基于零信任理念的最佳范式。

02.持續(xù)自適應(yīng)多因素認(rèn)證（CAMFA）構(gòu)建企業(yè)零信任環(huán)境

如文章開頭所述，自適應(yīng)多因素認(rèn)證（AMFA）能有效解決用戶體驗和安全管理摩擦問題，但審計監(jiān)管機構(gòu)以及企業(yè)安全和業(yè)務(wù)部門對 MFA 的要求也越來越高，他們希望尋求安全性更高、更靈活、響應(yīng)更快、用戶體驗更好以及成本更低的 MFA 解決方案。

什么是持續(xù)自適應(yīng)多因素認(rèn)證（CAMFA）

「持續(xù)自適應(yīng)多因素認(rèn)證（Continuous Adaptive Multi-Factor Authentication，CAMFA）」是一種安全身份驗證方法，它在自適應(yīng)多因素認(rèn)證（基于上下文屬性判斷當(dāng)前安全狀況以增加因素認(rèn)證）的基礎(chǔ)上增加了實時風(fēng)險評估技術(shù)對用戶進行動態(tài)評估安全系數(shù)。在時間維度上，持續(xù)自適應(yīng)多因素認(rèn)證在用戶整個使用旅程中持續(xù)不斷的對其進行信任評估，以決定是否需要增加額外的認(rèn)證流程。這樣做的好處就是企業(yè)的安全得到實時監(jiān)控，而用戶只會在進行風(fēng)險操作時被提示需要進行額外的認(rèn)證。

持續(xù)自適應(yīng)多因素認(rèn)證（CAMFA）對企業(yè)的價值

身份認(rèn)證是企業(yè)安全的基礎(chǔ)，在安全監(jiān)管要求下，從傳統(tǒng)的賬密登錄轉(zhuǎn)向多因素認(rèn)證（MFA）是必然的趨勢。然而根據(jù)微軟的網(wǎng)絡(luò)信號報告顯示，只有 22% 的 AD 身份使用了 MFA，其最主要的原因是，傳統(tǒng) MFA 為客戶和組織內(nèi)部員工提供了糟糕的用戶體驗。在用戶流失和生產(chǎn)力阻礙面前，企業(yè)通常選擇關(guān)閉 MFA 來承擔(dān)額外的安全風(fēng)險。

而自適應(yīng)多因素認(rèn)證（AMFA）是平衡安全和用戶體驗有效方案，然而和傳統(tǒng)多因素認(rèn)證（MFA）一樣，對于面臨更復(fù)雜的安全環(huán)境和有特殊安全監(jiān)管需求的企業(yè)來說，僅用一次性的身份認(rèn)證來控制對敏感系統(tǒng)的訪問已經(jīng)不再足夠，用戶的安全狀況可能在系統(tǒng)會話期間動態(tài)變化。此時企業(yè)需要有持續(xù)評估安全風(fēng)險技術(shù)來對用戶進行動態(tài)安全系數(shù)評估，并基于該評估來決定是否需要增加額外的因素認(rèn)證。

通過持續(xù)自適應(yīng)多因素認(rèn)證（CAMFA）為企業(yè)實施零信任安全環(huán)境

持續(xù)自適應(yīng)信任體系能確保企業(yè)實現(xiàn)真正意義上的零信任安全環(huán)境，而實現(xiàn)持續(xù)自適應(yīng)信任體系的最佳實踐則是實施「持續(xù)自適應(yīng)多因素認(rèn)證」。通過持續(xù)自適應(yīng)多因素認(rèn)證提供持續(xù)風(fēng)險評估能力來判斷外部風(fēng)險信號和內(nèi)部數(shù)據(jù)，同時基于「持續(xù)自適應(yīng)多因素認(rèn)證」的策略引擎來根據(jù)組織設(shè)定的安全策略對這些風(fēng)險信號和訪問請求進行評估。

零信任安全模型通常包含一個策略引擎，該策略引擎用以接受風(fēng)險信號和相關(guān)數(shù)據(jù)，以及配置安全策略和執(zhí)行安全策略。通過結(jié)果判斷是否需要觸發(fā)多因素認(rèn)證。

如何快速為你的企業(yè)構(gòu)建持續(xù)自適應(yīng)多因素認(rèn)證？

值得注意的是，企業(yè)實現(xiàn)持續(xù)自適應(yīng)認(rèn)證，策略引擎必須能夠連接上下文數(shù)據(jù)與用戶和設(shè)備等實體關(guān)聯(lián)起來，而保障其決策準(zhǔn)確性的前提就是能夠拓展到更細(xì)粒度的身份上獲取更多數(shù)據(jù)作為依據(jù)。同時為了提高拓展性、靈活性以及持續(xù)性，該流程必須是自動化執(zhí)行的。而需要實現(xiàn)上述能力的關(guān)鍵是企業(yè)的身份訪問與管理系統(tǒng)具有可編排的自動化能力，同時也需要具備元數(shù)據(jù)能力來統(tǒng)一不同來源上報的行為數(shù)據(jù)的標(biāo)準(zhǔn)，通過自動化編排能力將整個身份驗證流程串聯(lián)，以實現(xiàn)持續(xù)響應(yīng)的自適應(yīng)多因素認(rèn)證。

Authing 提供基于身份自動化編排引擎的「持續(xù)自適應(yīng)多因素認(rèn)證」。自適應(yīng) MFA 認(rèn)證策略底層基于 Authing UEBA（用戶或?qū)嶓w行為分析技術(shù)），可以針對用戶行為和用戶畫像進行深度梳理分析，從而自動選擇與當(dāng)前行為相匹配的 MFA 策略。

在自適應(yīng) MFA 認(rèn)證策略中，Authing UEBA 引擎會根據(jù)用戶的行為和畫像進行分析和判斷，例如用戶的登錄歷史、設(shè)備信息、IP 地址、地理位置、活動模式等等，從而確定當(dāng)前用戶的身份和風(fēng)險級別，并選擇與之相匹配的 MFA 策略。而持續(xù)自適應(yīng)多因素認(rèn)證（CAMFA）是在自適應(yīng)多因素認(rèn)證(AMFA)的基礎(chǔ)上加上 Authing 身份自動化編排引擎。

當(dāng)用戶的業(yè)務(wù)系統(tǒng)接入 Authing 后，從業(yè)務(wù)系統(tǒng)后端上報的 UEBA 數(shù)據(jù)到 Authing 系統(tǒng)，通過在 Authing 配置的持續(xù)自適應(yīng) MFA 安全策略流，在訂閱安全策略流發(fā)布的事件后。此時自適應(yīng)安全策略將持續(xù)對 MFA 事件進行監(jiān)聽，當(dāng)接收到 MFA 事件后，將執(zhí)行相應(yīng)的安全策略。