過(guò)去,網(wǎng)絡(luò)定義企業(yè)安全邊界,保護(hù)網(wǎng)絡(luò)安全是價(jià)值最高的地方。所以,很多安全廠商憑借“一套防火墻打天下”!
然而,隨著企業(yè)數(shù)字化轉(zhuǎn)型深入演進(jìn),遠(yuǎn)程辦公、云分布式應(yīng)用程序等出現(xiàn),企業(yè)網(wǎng)絡(luò)邊界逐漸消失,由此帶來(lái)了嚴(yán)重的信任危機(jī)。
這時(shí)候,如果你已經(jīng)不能信任收到的消息,那你必須要信任發(fā)送消息的人。這就意味著你必須弄清楚這個(gè)人是誰(shuí),ta為什么試圖與你互動(dòng),以及你是否應(yīng)該打開該消息。
于是,身份成為了企業(yè)新的安全邊界,保護(hù)身份安全是企業(yè)價(jià)值最高的地方!
01
身份成為企業(yè)數(shù)字安全首要威脅
2023 年 11 月,Okta 向客戶發(fā)出警報(bào)稱其遭遇了漏洞。雖然這對(duì)于任何可能受影響的客戶來(lái)說(shuō)都是一個(gè)可怕的消息,但大多數(shù)人只是希望自己不是受影響的客戶之一。不幸的是,100%的客戶都受到了影響。一個(gè)月前,Okta 估計(jì)只有約1%的客戶會(huì)感受到影響,而實(shí)際上卻差了一大截。
但 Okta 并不孤單。高達(dá)80%的違規(guī)行為都是由于身份問(wèn)題(例如憑證泄露、弱密碼等)造成的。僅在 2023 年下半年,國(guó)外MGM、Caesar's和 New Relic 等公司都與Okta一起發(fā)生了影響身份信息泄露的事件。這些違規(guī)行為造成的損失可能高達(dá)數(shù)億美元。
實(shí)際數(shù)據(jù)調(diào)查顯示也再次證明身份成為企業(yè)數(shù)字安全首要威脅:截至 2023 年,75%的安全漏洞是由身份、訪問(wèn)或權(quán)限管理不善造成的。2020 年的一份報(bào)告發(fā)現(xiàn),79%的組織在過(guò)去兩年內(nèi)發(fā)生過(guò)與身份相關(guān)的泄露事件。
換句話說(shuō),如果企業(yè)做好了身份安全,企業(yè)的數(shù)字安全威脅就可以解決一大半。因此,從解決企業(yè)數(shù)字安全危機(jī)的角度來(lái)看,優(yōu)先保護(hù)你的企業(yè)身份安全!
02
身份管理是所有安全業(yè)務(wù)的核心記錄系統(tǒng)
身份管理是所有其他安全業(yè)務(wù)的核心記錄系統(tǒng)。無(wú)論是人的身份,還是機(jī)器設(shè)備等身份,身份作為他們登錄的身份憑證與數(shù)字軌跡的載體,不僅構(gòu)成了具有虛擬人格的數(shù)字檔案,而且承載了較高的經(jīng)濟(jì)價(jià)值,成為個(gè)體或機(jī)器設(shè)備等最寶貴的數(shù)字資產(chǎn)之一。
也就是說(shuō),如果企業(yè)可以識(shí)別用戶、工作負(fù)載或機(jī)器設(shè)備,那么企業(yè)就可以更好地分析他們?cè)诙它c(diǎn)、網(wǎng)絡(luò)、應(yīng)用服務(wù)、SIEM(安全信息與事件管理)甚至開發(fā)人員供應(yīng)鏈中的活動(dòng),并基于此進(jìn)行業(yè)務(wù)創(chuàng)新與安全運(yùn)營(yíng)管理創(chuàng)新等。
未來(lái),身份數(shù)據(jù)甚至可以與來(lái)自端點(diǎn)、API、云服務(wù)、容器等數(shù)據(jù)流相結(jié)合,然后發(fā)送到某個(gè)通用授權(quán)層,以此動(dòng)態(tài)判斷某些訪問(wèn)行為是否應(yīng)該允許發(fā)生。這樣的身份與訪問(wèn)創(chuàng)新實(shí)踐,又將進(jìn)一步強(qiáng)化企業(yè)身份安全,從而減少企業(yè)安全事件發(fā)生。
所以,從企業(yè)業(yè)務(wù)創(chuàng)新與安全運(yùn)營(yíng)創(chuàng)新的角度來(lái)看,加強(qiáng)企業(yè)身份安全投入亦是企業(yè)獲取高價(jià)值回報(bào)的方式之一。
03
身份是未來(lái)中國(guó)網(wǎng)絡(luò)安全重要趨勢(shì)的核心
2023年底,Gartner發(fā)布了有關(guān)2024年及未來(lái)中國(guó)網(wǎng)絡(luò)安全重要趨勢(shì)報(bào)告。報(bào)告中提及了下圖所示的未來(lái)中國(guó)網(wǎng)絡(luò)安全7大趨勢(shì)。從這7大趨勢(shì)中,我們可以發(fā)現(xiàn)與身份直接強(qiáng)相關(guān)的就有2項(xiàng)——“身份優(yōu)先安全”和“零信任采用”。
而從“以業(yè)務(wù)為中心的安全投資”的角度來(lái)看,Gartner認(rèn)為CIO需要就網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、網(wǎng)絡(luò)安全項(xiàng)目的有效性和業(yè)務(wù)價(jià)值進(jìn)行有效溝通,并確定以業(yè)務(wù)為中?的安全投資的優(yōu)先級(jí),在審查網(wǎng)絡(luò)安全預(yù)算時(shí)從業(yè)務(wù)角度論證安全投資的必要性。身份作為所有業(yè)務(wù)應(yīng)用系統(tǒng)使用與訪問(wèn)的基礎(chǔ),又是所有其他安全業(yè)務(wù)的核心記錄系統(tǒng),做好身份安全,業(yè)務(wù)才安全。
此外,從“網(wǎng)絡(luò)安全平臺(tái)整合”趨勢(shì)來(lái)看,中國(guó)企業(yè)機(jī)構(gòu)希望降低復(fù)雜性、簡(jiǎn)化運(yùn)營(yíng)并提高員工效率。精簡(jiǎn)供應(yīng)商數(shù)量之后,企業(yè)可利用數(shù)量更少的產(chǎn)品降低運(yùn)營(yíng)復(fù)雜性、提升員工效率、實(shí)現(xiàn)更廣泛的集成。身份的集成統(tǒng)一安全管理,就是一個(gè)很好的切入點(diǎn)。
剩下的其他3大趨勢(shì),身份安全在其中也承擔(dān)著不可或缺的安全防護(hù)角色。所以,如果從Gartner預(yù)測(cè)的未來(lái)中國(guó)網(wǎng)絡(luò)安全重要趨勢(shì)來(lái)看,身份安全亦是企業(yè)數(shù)字安全建設(shè)的核心!
04
做好企業(yè)數(shù)字身份安全建設(shè)并不容易
所以,無(wú)論是從企業(yè)數(shù)字安全威脅,還是企業(yè)業(yè)務(wù)創(chuàng)新與安全運(yùn)營(yíng),亦或是未來(lái)中國(guó)網(wǎng)絡(luò)安全發(fā)展趨勢(shì)來(lái)看,做好企業(yè)身份安全,構(gòu)建統(tǒng)一身份與訪問(wèn)控制平臺(tái)(IAM)是企業(yè)建設(shè)數(shù)字安全的價(jià)值最高點(diǎn)。
然而,要做好企業(yè)身份安全建設(shè)并不容易。有數(shù)據(jù)顯示,近一半的組織使用超過(guò) 25 個(gè)系統(tǒng)來(lái)管理身份和訪問(wèn)權(quán)限。隨著公司的成長(zhǎng)、收購(gòu)、被收購(gòu),以及人員在短時(shí)間內(nèi)身份和權(quán)限的變化,分子公司業(yè)務(wù)系統(tǒng)的分散管控......身份管理的復(fù)雜性變得越來(lái)越糟。
身份就像一個(gè)復(fù)雜的野獸,它涉及組織的許多不同方面,每個(gè)職能領(lǐng)域都有自己的身份跟蹤理念。最重要的是,身份長(zhǎng)期以來(lái)一直被認(rèn)為主要是一個(gè)IT問(wèn)題。
而事實(shí)上,企業(yè)需要正確地認(rèn)識(shí)到,數(shù)字時(shí)代,網(wǎng)絡(luò)安全問(wèn)題已經(jīng)從IT問(wèn)題轉(zhuǎn)變?yōu)闃I(yè)務(wù)問(wèn)題。網(wǎng)絡(luò)安全戰(zhàn)略亦從IT戰(zhàn)略轉(zhuǎn)變?yōu)闃I(yè)務(wù)戰(zhàn)略,并最終支持戰(zhàn)略業(yè)務(wù)目標(biāo)和增長(zhǎng)。而身份越來(lái)越成為網(wǎng)絡(luò)安全領(lǐng)域的核心。企業(yè)需要思考將身份安全深度整合到現(xiàn)有業(yè)務(wù)流程及IT環(huán)境中;要從控制商業(yè)風(fēng)險(xiǎn)的角度著手,而不是單純的一項(xiàng)技術(shù)控制。
05
做好企業(yè)數(shù)字身份安全建設(shè)的幾點(diǎn)建議
派拉軟件認(rèn)為,企業(yè)要做好數(shù)字身份安全建設(shè),為數(shù)字安全奠定安全基石,可以從以下幾點(diǎn)建議著手:
1、基于業(yè)務(wù)風(fēng)險(xiǎn),定義信息資產(chǎn)的優(yōu)先級(jí)。清楚哪些信息資產(chǎn)需要保護(hù),優(yōu)先級(jí)是什么?從而結(jié)合IAM平臺(tái),對(duì)相關(guān)信息資產(chǎn)涉及的業(yè)務(wù)系統(tǒng)進(jìn)行對(duì)應(yīng)的強(qiáng)安全認(rèn)證與嚴(yán)格的細(xì)粒度權(quán)限訪問(wèn)控制;
2、給最重要的資產(chǎn)提供特別保護(hù),即對(duì)于優(yōu)先級(jí)高的資產(chǎn),進(jìn)行特殊保護(hù)。例如采用特權(quán)訪問(wèn)管理(PAM),加強(qiáng)對(duì)特權(quán)身份與訪問(wèn)的管控,并對(duì)核心數(shù)據(jù)庫(kù)操作等進(jìn)行嚴(yán)格權(quán)限設(shè)置,從而加強(qiáng)重要資產(chǎn)的保護(hù);
3、將身份安全融入企業(yè)全面風(fēng)險(xiǎn)管理及治理過(guò)程。身份作為企業(yè)所有業(yè)務(wù)流程的起點(diǎn),其安全問(wèn)題幾乎與企業(yè)所有重要業(yè)務(wù)流程交織在一起;
4、培養(yǎng)員工安全意識(shí),主動(dòng)保護(hù)個(gè)人信息安全。員工往往是企業(yè)數(shù)字安全最大的弱點(diǎn)——點(diǎn)擊不安全鏈接、使用不安全密碼、敏感文件用郵件廣泛傳播......故因根據(jù)員工所需訪問(wèn)的資產(chǎn),對(duì)員工分類管理,并嚴(yán)格管控權(quán)限。
......