你好,我是茆正华。欢迎来到派拉软件“数字安全前沿栏目”之解读《新一代身份和访问控制管理》的第四讲:AI技术如何与IAM技术融合创新,智能化赋能企业数字化身份安全管控?
AI,一种试图用机器对人类智能的模拟技术。2023年ChatGPT的横空出世,人工智能发展再一次迈入关键时期,以生成式人工智能为代表的新技术、新应用不断打破人们对人工智能的固有认知。
当人工智能可以通过人类最严格的考试、同时执行多种工作命令、具备一定的推理规划能力、生成代码、生成以假乱真的照片、模仿人类与人聊天不被发现时,我们发现AI正在代替人做的事情越来越多了。
与此同时,我们也第一次切实感受到了AI的强大,有关“AI到底是减弱人的价值还是增强人的价值”的讨论愈演愈烈。
我的观点是,这取决于你怎么用它!
以身份治理与身份安全管理为例,看看在IAM技术的未来发展中可以怎样融合AI强大的机器学习和分析能力,利用海量用户行为数据分析,为现实世界进入数字世界的大门站好第一道岗。
在本栏目解读的前几讲中,我曾说过,IAM是链接现实世界和数字世界的纽带,把现实世界中的人或实体一比一映射到数字世界,从而在数字世界里给彼此间的认识、交流、互动建立基础。
在这个基础上,现实世界中的主体要想进入数字世界访问相应的客体资源,首先需要建立安全可信的身份认证。只有在身份核验认证通过后,现实世界的主体才能进入数字世界。
但哪些客体资源可以访问,又需要有对应的权限管控。在整个访问控制过程中,还需要通过审计能力,记录监控这一切。
也就是说,在全面数字化的世界里,一个现实世界主体进入数字世界,并在数字世界安全地工作、生活过程中,需要借助IAM的身份、认证、访问权限管控、风险审计4大基础安全能力。
1.
无感化认证:极致化登录体验
当你在数字世界入口前,AI就开始对你的身份、行为全方位扫描、分析,利用无监督学习,学习用户特定行为(如登录时间、习惯,设备,生物特征等),发现合法账号是否被非法使用;
或通过图表征学习与聚类算法相结合挖掘黑产用户账号,并配合MFA的打击能力,对黑产的源头进行精准打击,有效的避免非法的人持有合法账号的非法行为。
在这样的安全认证保障下,AI还可以基于海量数据形成的个人画像,在你进入数字世界入口时,设计出符合个人习惯、特性的独特身份认证方式,实现基于多因素的自适应身份验证,甚至是无感化认证,在保障提升认证准确性、安全性的同时,提升你的认证登录体验。
2.
访问即权力:智能化最小权限
进入数字世界后,你开始根据自己的工作需求以及所拥有的权限访问各个客体,获取相应的资源。
此时,如果你是一个全新用户,在没有管理员授权前提下,你会处处碰壁,无法在这个数字世界生存。而如果管理员把你的权限设置过大,又会滋生权限滥用等风险。
而对于一个中大型组织企业而言,所有的应用系统中的权限项可能突破百万级,权限如何精准设置是个精细活。
传统的依靠管理员进行人工配置所有人的权限项手段越来越不可靠。那这种具备工作量大、容易出错且要求精准等特征的工作是否可以通过AI来解决呢?
答案是可以的!
AI 技术的三大核心要素,即算法、算力、数据。其中算法是 AI 的“大脑”,目前算法应用主要区分为决策式和生成式。前者是根据已有数据进行分析、判断、预测;后者是基于已有数据进行模仿式创作,生成全新的内容。
在IAM的权限治理层面, AI可以利用其天生具备的强大数据收集、深度学习分析能力,结合生成式算法,通过对全域、全组织内、全工作过程中对业务系统的细粒度权限项的使用知识学习,快速地为一个新用户需要处理的工作的最小权限进行智能推荐。
即使这个新用户在公司就职过程中,存在职责或人事变动,AI也会即时做出调整,并智能推荐相应权限。
与此同时,在管理系统中进行自动化、智能化分配,加大权限的细粒度精准管控,也减少人工干预的错误和操作的滞后性,提升系统访问控制权限的灵活性、精确性以及安全性,让你感受到“访问即权力”的真谛。
3.
全过程监控:精准化风险管控
而在你从进入数字世界前到生活在数字世界全程中,引入AI能力的IAM会不眠不休地监测你的行为、全程监督。
例如,针对用户有意识或是无意识的风险操作,AI都可以根据统计规则的正态分布规律进行探索发现,及时监测出是机器人操作还是合法人的恶意操作等。
此外,通过广泛的数据收集与深度学习能力,结合不同场景,分析用户和实体行为,更准确地检测出用户操作行为的细微变化,配合专家知识库,分析你在访问过程中潜在的威胁行为,如异常登录尝试、大规模数据下载等可疑活动;
以极高的准确率命中异常事件,并及时、自动化地做出反应,有效防止企业核心数据泄漏、员工违规操作、账号盗用等安全问题,同时能为安全事件调查提供更加精准的依据输出。
4.
新技术风险:动态化网络安全
以上,我从IAM四大基础能力,即身份、认证、访问权限管控、风险审计,并结合用户进入数字世界生活、工作的全过程,试图为大家讲清楚AI如何赋能IAM管控全过程。
当然,AI赋能IAM的地方绝不仅此,以上只是抛砖引玉,提供一个思考方向。企业可以根据实际在身份和访问控制管理的薄弱环节,尝试将AI技术融入其中。
但在这个过程中,我们也不能忽略AI可能带来的潜在安全威胁。
例如,AI模型本身可能就存在漏洞,即新技术的内生安全。ChatGPT发布后爆出的各种安全事件也证实了这个观点;
其次,新技术在安全领域的赋能,既可以赋能于防御,也可能赋能于攻击。所以,AI技术也会被恶意利用,使得不法分子的攻击能力增强;
再者,新技术自身缺陷可能并不影响新技术系统自身的运行,但这种缺陷却给其他领域带来了问题,导致其他领域变得不安全,即新技术的衍生安全问题。
例如,由于AI技术依赖大量用户数据进行学习,数据滥用和隐私问题可能会成为安全隐患……
所以,我们要认识到,网络安全始终是动态的,没有百分百的安全防护解决方案。一个安全问题解决了,另一个安全问题又会冒出来。新技术更是导致网络空间安全具有动态特征的主要因素之一。
要做好网络安全,就注定要在这条永无止境的路上,不断前行!这也是为什么派拉软件15年来,始终坚持在数字身份安全领域持续深耕的原因。
以上就是本期全部内容,我们下期内容再见,也欢迎你在文末留言,对本期内容进行探讨。