过去,网络定义企业安全边界,保护网络安全是价值最高的地方。所以,很多安全厂商凭借“一套防火墙打天下”!
然而,随着企业数字化转型深入演进,远程办公、云分布式应用程序等出现,企业网络边界逐渐消失,由此带来了严重的信任危机。
这时候,如果你已经不能信任收到的消息,那你必须要信任发送消息的人。这就意味着你必须弄清楚这个人是谁,ta为什么试图与你互动,以及你是否应该打开该消息。
于是,身份成为了企业新的安全边界,保护身份安全是企业价值最高的地方!
01
身份成为企业数字安全首要威胁
2023 年 11 月,Okta 向客户发出警报称其遭遇了漏洞。虽然这对于任何可能受影响的客户来说都是一个可怕的消息,但大多数人只是希望自己不是受影响的客户之一。不幸的是,100%的客户都受到了影响。一个月前,Okta 估计只有约1%的客户会感受到影响,而实际上却差了一大截。
但 Okta 并不孤单。高达80%的违规行为都是由于身份问题(例如凭证泄露、弱密码等)造成的。仅在 2023 年下半年,国外MGM、Caesar's和 New Relic 等公司都与Okta一起发生了影响身份信息泄露的事件。这些违规行为造成的损失可能高达数亿美元。
实际数据调查显示也再次证明身份成为企业数字安全首要威胁:截至 2023 年,75%的安全漏洞是由身份、访问或权限管理不善造成的。2020 年的一份报告发现,79%的组织在过去两年内发生过与身份相关的泄露事件。
换句话说,如果企业做好了身份安全,企业的数字安全威胁就可以解决一大半。因此,从解决企业数字安全危机的角度来看,优先保护你的企业身份安全!
02
身份管理是所有安全业务的核心记录系统
身份管理是所有其他安全业务的核心记录系统。无论是人的身份,还是机器设备等身份,身份作为他们登录的身份凭证与数字轨迹的载体,不仅构成了具有虚拟人格的数字档案,而且承载了较高的经济价值,成为个体或机器设备等最宝贵的数字资产之一。
也就是说,如果企业可以识别用户、工作负载或机器设备,那么企业就可以更好地分析他们在端点、网络、应用服务、SIEM(安全信息与事件管理)甚至开发人员供应链中的活动,并基于此进行业务创新与安全运营管理创新等。
未来,身份数据甚至可以与来自端点、API、云服务、容器等数据流相结合,然后发送到某个通用授权层,以此动态判断某些访问行为是否应该允许发生。这样的身份与访问创新实践,又将进一步强化企业身份安全,从而减少企业安全事件发生。
所以,从企业业务创新与安全运营创新的角度来看,加强企业身份安全投入亦是企业获取高价值回报的方式之一。
03
身份是未来中国网络安全重要趋势的核心
2023年底,Gartner发布了有关2024年及未来中国网络安全重要趋势报告。报告中提及了下图所示的未来中国网络安全7大趋势。从这7大趋势中,我们可以发现与身份直接强相关的就有2项——“身份优先安全”和“零信任采用”。
而从“以业务为中心的安全投资”的角度来看,Gartner认为CIO需要就网络安全风险、网络安全项目的有效性和业务价值进行有效沟通,并确定以业务为中⼼的安全投资的优先级,在审查网络安全预算时从业务角度论证安全投资的必要性。身份作为所有业务应用系统使用与访问的基础,又是所有其他安全业务的核心记录系统,做好身份安全,业务才安全。
此外,从“网络安全平台整合”趋势来看,中国企业机构希望降低复杂性、简化运营并提高员工效率。精简供应商数量之后,企业可利用数量更少的产品降低运营复杂性、提升员工效率、实现更广泛的集成。身份的集成统一安全管理,就是一个很好的切入点。
剩下的其他3大趋势,身份安全在其中也承担着不可或缺的安全防护角色。所以,如果从Gartner预测的未来中国网络安全重要趋势来看,身份安全亦是企业数字安全建设的核心!
04
做好企业数字身份安全建设并不容易
所以,无论是从企业数字安全威胁,还是企业业务创新与安全运营,亦或是未来中国网络安全发展趋势来看,做好企业身份安全,构建统一身份与访问控制平台(IAM)是企业建设数字安全的价值最高点。
然而,要做好企业身份安全建设并不容易。有数据显示,近一半的组织使用超过 25 个系统来管理身份和访问权限。随着公司的成长、收购、被收购,以及人员在短时间内身份和权限的变化,分子公司业务系统的分散管控......身份管理的复杂性变得越来越糟。
身份就像一个复杂的野兽,它涉及组织的许多不同方面,每个职能领域都有自己的身份跟踪理念。最重要的是,身份长期以来一直被认为主要是一个IT问题。
而事实上,企业需要正确地认识到,数字时代,网络安全问题已经从IT问题转变为业务问题。网络安全战略亦从IT战略转变为业务战略,并最终支持战略业务目标和增长。而身份越来越成为网络安全领域的核心。企业需要思考将身份安全深度整合到现有业务流程及IT环境中;要从控制商业风险的角度着手,而不是单纯的一项技术控制。
05
做好企业数字身份安全建设的几点建议
派拉软件认为,企业要做好数字身份安全建设,为数字安全奠定安全基石,可以从以下几点建议着手:
1、基于业务风险,定义信息资产的优先级。清楚哪些信息资产需要保护,优先级是什么?从而结合IAM平台,对相关信息资产涉及的业务系统进行对应的强安全认证与严格的细粒度权限访问控制;
2、给最重要的资产提供特别保护,即对于优先级高的资产,进行特殊保护。例如采用特权访问管理(PAM),加强对特权身份与访问的管控,并对核心数据库操作等进行严格权限设置,从而加强重要资产的保护;
3、将身份安全融入企业全面风险管理及治理过程。身份作为企业所有业务流程的起点,其安全问题几乎与企业所有重要业务流程交织在一起;
4、培养员工安全意识,主动保护个人信息安全。员工往往是企业数字安全最大的弱点——点击不安全链接、使用不安全密码、敏感文件用邮件广泛传播......故因根据员工所需访问的资产,对员工分类管理,并严格管控权限。
......