零信任時代數(shù)字身份管理面臨何種挑戰(zhàn)?優(yōu)秀的數(shù)字身份管理有哪些特征?安全主管如何推行全面數(shù)字身份管理方案?

隨著傳統(tǒng)數(shù)字壁壘的消失和消費者期待的上升，企業(yè)一時難以找到有效的數(shù)字身份管理解決方案。成功的訣竅在于：同等對待企業(yè)與消費者身份、探索托管服務和集成新技術非常重要。

從蠟封和郵票到護照和指紋，再到生物特征識別和行為分析，人類一直在找尋可靠的方法，來驗證對方真實身份和是否可信。在當今對數(shù)據(jù)泄露、欺詐和隱私越來越關注的時代，信任至為重要。而在我們的數(shù)字社會里，信任是通過數(shù)字身份確定的。所謂數(shù)字身份，即通過獨特的性質(zhì)和使用模式識別個人、物體或組織的一系列數(shù)據(jù)。

對公司的成功而言，有效數(shù)字身份實踐比以往來得更為重要。數(shù)字身份實踐是取信客戶的第一步，是保護敏感數(shù)據(jù)、驅(qū)動安全交易和改進業(yè)務流程的關鍵，能夠推動通過社交媒體與消費者互動的新方式，提升企業(yè)內(nèi)部協(xié)作，自動化并簡化網(wǎng)絡安全操作。

然而，公司面臨的企業(yè)與消費者身份管理挑戰(zhàn)越來越多。原因之一就是傳統(tǒng)數(shù)字壁壘的坍塌，公司內(nèi)部與外部的界限就此模糊。這種轉(zhuǎn)變加之用戶期待改變、新興技術涌現(xiàn)、云服務轉(zhuǎn)型、業(yè)務需求增長和隱私監(jiān)管發(fā)展，引發(fā)了數(shù)字身份危機。

數(shù)字壁壘坍塌、用戶期待改變和新興技術涌現(xiàn)，引發(fā)了數(shù)字身份危機。

企業(yè)應重新審視并快速改進其數(shù)字身份策略——對內(nèi)為企業(yè)，對外為消費者。只有全面審視數(shù)字身份管理，并以同樣的理念處理企業(yè)和消費者身份，企業(yè)才能獲得想要的結(jié)果。本文即為您呈現(xiàn)有助提升公司數(shù)字身份實踐的統(tǒng)一策略。

一、數(shù)字身份管理：挑戰(zhàn)

有很多新興趨勢和挑戰(zhàn)正在塑造企業(yè)和消費者數(shù)字身份的發(fā)展與管理。以下幾個趨勢與挑戰(zhàn)最為重要：

1. 數(shù)字身份管理可能會被更緊急的問題所蓋過

企業(yè)并非認為數(shù)字身份管理不重要，他們可能是在處理其他更緊迫的網(wǎng)絡安全問題。或者，他們可能需要展現(xiàn)出網(wǎng)絡安全項目的即時進展和投資回報。但是，實現(xiàn)數(shù)字身份項目需要耐心，這更像是一場馬拉松而非百米沖刺。該挑戰(zhàn)以企業(yè)花在數(shù)字身份項目上的時間與金錢的方式呈現(xiàn)。德勤對負責網(wǎng)絡安全的 500 名首席級高管做了問卷調(diào)查，發(fā)布了《2019 網(wǎng)絡未來調(diào)查》。調(diào)查中，超過半數(shù) (54%) 的受訪者稱花在身份解決方案上的網(wǎng)絡預算不高于 10%，95% 的受訪者表示不高于 20%。另外，88% 的受訪者花在身份與訪問管理上的時間不多于 10%。

2. 在外包身份管理的問題上，企業(yè)態(tài)度不一

大多數(shù)網(wǎng)絡安全主管對自己的系統(tǒng)持保守態(tài)度，不愿意讓其他人來管理。德勤《2019 網(wǎng)絡未來調(diào)查》顯示，獲得、實現(xiàn)和持續(xù)交付身份功能的最主要方式，是內(nèi)部實施，36% 的受訪者都選擇了這個選項。這一現(xiàn)象在首席信息安全官 (CISO) 身上體現(xiàn)得尤為真實，60% 的受訪 CISO 都傾向于內(nèi)部解決方案。僅有 24% 的受訪者選擇了基于云的身份即服務 (IDaaS) 實現(xiàn)，32% 外包身份與訪問管理給第三方。

為什么不愿意呢?一位來自主流電信公司的 CISO 解釋稱：

這種對集成、靈活性和獲得專業(yè)支持的擔心，以及對可用功能的信心缺失，都是可以理解的，可能會拖住企業(yè)轉(zhuǎn)向 IDaaS 的腳步。

愈趨嚴格的全球數(shù)據(jù)隱私監(jiān)管帶來了合規(guī)挑戰(zhàn)。世界各國政府都在探索和實現(xiàn)新的立法與監(jiān)管規(guī)定，想要保護個人數(shù)據(jù)隱私和數(shù)字身份。企業(yè)高管和網(wǎng)絡安全主管必須應付各種強制規(guī)定，比如歐盟的《通用數(shù)據(jù)保護條例》(GDPR)、美國《加州消費者隱私法案》(CCPA) 和加拿大更新的《個人信息保護與電子文件法案》(PIPEDA)。其他需要遵守的指南還包括來自美國國家標準與技術研究所 (NIST) 的《網(wǎng)絡安全框架》。因為要對自身消費者更加全面了解，才能遵從法律與審計相關規(guī)定，網(wǎng)絡安全主管與公司高管身上的負擔更加重了。

二、向托管服務和人工智能的平穩(wěn)遷移

盡管面臨諸多挑戰(zhàn)，數(shù)字身份管理方法仍舊開始快速改變。企業(yè)的環(huán)境越來越以云為中心，轉(zhuǎn)向托管服務與基于消費的模式也是大勢所趨。德勤 2018 年的調(diào)查，《一切即服務加速敏捷性》，發(fā)現(xiàn)了這一轉(zhuǎn)變的證據(jù)。71% 的企業(yè)報告稱，X 即服務 (XaaS) 如今占據(jù)了自家企業(yè) IT 的半壁江山(其他的是不基于服務的傳統(tǒng) IT)。

有些公司將自己的身份技術棧挪到了云端，其他公司則引入身份即服務。

作為這種轉(zhuǎn)變的一部分，有些公司將自己的身份技術棧挪到了云端，其他公司則引入身份即服務。Gartner 表示，到 2022 年，全球 40% 的中型和大型企業(yè)將使用身份與訪問管理即服務 (IDaaS) 功能，滿足自身絕大多數(shù)身份與訪問管理 (IAM) 需求，而當下這么做的企業(yè)僅占 5%。原因之一就是云供應商和第三方云運營商擁有的功能可能比公司內(nèi)部的高級得多，令公司不需要再對軟件和基礎設施做更新與升級。而且，很多公司面臨網(wǎng)絡安全技術人才短缺的情況，采用托管服務有助于免除吸引、培訓和留住這些人才的需求。

很多企業(yè)還在實驗和集成許多新技術，用以改善自身數(shù)字身份能力。他們摒棄簡單的登錄和密碼，不斷引入高級身份驗證方法，比如將實體生物特征識別和行為監(jiān)視用作數(shù)字身份管理標準操作。在當今 “零信任” 環(huán)境中，企業(yè)持續(xù)監(jiān)視和驗證用戶身份——基于用戶的角色、所訪問的資產(chǎn)和訪問時間與地點，不斷確定他們的風險級別。為方便做到這一點，企業(yè)逐漸轉(zhuǎn)向人工智能 (AI) 技術，以此自動化檢測異常和識別不符合特定模式的行為。德勤《2019 網(wǎng)絡未來調(diào)查》顯示，20% 的受訪者將 AI 驅(qū)動的威脅識別與評估作為數(shù)字身份管理的革命性功能。

當今 “零信任” 環(huán)境中，公司需持續(xù)監(jiān)視和驗證用戶身份，確定他們的風險級別。

不過，對于 AI 在身份管理中的使用和成熟度，受訪者觀點不一。美國網(wǎng)絡安全與風險咨詢公司 National Cybersecurity Society 的首席執(zhí)行官 Alex Beigelman 表示的對 AI 表示樂觀。

AI 或機器學習將成為與風險評估相關的功能，不僅僅識別用戶，還識別設備與設備健康，評估是否被黑。必須不止 ID 和身份驗證。而從更講求實際的方面出發(fā)，真正的東西還處在早期發(fā)展階段。雖然在用，但僅以有限的方式，且只有少數(shù)具備足夠資源的公司才能嘗試和承擔一些風險。

三、硬幣的兩面：消費者與企業(yè)身份管理

重新審視自身數(shù)字身份管理策略時，企業(yè)應思考消費者和企業(yè)身份管理兩方面的挑戰(zhàn)，了解自己可以在創(chuàng)建周全方法上做些什么。這兩方面的業(yè)務需求、技術方法和面臨的難點都不一樣，但有些明智的基本操作是雙方都適用的。我們不妨先看看各自的獨特挑戰(zhàn)：

1. 消費者預期更高

隨著消費者與企業(yè)之間數(shù)字互動深度與復雜性的增加，投向消費者身份管理的關注度也相應增加。企業(yè)想要確保登錄的人是所聲稱的身份，且能夠擁有良好的使用體驗。個中原因很多，包括：

• 消費者期待更高;他們想只登錄一次，就能快速在自己需要的時候獲得自己所需的東西。
• 消費者聯(lián)網(wǎng)程度更甚從前，想要跨多個渠道獲得一致的體驗——客服中心、移動端、Web、聊天機器人和虛擬助手等。
• 消費者越來越了解與關注隱私問題，不愿意共享太多個人信息;他們想要個性化、便捷、靈活的互動體驗。
• 消費者期待享有一定程度的可見安全。比如說，進行網(wǎng)上銀行交易時，多因子身份驗證 (MFA) 就讓他們覺得安全。

想要周全的解決方案，企業(yè)必須考慮消費者和企業(yè)身份管理兩方面的挑戰(zhàn)。

在企業(yè)內(nèi)部，圍繞消費者身份管理的復雜性也增加了。職責和所有權常分散在多名高管、團隊(市場營銷、銷售、網(wǎng)絡安全等等)和 IT 系統(tǒng)之間，令大型項目協(xié)調(diào)變得十分困難。德勤《2019網(wǎng)絡未來調(diào)查》顯示，企業(yè)的目光投向面向客戶和面向供應商的多個不同身份管理計劃中。關注度最高的領域是消費者身份與訪問管理 (28%)、包含 MFA 的高級身份驗證 (27%) 和 GDPR 實現(xiàn)/隱私合規(guī) (25%)。

2. 企業(yè)需處理更多東西

隨著業(yè)務步伐加快和轉(zhuǎn)型措施需求的倍增，公司不應忽視企業(yè)身份管理。企業(yè)面臨的身份相關最大問題，是權限濫用與憑證被盜。惡意黑客和網(wǎng)絡罪犯可以由此入侵網(wǎng)絡。Centrify 最近委托的一份調(diào)查囊括了美國和英國的 1,000 名 IT 決策者。調(diào)查顯示，公司曾被入侵過的受訪者中，74% 承認涉及特權賬戶訪問。

除了外部威脅，企業(yè)還面臨許多內(nèi)部的企業(yè)身份管理問題，包括：

• 明顯的網(wǎng)絡安全人才短缺仍在繼續(xù)，且數(shù)字身份通常不能獲得太多關注與預算支出，所以，必要的資源可能非常稀缺。
• 網(wǎng)絡安全團隊需應對老舊 IT 環(huán)境和對遷移至云優(yōu)先架構的抗拒情緒。很多公司都沒構建基于 API 的協(xié)同現(xiàn)代系統(tǒng)，無法與應用便捷集成。
• 對網(wǎng)絡安全應能輔助數(shù)字轉(zhuǎn)型和創(chuàng)新的期待也在上升。

正如德勤《2019 網(wǎng)絡未來調(diào)查》中揭示的，頂級企業(yè)身份網(wǎng)絡安全項目是高級身份驗證和特權訪問管理 (PAM)——二者各自為 19% 的受訪者所選擇。

為完全解決這些問題，企業(yè)應選用融合了企業(yè)和消費用戶共有特性的數(shù)字身份管理系統(tǒng)。

四、五大要訣推進全面數(shù)字身份管理解決方案

考慮到企業(yè)和消費者身份的深度關聯(lián)，公司應以同樣協(xié)調(diào)的方法對待二者，解鎖對企業(yè)和對消費者的種種好處。這不再是二選一的問題——強大全面的數(shù)字身份管理方法有助于驅(qū)動業(yè)務發(fā)展，減輕網(wǎng)絡安全團隊的負擔，并為消費者和公司員工提供優(yōu)越的體驗。

身處無處不網(wǎng)絡的時代，身份管理的運營環(huán)境將變得越來越復雜，需滿足更高的業(yè)務期待，集成新技術，遵從多個數(shù)據(jù)隱私管理規(guī)定，還需管理不斷增加的人和設備。為把握復雜環(huán)境中的正確方向，網(wǎng)絡安全主管可以做好下列五件事，以便將數(shù)字身份管理策略、過程和系統(tǒng)更好地集成進業(yè)務中：

1. 追求全面的身份管理方法

公平對待每個人每件事——無論是消費者還是員工，是一個人、一臺設備，還是一個應用程序。身份生態(tài)系統(tǒng)中但凡漏掉了哪個元素，都會影響到公司創(chuàng)新和運營的速度。找尋企業(yè)和消費者身份管理系統(tǒng)相得益彰的機會，找到使用傳統(tǒng)功能的新方式。

2. 幫助整合、協(xié)同和貼合職責

身份、數(shù)據(jù)隱私和監(jiān)管合規(guī)愈加重合。這意味著技術、網(wǎng)絡安全、法務和業(yè)務主管都是有效身份管理的利益相關者，都有各自事關用戶體驗、系統(tǒng)可用性、彈性、風險管理和消費者參與度的困難和愿景。負責身份管理的人處在知會和影響商討與決策的特殊位置上，能夠確保公司更快適應。

3. 倡導結(jié)果導向的方法

為推動創(chuàng)新工作和數(shù)字轉(zhuǎn)型，不妨將身份作為整個公司的一項服務。識別身份管理能有所幫助的業(yè)務成果，比如提高消費者保留度或提升 HR 過程效率。為克服資源限制，支持專注這些更大成果的大型革新性項目。

4. 嘗試托管服務

考慮到資源和人才稀缺與網(wǎng)絡安全問題，找人幫忙解決業(yè)務需求。如果公司無法投入所需的資源到身份管理中，嘗試三方托管服務，無論是現(xiàn)場還是云端實現(xiàn)的。他們可以提供最新的技術和功能，增加自動化和面向未來的身份系統(tǒng)。這種轉(zhuǎn)變或許不適合所有人，可能還會有對放棄一些控制的抵觸情緒，但不要漠視這一選項。要解決顧慮，可以考慮采取階段化的方式。

5. 準備運用 AI

機器學習等 AI 技術正融入多種身份管理解決方案——從自動化賬戶監(jiān)管到欺詐檢測。探索采納 AI 技術對公司數(shù)字身份功能有何意義。您想要什么結(jié)果——是自動化或優(yōu)化現(xiàn)有過程，還是創(chuàng)建全新的身份驗證和風險評估功能?這將會對您網(wǎng)絡安全團隊的工作方式產(chǎn)生怎樣的影響?需要哪種類型的培訓?

考慮到上述操作的全方位數(shù)字身份策略，能夠為消費者、員工、安全團隊和業(yè)務主管解鎖重大利益。更重要的是，統(tǒng)一的方法有助于建立信任，確保隱私和安全，從而防止數(shù)字身份危機。數(shù)字身份系統(tǒng)曾經(jīng)需要在安全和便利上做選擇，但現(xiàn)在您可同時擁有二者。仔細斟酌您的系統(tǒng)設計方法，以便保護資產(chǎn)和防止為員工和消費者帶來太大負擔。著手數(shù)字身份轉(zhuǎn)型的時候，不妨看看以上建議。

五、科技、傳媒和電信公司的身份管理

每家公司都面臨不同的數(shù)字身份挑戰(zhàn)，擁有獨特的身份管理方法。比如說，科技公司的數(shù)字身份策略和系統(tǒng)就非常靈活，可以適應快速變化的市場。媒體和娛樂公司常面對大量瞬時客戶。電信公司的系統(tǒng)非常老舊，難以更新或替換，且不能方便地與現(xiàn)代身份管理解決方案集成。但有一些共同的因素，是這些公司在強化自身數(shù)字身份管理功能的時候應該銘記在心的。此處列舉其中一些共同因素：

• 與其他行業(yè)相比，這些行業(yè)一直以來受到的監(jiān)管相對較少。這意味著，在數(shù)字身份問題上，他們未必需要做其他公司必須做的一些事情。如果做了，那是因為這些都是為客戶和員工好的正確的事，有助于維持信任和安全。監(jiān)管壓力的缺乏可能會拖慢數(shù)字身份轉(zhuǎn)型。隨著 GDPR 和 CCPA 等新規(guī)定的出現(xiàn)，這一情況開始改變，數(shù)字身份經(jīng)驗較少的行業(yè)也需要改變它們的方法了。
• 這些行業(yè)擁有高水平的技術專業(yè)知識和經(jīng)驗。很多科技、傳媒和電信公司都雇有高級工程師和技術人員，可能覺得自己能夠應付遭遇到的任何數(shù)字身份問題;能夠從零構建自身所需，然后推進到下一個問題。然而，恰當?shù)臄?shù)字身份方法綜合了很多復雜系統(tǒng)，需要專業(yè)技術和持續(xù)的警醒。公司應專注自身核心目標所需高端技術人才，利用現(xiàn)成的成熟身份解決方案。
• 一旦出錯，這些行業(yè)面臨的潛在后果更為嚴重。這些公司創(chuàng)建的很多產(chǎn)品和服務是其他行業(yè)的底層支撐。此類公司一旦因管理不善的憑證而發(fā)生數(shù)據(jù)泄露，公眾和市場反應相對于零售商或工業(yè)公司發(fā)生同類事件要大得多。這就令全面的數(shù)字身份策略和方法變得更為重要了。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文