?數(shù)十年來，很多企業(yè)一直在開發(fā)和執(zhí)行身份和訪問管理(IAM)策略。IDC公司產(chǎn)品項目總監(jiān)Jayretzmann說，“它始于大型機時間共享，所以沒有什么新鮮事，”盡管有這么長的經(jīng)驗，但仍然存在犯錯的機會，尤其是當公司將其IAM平臺升級到能夠更好地處理現(xiàn)代IT部署的平臺時。

這里有六種方法可以判斷公司的IAM策略是否失敗。

1.用戶無法訪問他們的應(yīng)用程序，但犯罪分子可以

IAM平臺的主要目標是允許合法用戶訪問他們需要的資源，同時阻止壞人。如果發(fā)生相反的情況，則說明有問題。根據(jù)最新的Verizon數(shù)據(jù)泄露事件報告，被盜憑據(jù)是去年最常見的攻擊方法，涉及一半的泄露事件和超過80%的Web應(yīng)用程序泄露事件。

Bretzmann說，公司通常會嘗試做的第一件事是擺脫簡單的用戶名和密碼組合，并添加短信一次性密碼。他說，這并沒有多大幫助，而且會加重用戶的啟動情緒?！白龅脤?，IAM不僅僅是單點登錄和多因素身份驗證，”他說。“這是關(guān)于了解請求訪問IT系統(tǒng)并解決他們的連接問題的用戶的多樣性?！?/p>

根據(jù)Forrester公司分析師Andras Cser的說法，企業(yè)IAM系統(tǒng)范圍內(nèi)的用戶包括員工、業(yè)務(wù)合作伙伴和最終客戶。所有這些都需要不同的方法。對于員工而言，企業(yè)通常會求助于身份即服務(wù)提供商，例如Okta、AzureActiveDirectory或本地IAM系統(tǒng)，他說，這些系統(tǒng)仍然比基于云的選項更強大、功能更豐富。對于客戶來說，一些公司開始從用戶名和密碼轉(zhuǎn)向谷歌和Facebook等社交登錄。

最后一個IAM訪問類別是機器身份。根據(jù)Pulse和KeyFactor去年秋天發(fā)布的一項調(diào)查，機器身份的優(yōu)先級低于用戶身份，但95%的CIO表示他們的IAM策略可以保護機器身份免受攻擊。

企業(yè)還需要注意這樣一個事實，即他們必須在各種環(huán)境（本地、云、SaaS、移動和在家工作）中保護所有這些不同類型的用戶。

2.孤立的身份和訪問管理平臺

Gartner分析師Henrique Teixeira表示，許多組織使用不同的解決方案進行訪問管理、身份治理和管理以及特權(quán)訪問管理。他說，孤島創(chuàng)造了額外的工作?！岸夜粽呖梢岳玫拿總€解決方案之間經(jīng)常存在差距?！?/p>

Teixeira說，“供應(yīng)商開始轉(zhuǎn)向統(tǒng)一系統(tǒng)來解決這個問題。例如，Okta和微軟已經(jīng)開始提供更加融合的平臺?！盙artner估計，到2025年，70%的IAM采用將通過這些融合的IAM平臺實現(xiàn)。

Teixeira說，“面向客戶的IAM更加落后。大多數(shù)組織都在使用定制的本土應(yīng)用程序。在解決新的隱私法規(guī)要求和保護基礎(chǔ)設(shè)施免受更現(xiàn)代類型的攻擊時，這是有問題的?！?/p>

3.過于激進的IAM推出計劃

很容易認為IAM平臺會一次性完成所有工作。Cser說，高管們很容易對解決方案過于熱情，而供應(yīng)商也會過度承諾。“這對很多組織來說都是個問題，”他說?！叭绻鷩L試安裝訪問管理解決方案，并且必須在一天內(nèi)讓所有300個應(yīng)用程序全部上線，那將是失敗的?！?/p>

Cser建議改為分階段推出。試圖一口氣完成所有事情是不現(xiàn)實的。例如，盡管供應(yīng)商做出了承諾，但公司通常必須做更多的定制和編排工作才能集成他們的應(yīng)用程序。如果IAM的現(xiàn)代方法需要重新設(shè)計內(nèi)部流程，則尤其如此。他建議進行IAM更新的公司利用這個機會首先簡化和合理化流程?！岸也粓?zhí)行現(xiàn)有的爛攤子。這就像搬家一樣。當你從一個地方搬到另一個地方時，你想先把東西扔掉，而不是把它們搬到新的地方?！?/p>

4、認證與授權(quán)分離

“IAM是任何安全和IT計劃的基石，”搜索技術(shù)公司Yext的首席信息安全官RohitParchuri說。他說，沒有它，其他安全控制的商業(yè)價值就會降低，并且無法充分發(fā)揮其潛力?！澳枰攘私饽耐顿Y組合中存在哪些用戶和資產(chǎn)，然后才能開始保護它們。IAM提供了訪問環(huán)境的可見性，同時還啟用了控制該訪問的功能。”

在之前的職位上，Parchuri在部署IAM時遇到了幾個問題。他說，“當我們最初冒險執(zhí)行IAM時，我們錯過了在我們的成功標準中添加一些東西，第一個問題是授權(quán)被視為獨立于身份驗證的實體。使用單獨的授權(quán)服務(wù)器，我們必須在兩個不同系統(tǒng)的身份驗證和授權(quán)實踐之間來回切換?！边@增加了總擁有成本，并給管理兩個獨立實體的團隊帶來了額外負擔。

5.認證覆蓋盲點

Parchuri面臨的另一個問題是一些內(nèi)部系統(tǒng)沒有被編目并且仍然依賴于本地身份驗證?！霸谖覀兊膬?nèi)部系統(tǒng)上進行本地身份驗證，在會話管理和用戶入職和離職實踐方面缺乏可見性，”他說。這些任務(wù)應(yīng)該由IAM工具處理，但沒有。

該公司在對其資產(chǎn)管理計劃進行覆蓋練習(xí)時發(fā)現(xiàn)了這個錯誤。Parchuri說，“我們發(fā)現(xiàn)在我們的配置管理數(shù)據(jù)庫中記錄的應(yīng)用程序沒有在IAM工具中捕獲，”一旦我們確定了這些應(yīng)用程序，我們還注意到IAM工具將授權(quán)驗證外包給本地部署的本地系統(tǒng)，盡管它們作為一個實體存在于IAM工具中。”

要解決這個問題，最難的部分是弄清楚是否可以使用安全斷言標記語言(SAML)或跨域身份管理(SCIM)來集成IAM工具和內(nèi)部工具。Parchuri說，“一旦我們能夠做到這一點，剩下的就是執(zhí)行和永久管理?！?/p>

6.多個IAM系統(tǒng)導(dǎo)致可見性問題

專注于監(jiān)管、風(fēng)險和合規(guī)問題的全球咨詢公司StoneTurn的合伙人Luke Tenery表示，公司有時會在集成不同的IAM平臺時遇到挑戰(zhàn)。他說，“如果他們有太多的身份管理系統(tǒng)，就很難找到安全異常之間的關(guān)系，這就是痛苦的地方?！?/p>

例如，許多網(wǎng)絡(luò)攻擊都涉及某種形式的電子郵件泄露。例如，如果相同的身份也用于訪問公司的Salesforce系統(tǒng)，那么在發(fā)現(xiàn)第二個攻擊向量之前可能會有很大的延遲?！叭绻窍嗤挠脩裘兔艽a，但以分散的方式管理，他們可能不會看到Salesforce中發(fā)生的妥協(xié)，”Tenery說，“如果停留時間更長，對組織產(chǎn)生影響的風(fēng)險就會增加。癌癥在體內(nèi)的時間越長，威脅造成損害的時間就越長?！?/p>

Tenery說，他看到了一個案例，威脅參與者能夠進入Salesforce數(shù)據(jù)庫以執(zhí)行全球酒店供應(yīng)商的忠誠度計劃，從而訪問數(shù)百萬客戶記錄。解決方案是創(chuàng)建整個企業(yè)的身份和訪問管理的整體視圖。“將結(jié)締組織整合在一起可能是一個艱苦的過程，”他說，“但有一些平臺可以幫助組織整合其IAM功能?！?/p>

如果直接集成不是一種選擇，Tenery說，有一些先進的工具可以利用機器學(xué)習(xí)和人工智能來創(chuàng)建自動化來建立這些聯(lián)系。對于Salesforce和Office365，可以直接集成。他說，“還有第三方工具，比如我們使用的Obsidian Security。這是一個利用不同形式的自動化和機器學(xué)習(xí)來識別身份鏈接以檢測安全異常和管理身份風(fēng)險的平臺。”?