身份和訪問(wèn)管理是任何公司網(wǎng)絡(luò)安全戰(zhàn)略的重要組成部分。Simeio公司解決方案和咨詢總監(jiān)James Quick表示，要避免這些常見(jiàn)錯(cuò)誤，否則就會(huì)面臨數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

61%的數(shù)據(jù)泄露歸因于證書(shū)被盜。根據(jù)威瑞森公司的2022年調(diào)查報(bào)告，82%的已確認(rèn)的數(shù)據(jù)泄露涉及所謂的“人為因素”，包括社交攻擊、錯(cuò)誤和針對(duì)個(gè)人的一般濫用，從而造成人為錯(cuò)誤。威脅行為者通常以個(gè)人為目標(biāo)，制造一種令人困惑的場(chǎng)景，即個(gè)人愿意在不知道后果的情況下授予訪問(wèn)權(quán)限。

但這并不是威脅行為者發(fā)現(xiàn)安全漏洞的唯一方法，這就是為什么企業(yè)必須避免最常見(jiàn)的身份和訪問(wèn)管理(IAM)錯(cuò)誤。

最常見(jiàn)的IAM錯(cuò)誤:

(1)糟糕的或部分的IAM實(shí)現(xiàn)使您的業(yè)務(wù)容易受到攻擊，并使您的安全團(tuán)隊(duì)成為同謀。

(2)沒(méi)有明確的IAM治理會(huì)導(dǎo)致缺乏全面的策略和易于理解的策略。

(3)所示。沒(méi)有行政領(lǐng)導(dǎo)團(tuán)隊(duì)“支持”或?yàn)閱T工提供明確的指導(dǎo)。

(4)所示。缺少熟練的網(wǎng)絡(luò)安全專(zhuān)家:IAM工程師、架構(gòu)師和管理人員。

(5)多個(gè)不一致的身份授權(quán)來(lái)源，這意味著存在多個(gè)具有重復(fù)身份憑證的記錄系統(tǒng)。

(6)關(guān)于數(shù)據(jù)和應(yīng)用程序所有權(quán)或責(zé)任的政治內(nèi)訌。

(7)缺乏組織變革管理流程來(lái)解決問(wèn)題，并領(lǐng)先于黑客的最新策略。

(8)制度上的“分析癱瘓”導(dǎo)致對(duì)降低復(fù)雜性的厭惡和對(duì)自動(dòng)化的恐懼，從而導(dǎo)致對(duì)有風(fēng)險(xiǎn)的、耗時(shí)的手動(dòng)過(guò)程的依賴。

(9)未清理的數(shù)據(jù)被移除并轉(zhuǎn)移到新的IAM系統(tǒng)中。

(10)不切實(shí)際的IAM推出方法對(duì)贊助商和用戶無(wú)效。

理解為什么它很重要

解決任何IAM問(wèn)題的第一步是理解它。IAM是一種信息技術(shù)安全策略框架，它確保正確的用戶(員工、客戶和合作伙伴)能夠適當(dāng)?shù)卦L問(wèn)他們做好工作所需的資源。它需要管理用戶身份的生命周期和路線圖，管理他們的訪問(wèn)，并通過(guò)身份分析適當(dāng)?shù)乇O(jiān)視他們的身份和憑證的使用。有效的IAM確保有適當(dāng)?shù)目刂苼?lái)控制用戶與他們需要“特權(quán)”訪問(wèn)的關(guān)鍵系統(tǒng)交互的能力，這是特權(quán)訪問(wèn)管理(PAM)的基礎(chǔ)。

例如，許多公司在實(shí)施這些計(jì)劃時(shí)需要更適當(dāng)?shù)闹卫?，這通常源于缺乏在整個(gè)組織內(nèi)溝通的戰(zhàn)略愿景。因此，員工在沒(méi)有審查的情況下獲得并保持對(duì)系統(tǒng)的訪問(wèn)權(quán)的時(shí)間過(guò)長(zhǎng)，并且當(dāng)系統(tǒng)碎片化時(shí)，不容易看到這種情況可能發(fā)生在哪里。

當(dāng)使用多個(gè)不同的網(wǎng)絡(luò)安全系統(tǒng)時(shí)，就會(huì)出現(xiàn)信息孤島。然而，這對(duì)許多企業(yè)來(lái)說(shuō)是司空見(jiàn)慣的。必須盡快通過(guò)統(tǒng)一系統(tǒng)的實(shí)施來(lái)解決這個(gè)問(wèn)題，否則可利用的漏洞將繼續(xù)使您的業(yè)務(wù)容易受到數(shù)據(jù)泄露的影響。隨著監(jiān)管機(jī)構(gòu)表明他們?cè)敢鈱?duì)無(wú)效的網(wǎng)絡(luò)安全戰(zhàn)略和缺乏透明度進(jìn)行定罪，如今網(wǎng)絡(luò)安全專(zhuān)家做出改變以保護(hù)員工和客戶數(shù)據(jù)或面臨法律訴訟的風(fēng)險(xiǎn)比以往任何時(shí)候都更重要。

接觸IAM的正確方法

許多公司在推出IAM戰(zhàn)略時(shí)犯的主要錯(cuò)誤是未能獲得公司執(zhí)行領(lǐng)導(dǎo)團(tuán)隊(duì)的支持、可見(jiàn)性和贊助，包括首席執(zhí)行官、首席財(cái)務(wù)官和首席運(yùn)營(yíng)官。身份安全永遠(yuǎn)不應(yīng)該依靠CISO或CIO來(lái)管理和溝通。所有的業(yè)務(wù)領(lǐng)導(dǎo)者必須在IAM方面擁有相同的戰(zhàn)略愿景，并在組織內(nèi)部推動(dòng)其取得成功。

但要知道你的安全系統(tǒng)是否容易受到攻擊，唯一的方法就是聘請(qǐng)網(wǎng)絡(luò)安全專(zhuān)家并不斷地進(jìn)行測(cè)試。如果您不進(jìn)行測(cè)試和不斷改進(jìn)，您怎么可能知道您的數(shù)據(jù)是受保護(hù)的呢?威脅行為者每天都在改進(jìn)他們的方法，以發(fā)現(xiàn)安全系統(tǒng)中的新漏洞。你的適應(yīng)速度比他們快嗎?

確保安全團(tuán)隊(duì)有明確的責(zé)任和所有權(quán)制度，并定期與員工溝通更新的方法是至關(guān)重要的。無(wú)論員工是否承認(rèn)，他們都站在對(duì)抗黑客、惡意軟件和勒索軟件的第一線，因此任何企業(yè)都需要定期發(fā)布通訊或交流關(guān)鍵安全變化的方法。如果更新是復(fù)雜的，適當(dāng)?shù)靥岣邌T工的技能，同時(shí)確保訪問(wèn)管理過(guò)程盡可能簡(jiǎn)單和直觀。

要有這樣做的基礎(chǔ)，可以雇傭具有這方面專(zhuān)業(yè)知識(shí)的新員工，或者打破常規(guī)，聘用那些基礎(chǔ)扎實(shí)、學(xué)習(xí)能力強(qiáng)的人。擁有精通IAM和機(jī)構(gòu)變更管理流程的網(wǎng)絡(luò)安全專(zhuān)家可以極大地幫助您實(shí)施和管理戰(zhàn)略。不過(guò)，這一領(lǐng)域仍存在人才短缺，因此可能有必要引入第三方專(zhuān)家。

此外，機(jī)構(gòu)分析癱瘓和對(duì)自動(dòng)化的恐懼可能導(dǎo)致IAM實(shí)現(xiàn)失敗。手動(dòng)流程和“這是我們一直做的方式”的心態(tài)對(duì)任何網(wǎng)絡(luò)安全計(jì)劃都是危險(xiǎn)的，因?yàn)楦率窍┒床罹嗪痛龠M(jìn)更好的用戶體驗(yàn)所固有的。

聚焦融合

當(dāng)您在多個(gè)身份管理系統(tǒng)中分布和復(fù)制身份時(shí)，冗余會(huì)造成混亂，并導(dǎo)致一些用戶訪問(wèn)敏感信息的時(shí)間遠(yuǎn)遠(yuǎn)超過(guò)他們應(yīng)該訪問(wèn)的時(shí)間。確保您組織的數(shù)據(jù)在被提升和轉(zhuǎn)移到新的IAM系統(tǒng)之前得到了清理。通過(guò)直接征求資源、贊助商和用戶的反饋，確認(rèn)您的推出方法對(duì)他們有效。

檢查當(dāng)前的冗余工具，這可以幫助您節(jié)省大量資金，同時(shí)降低風(fēng)險(xiǎn)。最近，對(duì)于一個(gè)客戶來(lái)說(shuō)，發(fā)現(xiàn)了可以退役的冗余IAM工具(其中一些仍然是貨架軟件)，這使得每年可以節(jié)省20%的許可成本。網(wǎng)絡(luò)安全工具的授權(quán)成本降低20%會(huì)為您節(jié)省多少?

如何確定IAM策略是否有效

獲得正確的IAM策略將需要持續(xù)的時(shí)間和精力，即使是在已建立的系統(tǒng)上工作的經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)安全團(tuán)隊(duì)。當(dāng)組織使用來(lái)自不同供應(yīng)商的各種解決方案和產(chǎn)品，而沒(méi)有身份編排(IO)平臺(tái)時(shí)，情況尤其如此，IO平臺(tái)將多個(gè)系統(tǒng)聚合到單個(gè)編程視圖中，并允許采用更主動(dòng)的方法進(jìn)行威脅檢測(cè)和解決。

如果你不確定當(dāng)前安全系統(tǒng)的有效性，定期測(cè)試它們。全面的IAM評(píng)估可以診斷出您在哪些方面做得好，哪些方面需要改進(jìn)，以及您未來(lái)需要做些什么來(lái)實(shí)現(xiàn)真正的身份安全。一個(gè)成功的IAM計(jì)劃依賴于透明的文化。除非領(lǐng)導(dǎo)已經(jīng)就目標(biāo)達(dá)成一致，在團(tuán)隊(duì)中共享，并且歡迎公開(kāi)的反饋，否則您無(wú)法識(shí)別系統(tǒng)中的差距。

很明顯，IAM是一家全球戰(zhàn)略投資企業(yè)，每年都在變得越來(lái)越有價(jià)值。BusinessInsights公司最近的一份報(bào)告預(yù)測(cè)，IAM全球市場(chǎng)將從2021年的134.1億美元增長(zhǎng)到2028年的345.2億美元。不要等到太晚了才修復(fù)IAM策略中的問(wèn)題。一旦數(shù)據(jù)泄露發(fā)生，要將其全部清除是一項(xiàng)挑戰(zhàn)。