統(tǒng)一身份和訪問管理（Identity and access management，IAM）是一套體系化的身份安全解決方案，涵蓋了技術(shù)、策略和流程，主要用于管理用戶身份并控制用戶對企業(yè)資源的合規(guī)訪問。在當(dāng)今“數(shù)字優(yōu)先”的世界中，IAM技術(shù)對組織變得越來越重要，因為組織內(nèi)的員工需要在任何設(shè)備（服務(wù)）上實現(xiàn)“work-from-anywhere“的訪問模式，這就需要比以往更加安全地賦予和驗證數(shù)字身份，以實現(xiàn)安全的數(shù)字連接。在此背景下，基于先進AI技術(shù)構(gòu)建的新一代IAM解決方案應(yīng)運而生。

傳統(tǒng)IAM的應(yīng)用挑戰(zhàn)

早期的IAM技術(shù)是建立在傳統(tǒng)IT架構(gòu)平臺上的，主要負責(zé)管理人的身份。而隨著數(shù)字化業(yè)務(wù)系統(tǒng)和物聯(lián)網(wǎng)應(yīng)用的快速發(fā)展，IAM系統(tǒng)不僅需要給數(shù)量龐大的“機器”和業(yè)務(wù)系統(tǒng)賦予身份并實現(xiàn)有效管理，還需要從組織數(shù)字化業(yè)務(wù)開展的整體視角，統(tǒng)一制定出各種數(shù)字資源的訪問規(guī)則和策略。這給傳統(tǒng)IAM方案的身份管理和認證能力提出巨大挑戰(zhàn)。 

此外，IAM最初主要是為了幫助用戶滿足監(jiān)管要求和確保身份安全性。用戶體驗和業(yè)務(wù)支持的需求是后續(xù)隨著數(shù)字化應(yīng)用發(fā)展而產(chǎn)生的。鑒于IAM系統(tǒng)的關(guān)鍵特質(zhì)，它已經(jīng)成為組織新一代網(wǎng)絡(luò)安全能力體系構(gòu)建的基礎(chǔ)要求和重要組成部分。在穩(wěn)定有效的組織網(wǎng)絡(luò)安全體系中，更完善的IAM策略配置與管理能力是不可或缺的，需要讓所有身份都使用一致的策略和工具進行管理，因此需要更加關(guān)注系統(tǒng)應(yīng)用的便捷性和用戶體驗，并將這些視為新一代IAM方案的核心技術(shù)要求。 

盡管IAM的建設(shè)和應(yīng)用通常由企業(yè)IT或安全部門發(fā)起，但IAM應(yīng)用幾乎涉及與組織業(yè)務(wù)相關(guān)的各個部門和環(huán)節(jié)，甚至還包括了外部合作伙伴和客戶。由于IAM涉及了多方利益相關(guān)者的日常工作，因此，它的應(yīng)用往往被認為是復(fù)雜的、困難的并且會帶來較大成本性投入的。這種情況也需要積極的變化，身份安全應(yīng)該被視為基礎(chǔ)性的保障因素，讓越來越多的業(yè)務(wù)人員開始認同IAM的價值。

新型AI IAM的主要特點

不斷發(fā)展的ＡＩ技術(shù)正在深刻影響著新型網(wǎng)絡(luò)安全能力發(fā)展，也正在創(chuàng)建一個更強大、更主動的新型IAM系統(tǒng)，它從復(fù)雜的數(shù)字身份環(huán)境中不斷的自主學(xué)習(xí)，識別和管控企業(yè)中有威脅的身份賬號及其行為，從而降低組織數(shù)據(jù)泄漏等風(fēng)險。

AI IAM解決方案仍然是由身份管理、身份驗證、授權(quán)以及審計等核心功能組件構(gòu)成，但相比傳統(tǒng)的IAM方案，其更加的智能化，有著更低的誤報率、更自動化的訪問控制和更好的用戶應(yīng)用體驗，這就是AI IAM解決方案的最大特點。 

圖片

結(jié)合上圖和其他相關(guān)資料，可以AI技術(shù)已經(jīng)開始被充分整合到新一代IAM解決方案的各個方面，并形成以下應(yīng)用特點：

1. 改善的身份管理與驗證（Improved Authentication and Verification）

AI技術(shù)為IAM系統(tǒng)提供了一種更強大、用戶友好的身份認證方法。為了實現(xiàn)這種變革轉(zhuǎn)變，新一代IAM方案可以利用生物識別技術(shù)進行創(chuàng)新的身份驗證，最大限度地減少與傳統(tǒng)基于密碼的系統(tǒng)相關(guān)的安全性漏洞，還可以簡化用戶交互，培養(yǎng)無摩擦的身份認證體驗，同時增強應(yīng)對網(wǎng)絡(luò)威脅變化的整體彈性。

此外，AI技術(shù)可以幫助組織使用隨機森林、支持向量機（SVMs）和梯度提升等AI算法分析用戶的打字速度、鼠標(biāo)移動等行為特征，并通過檢測行為異常的遞歸神經(jīng)網(wǎng)絡(luò)（RNN）等技術(shù)進一步實現(xiàn)持續(xù)監(jiān)控。這將有助于組織實施強大的身份驗證機制。

2.自動化的策略設(shè)置與管理（Automated Provisioning and De-provisioning）

AI技術(shù)可以通過預(yù)測分析和機器學(xué)習(xí)算法來簡化IAM系統(tǒng)的策略配置和管理優(yōu)化的過程。常見的技術(shù)包括:

• 基于角色的訪問控制（RBAC）：基于員工的角色、部門和行為模式，機器學(xué)習(xí)模型（如聚類算法和分類算法）可以分析每個用戶的歷史訪問數(shù)據(jù)以分配合適的訪問權(quán)限；
•  賬戶生命周期管理：AI技術(shù)能夠簡化跨各種企業(yè)應(yīng)用程序（包括 Office 365、Salesforce 或 AWS等）的賬戶生命周期管理，自動化進行配置、調(diào)整和取消的流程，維護企業(yè)的管理標(biāo)準(zhǔn)和監(jiān)管合規(guī)要求；
• 自動化工具：通過將AI技術(shù)與機器人流程自動化 （RPA）和 IT 服務(wù)管理 （ITSM） 工具相結(jié)合，就可以實現(xiàn)端到端自動化配置任務(wù)，減少管理中的手動操作，最大程度降低人為錯誤。

3. 智能化的威脅檢測與預(yù)防（Anomaly Detection and Threat Prevention）

AI技術(shù)能夠持續(xù)監(jiān)控人類和非人類的各種身份，包括 API、應(yīng)用服務(wù)和其他物聯(lián)網(wǎng)設(shè)備。傳統(tǒng)的監(jiān)控系統(tǒng)通常會忽略一些設(shè)備交互中細微的異常情況，但人工智能的分析能力完全可以發(fā)現(xiàn)大多數(shù)安全威脅的早期征兆。通過為每個身份建立 “正常 ”行為基線，人工智能可以快速標(biāo)記偏差，從而對潛在威脅做出快速反應(yīng)。

4. 自適應(yīng)的訪問控制能力（Adaptive Access Controls）

自適應(yīng)訪問控制是AI IAM系統(tǒng)的重要支柱能力。通過持續(xù)評估風(fēng)險并相應(yīng)地調(diào)整訪問權(quán)限，AI賦能的新型IAM系統(tǒng)能夠?qū)崿F(xiàn)情境感知的訪問控制與管理。

在風(fēng)險自適應(yīng)訪問控制（RAAC）方面，AI 技術(shù)通過使用機器學(xué)習(xí)算法，如貝葉斯網(wǎng)絡(luò)和決策樹，組織可以評估異常訪問時間和不熟悉設(shè)備之類的風(fēng)險因素?；趯崟r數(shù)據(jù)和歷史訪問模式，這些模型生成風(fēng)險評分，并以此自動調(diào)整用戶權(quán)限，而無需任何手動干預(yù)。

AI技術(shù)還能夠通過實現(xiàn)持續(xù)的身份驗證和授權(quán)機制來支持零信任模型。為了實時驗證用戶身份和訪問請求，組織可以使用身份行為分析（IBA）和用戶行為分析（UEBA）等技術(shù)。AI驅(qū)動的微分段和預(yù)測性訪問控制通過基于行為洞察和上下文數(shù)據(jù)限制訪問來增強安全性。

5. 更好的用戶體驗（Enhanced User Experience）

AI IAM方案能夠有效平衡應(yīng)用中的安全性和可用性，從而帶來更好的用戶體驗?；冢粒傻腎AM系統(tǒng)可以通過動態(tài)評估上下文數(shù)據(jù)（如設(shè)備指紋識別、地理位置和歷史登錄模式）來動態(tài)調(diào)整身份驗證流程，并動態(tài)計算身份驗證可信度的分值。這將允許采用自適應(yīng)的身份驗證方法，進一步減少低風(fēng)險場景中的摩擦，并在必要時執(zhí)行更嚴格的管理措施。系統(tǒng)還可以根據(jù)工作職能動態(tài)分配角色，從而使流程更加順暢高效。

6. 動態(tài)再認證與合規(guī)管理（Automated Recertification and Compliance Management） 

AI IAM可以改進組織的再認證流程和合規(guī)管理水平，這對于保持合規(guī)性和降低安全風(fēng)險非常重要。在動態(tài)再認證流程中，組織可以通過機器學(xué)習(xí)算法，如異常檢測和預(yù)測分析，以根據(jù)用戶行為、角色變更和歷史數(shù)據(jù)評估訪問權(quán)限。這些技術(shù)可以通過分析訪問模式并檢測異常行為，自動觸發(fā)再認證工作流程。

同時，AI風(fēng)險評估模型包括了加權(quán)風(fēng)險評分（WRS）方法和貝葉斯推斷模型等算法，可以根據(jù)系統(tǒng)的關(guān)鍵程度和所涉及的數(shù)據(jù)，對高風(fēng)險用戶賬戶的重新認證工作流程并更頻繁地進行監(jiān)控。

組織還可以通過API和數(shù)據(jù)連接器將AI IAM系統(tǒng)與GRC風(fēng)險管理工具集成。AI可以通過分析用戶訪問日志、應(yīng)用自然語言處理（NLP）來識別不符合規(guī)定的訪問模式，并使用基于規(guī)則的引擎結(jié)合機器學(xué)習(xí)來建議糾正措施，從而自動生成審計跟蹤，形成一個自適應(yīng)的合規(guī)監(jiān)測系統(tǒng)，確保持續(xù)遵守法規(guī)。

AI IAM應(yīng)用的挑戰(zhàn)

AI為IAM帶來了新的智能化、自動化和適應(yīng)性。借助AI技術(shù)，新型IAM系統(tǒng)不僅可以被動式安全防御，還可以主動預(yù)測和適應(yīng)不斷變化的身份威脅，為組織提供新的方法來應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)安全環(huán)境變化。

不過，要實現(xiàn)AI IAM的全部潛力，組織還需要深思熟慮地處理數(shù)據(jù)隱私、算法公平性和系統(tǒng)集成等問題，以確保其人工智能驅(qū)動的身份和訪問管理解決方案是可信、安全和可持續(xù)的。

研究人員認為，AI IAM解決方案應(yīng)用的主要挑戰(zhàn)包括：

• 數(shù)據(jù)隱私問題： AI模型需要大量的數(shù)據(jù)集進行訓(xùn)練，這引發(fā)了人們對數(shù)據(jù)安全和監(jiān)管法規(guī)遵從的擔(dān)憂。數(shù)據(jù)匿名化和差分隱私等技術(shù)可以幫助降低ＡＩ IAM應(yīng)用中的部分風(fēng)險。
• 算法偏見問題： 如果 AI 模型不是基于多樣化的數(shù)據(jù)進行訓(xùn)練的，它們可能會導(dǎo)致在推薦結(jié)果和處置策略中產(chǎn)生算法偏見。組織可以使用偏見檢測工具并減少偏見。
•  技術(shù)融合問題： 將先進的AI技術(shù)與IAM平臺整合需要涉及API連接和數(shù)據(jù)規(guī)范化等問題，這就需要采用合適的中間件來彌合技術(shù)整合差距。這對組織來說可能帶來額外的費用成本和技術(shù)挑戰(zhàn)。
• 性能和可擴展性問題： 可擴展架構(gòu)對于AI IAM系統(tǒng)非常重要，像Apache Kafka和TensorFlow這樣的技術(shù)可以通過數(shù)據(jù)流和高效的模型部署來提高AI IAM的應(yīng)用性能。

參考鏈接：https://dzone.com/articles/the-role-of-artificial-intelligence-ai-in-identity