大多數(shù)企業(yè)在云環(huán)境中仍缺乏基本的身份安全控制措施，這使其面臨數(shù)據(jù)泄露、審計失敗和合規(guī)違規(guī)的風(fēng)險。Unosecur發(fā)布的一份年中新基準(zhǔn)報告顯示，在接受掃描的公司中，幾乎每家都至少存在一個高風(fēng)險問題，平均每家企業(yè)存在40項控制措施失效的情況。

該報告分析了2025年1月至6月期間，來自不同行業(yè)和地區(qū)的50家企業(yè)的診斷掃描數(shù)據(jù)。與基于調(diào)查的研究不同，該報告的結(jié)論是基于與ISO 27001/27002、PCI DSS和SOC 2等標(biāo)準(zhǔn)相一致的直接控制檢查得出的。其目標(biāo)是：以可復(fù)制的方式呈現(xiàn)云身份實踐存在的不足以及相應(yīng)的改進(jìn)方法。

Unosecur的首席執(zhí)行官桑托什·賈亞普拉卡什(Santhosh Jayaprakash)表示：“百分比份額的變化可能在一定程度上反映了掃描覆蓋范圍較小。數(shù)據(jù)傳達(dá)的信息很簡單：如果你的公司使用這三個平臺中的任何一個，你就能清楚了解最常見的合規(guī)違規(guī)問題。對于多云企業(yè)而言，這些數(shù)據(jù)進(jìn)一步表明，并非所有環(huán)境都面臨相同的風(fēng)險。如果認(rèn)為所有環(huán)境風(fēng)險相同，可能會導(dǎo)致嚴(yán)重漏洞得不到解決。”

數(shù)據(jù)顯示，許多企業(yè)繼續(xù)忽視基礎(chǔ)防護(hù)措施，最常見的問題是管理員賬戶未啟用多因素身份驗證(MFA)，其他常見漏洞包括角色權(quán)限過大、服務(wù)賬戶密鑰長期有效以及職責(zé)劃分不清，僅缺失MFA、權(quán)限過大、憑證過期和未管理的機器密鑰這四類問題，就占高嚴(yán)重性問題的70%。

報告指出：“缺失MFA和權(quán)限過大并非前沿威脅，而是如同未上鎖的門，勒索軟件團(tuán)伙和審計人員會首先注意到這些問題?！?/p>

基準(zhǔn)報告中列出的十大失敗案例，每個都會產(chǎn)生明確的安全后果。例如，管理員賬戶未啟用MFA，可能導(dǎo)致單個被竊取的密碼危及整個云環(huán)境。未輪換的密鑰和擁有廣泛權(quán)限的服務(wù)賬戶，可能會提供長期未經(jīng)授權(quán)的訪問。

云環(huán)境特有的趨勢也十分突出。在AWS中，許多用戶仍未啟用MFA。Google Cloud租戶經(jīng)常依賴項目級TokenCreator角色，該角色允許廣泛創(chuàng)建令牌。研究發(fā)現(xiàn)，Azure客戶在整個訂閱范圍內(nèi)開放“所有者”或“參與者”角色，增加了濫用風(fēng)險。

身份管理不善不僅會增加安全風(fēng)險，還會在審計時帶來挑戰(zhàn)，并提高網(wǎng)絡(luò)安全保險成本。相反，實施特權(quán)賬戶MFA、即時訪問權(quán)限提升、短期密鑰和受保護(hù)的機器憑證等四項關(guān)鍵控制的企業(yè)，審計發(fā)現(xiàn)的問題更少，且在企業(yè)銷售中占據(jù)更有利地位。

監(jiān)管壓力也在不斷加大。2025年初，歐盟《數(shù)字運營韌性法案》(DORA)和eIDAS 2.0框架、印度《數(shù)字個人數(shù)據(jù)保護(hù)法》以及美國零信任政策的新要求，均推動加強身份治理。一些法律現(xiàn)在還涉及人工智能身份濫用問題，包括用于欺詐的深度偽造。

報告稱：“如果你的競爭對手存在高膽固醇問題(弱MFA、過期密鑰)，你需要在下一次數(shù)據(jù)泄露或?qū)徲嫵蔀轭^條新聞之前，了解自身狀況?！?/p>