你好,我是茆正華。歡迎來(lái)到派拉軟件“數(shù)字安全前沿欄目”之解讀《新一代身份和訪問(wèn)控制管理》的第四講:AI技術(shù)如何與IAM技術(shù)融合創(chuàng)新,智能化賦能企業(yè)數(shù)字化身份安全管控?
AI,一種試圖用機(jī)器對(duì)人類智能的模擬技術(shù)。2023年ChatGPT的橫空出世,人工智能發(fā)展再一次邁入關(guān)鍵時(shí)期,以生成式人工智能為代表的新技術(shù)、新應(yīng)用不斷打破人們對(duì)人工智能的固有認(rèn)知。
當(dāng)人工智能可以通過(guò)人類最嚴(yán)格的考試、同時(shí)執(zhí)行多種工作命令、具備一定的推理規(guī)劃能力、生成代碼、生成以假亂真的照片、模仿人類與人聊天不被發(fā)現(xiàn)時(shí),我們發(fā)現(xiàn)AI正在代替人做的事情越來(lái)越多了。
與此同時(shí),我們也第一次切實(shí)感受到了AI的強(qiáng)大,有關(guān)“AI到底是減弱人的價(jià)值還是增強(qiáng)人的價(jià)值”的討論愈演愈烈。
我的觀點(diǎn)是,這取決于你怎么用它!
以身份治理與身份安全管理為例,看看在IAM技術(shù)的未來(lái)發(fā)展中可以怎樣融合AI強(qiáng)大的機(jī)器學(xué)習(xí)和分析能力,利用海量用戶行為數(shù)據(jù)分析,為現(xiàn)實(shí)世界進(jìn)入數(shù)字世界的大門站好第一道崗。
在本欄目解讀的前幾講中,我曾說(shuō)過(guò),IAM是鏈接現(xiàn)實(shí)世界和數(shù)字世界的紐帶,把現(xiàn)實(shí)世界中的人或?qū)嶓w一比一映射到數(shù)字世界,從而在數(shù)字世界里給彼此間的認(rèn)識(shí)、交流、互動(dòng)建立基礎(chǔ)。
在這個(gè)基礎(chǔ)上,現(xiàn)實(shí)世界中的主體要想進(jìn)入數(shù)字世界訪問(wèn)相應(yīng)的客體資源,首先需要建立安全可信的身份認(rèn)證。只有在身份核驗(yàn)認(rèn)證通過(guò)后,現(xiàn)實(shí)世界的主體才能進(jìn)入數(shù)字世界。
但哪些客體資源可以訪問(wèn),又需要有對(duì)應(yīng)的權(quán)限管控。在整個(gè)訪問(wèn)控制過(guò)程中,還需要通過(guò)審計(jì)能力,記錄監(jiān)控這一切。
也就是說(shuō),在全面數(shù)字化的世界里,一個(gè)現(xiàn)實(shí)世界主體進(jìn)入數(shù)字世界,并在數(shù)字世界安全地工作、生活過(guò)程中,需要借助IAM的身份、認(rèn)證、訪問(wèn)權(quán)限管控、風(fēng)險(xiǎn)審計(jì)4大基礎(chǔ)安全能力。
1.
無(wú)感化認(rèn)證:極致化登錄體驗(yàn)
當(dāng)你在數(shù)字世界入口前,AI就開(kāi)始對(duì)你的身份、行為全方位掃描、分析,利用無(wú)監(jiān)督學(xué)習(xí),學(xué)習(xí)用戶特定行為(如登錄時(shí)間、習(xí)慣,設(shè)備,生物特征等),發(fā)現(xiàn)合法賬號(hào)是否被非法使用;
或通過(guò)圖表征學(xué)習(xí)與聚類算法相結(jié)合挖掘黑產(chǎn)用戶賬號(hào),并配合MFA的打擊能力,對(duì)黑產(chǎn)的源頭進(jìn)行精準(zhǔn)打擊,有效的避免非法的人持有合法賬號(hào)的非法行為。
在這樣的安全認(rèn)證保障下,AI還可以基于海量數(shù)據(jù)形成的個(gè)人畫(huà)像,在你進(jìn)入數(shù)字世界入口時(shí),設(shè)計(jì)出符合個(gè)人習(xí)慣、特性的獨(dú)特身份認(rèn)證方式,實(shí)現(xiàn)基于多因素的自適應(yīng)身份驗(yàn)證,甚至是無(wú)感化認(rèn)證,在保障提升認(rèn)證準(zhǔn)確性、安全性的同時(shí),提升你的認(rèn)證登錄體驗(yàn)。
2.
訪問(wèn)即權(quán)力:智能化最小權(quán)限
進(jìn)入數(shù)字世界后,你開(kāi)始根據(jù)自己的工作需求以及所擁有的權(quán)限訪問(wèn)各個(gè)客體,獲取相應(yīng)的資源。
此時(shí),如果你是一個(gè)全新用戶,在沒(méi)有管理員授權(quán)前提下,你會(huì)處處碰壁,無(wú)法在這個(gè)數(shù)字世界生存。而如果管理員把你的權(quán)限設(shè)置過(guò)大,又會(huì)滋生權(quán)限濫用等風(fēng)險(xiǎn)。
而對(duì)于一個(gè)中大型組織企業(yè)而言,所有的應(yīng)用系統(tǒng)中的權(quán)限項(xiàng)可能突破百萬(wàn)級(jí),權(quán)限如何精準(zhǔn)設(shè)置是個(gè)精細(xì)活。
傳統(tǒng)的依靠管理員進(jìn)行人工配置所有人的權(quán)限項(xiàng)手段越來(lái)越不可靠。那這種具備工作量大、容易出錯(cuò)且要求精準(zhǔn)等特征的工作是否可以通過(guò)AI來(lái)解決呢?
答案是可以的!
AI 技術(shù)的三大核心要素,即算法、算力、數(shù)據(jù)。其中算法是 AI 的“大腦”,目前算法應(yīng)用主要區(qū)分為決策式和生成式。前者是根據(jù)已有數(shù)據(jù)進(jìn)行分析、判斷、預(yù)測(cè);后者是基于已有數(shù)據(jù)進(jìn)行模仿式創(chuàng)作,生成全新的內(nèi)容。
在IAM的權(quán)限治理層面, AI可以利用其天生具備的強(qiáng)大數(shù)據(jù)收集、深度學(xué)習(xí)分析能力,結(jié)合生成式算法,通過(guò)對(duì)全域、全組織內(nèi)、全工作過(guò)程中對(duì)業(yè)務(wù)系統(tǒng)的細(xì)粒度權(quán)限項(xiàng)的使用知識(shí)學(xué)習(xí),快速地為一個(gè)新用戶需要處理的工作的最小權(quán)限進(jìn)行智能推薦。
即使這個(gè)新用戶在公司就職過(guò)程中,存在職責(zé)或人事變動(dòng),AI也會(huì)即時(shí)做出調(diào)整,并智能推薦相應(yīng)權(quán)限。
與此同時(shí),在管理系統(tǒng)中進(jìn)行自動(dòng)化、智能化分配,加大權(quán)限的細(xì)粒度精準(zhǔn)管控,也減少人工干預(yù)的錯(cuò)誤和操作的滯后性,提升系統(tǒng)訪問(wèn)控制權(quán)限的靈活性、精確性以及安全性,讓你感受到“訪問(wèn)即權(quán)力”的真諦。
3.
全過(guò)程監(jiān)控:精準(zhǔn)化風(fēng)險(xiǎn)管控
而在你從進(jìn)入數(shù)字世界前到生活在數(shù)字世界全程中,引入AI能力的IAM會(huì)不眠不休地監(jiān)測(cè)你的行為、全程監(jiān)督。
例如,針對(duì)用戶有意識(shí)或是無(wú)意識(shí)的風(fēng)險(xiǎn)操作,AI都可以根據(jù)統(tǒng)計(jì)規(guī)則的正態(tài)分布規(guī)律進(jìn)行探索發(fā)現(xiàn),及時(shí)監(jiān)測(cè)出是機(jī)器人操作還是合法人的惡意操作等。
此外,通過(guò)廣泛的數(shù)據(jù)收集與深度學(xué)習(xí)能力,結(jié)合不同場(chǎng)景,分析用戶和實(shí)體行為,更準(zhǔn)確地檢測(cè)出用戶操作行為的細(xì)微變化,配合專家知識(shí)庫(kù),分析你在訪問(wèn)過(guò)程中潛在的威脅行為,如異常登錄嘗試、大規(guī)模數(shù)據(jù)下載等可疑活動(dòng);
以極高的準(zhǔn)確率命中異常事件,并及時(shí)、自動(dòng)化地做出反應(yīng),有效防止企業(yè)核心數(shù)據(jù)泄漏、員工違規(guī)操作、賬號(hào)盜用等安全問(wèn)題,同時(shí)能為安全事件調(diào)查提供更加精準(zhǔn)的依據(jù)輸出。
4.
新技術(shù)風(fēng)險(xiǎn):動(dòng)態(tài)化網(wǎng)絡(luò)安全
以上,我從IAM四大基礎(chǔ)能力,即身份、認(rèn)證、訪問(wèn)權(quán)限管控、風(fēng)險(xiǎn)審計(jì),并結(jié)合用戶進(jìn)入數(shù)字世界生活、工作的全過(guò)程,試圖為大家講清楚AI如何賦能IAM管控全過(guò)程。
當(dāng)然,AI賦能IAM的地方絕不僅此,以上只是拋磚引玉,提供一個(gè)思考方向。企業(yè)可以根據(jù)實(shí)際在身份和訪問(wèn)控制管理的薄弱環(huán)節(jié),嘗試將AI技術(shù)融入其中。
但在這個(gè)過(guò)程中,我們也不能忽略AI可能帶來(lái)的潛在安全威脅。
例如,AI模型本身可能就存在漏洞,即新技術(shù)的內(nèi)生安全。ChatGPT發(fā)布后爆出的各種安全事件也證實(shí)了這個(gè)觀點(diǎn);
其次,新技術(shù)在安全領(lǐng)域的賦能,既可以賦能于防御,也可能賦能于攻擊。所以,AI技術(shù)也會(huì)被惡意利用,使得不法分子的攻擊能力增強(qiáng);
再者,新技術(shù)自身缺陷可能并不影響新技術(shù)系統(tǒng)自身的運(yùn)行,但這種缺陷卻給其他領(lǐng)域帶來(lái)了問(wèn)題,導(dǎo)致其他領(lǐng)域變得不安全,即新技術(shù)的衍生安全問(wèn)題。
例如,由于AI技術(shù)依賴大量用戶數(shù)據(jù)進(jìn)行學(xué)習(xí),數(shù)據(jù)濫用和隱私問(wèn)題可能會(huì)成為安全隱患……
所以,我們要認(rèn)識(shí)到,網(wǎng)絡(luò)安全始終是動(dòng)態(tài)的,沒(méi)有百分百的安全防護(hù)解決方案。一個(gè)安全問(wèn)題解決了,另一個(gè)安全問(wèn)題又會(huì)冒出來(lái)。新技術(shù)更是導(dǎo)致網(wǎng)絡(luò)空間安全具有動(dòng)態(tài)特征的主要因素之一。
要做好網(wǎng)絡(luò)安全,就注定要在這條永無(wú)止境的路上,不斷前行!這也是為什么派拉軟件15年來(lái),始終堅(jiān)持在數(shù)字身份安全領(lǐng)域持續(xù)深耕的原因。
以上就是本期全部?jī)?nèi)容,我們下期內(nèi)容再見(jiàn),也歡迎你在文末留言,對(duì)本期內(nèi)容進(jìn)行探討。