企業(yè)IAM項(xiàng)目建設(shè)規(guī)劃不知道怎么做？看看這6大建議

隨著數(shù)字身份安全重要性的日益凸顯，強(qiáng)大的身份和訪問(wèn)管理 (IAM) 是任何安全框架的重要組成部分，是企業(yè)組織保護(hù)資源和提供無(wú)縫用戶體驗(yàn)的關(guān)鍵利器。

據(jù)國(guó)外最近的一項(xiàng)研究顯示，近 78% 的公司披露了與身份相關(guān)的數(shù)據(jù)泄露事件，這對(duì)他們的運(yùn)營(yíng)產(chǎn)生了極大的負(fù)面影響。

因此，企業(yè)組織亟需加強(qiáng)IAM建設(shè)與規(guī)劃，在考慮數(shù)據(jù)隱私和安全法規(guī)的持續(xù)變化基礎(chǔ)上，綜合考慮企業(yè)系統(tǒng)的不斷發(fā)展。

然而，事實(shí)上，許多企業(yè)在處理用戶如何以及何時(shí)訪問(wèn)應(yīng)用程序和資源方面仍然存在諸多不足。

為了保持安全性并確保持續(xù)合規(guī)，這些企業(yè)必須仔細(xì)評(píng)估企業(yè)當(dāng)前的IAM 策略并遵循用戶身份賬號(hào)管理的最佳實(shí)踐。

派拉軟件結(jié)合2600+客戶成功實(shí)踐經(jīng)驗(yàn)，總結(jié)出了當(dāng)前企業(yè)6大IAM建設(shè)建議，供企業(yè)參考。

01

認(rèn)識(shí)到傳統(tǒng)安全措施的弱點(diǎn)

要做好IAM項(xiàng)目建設(shè)，企業(yè)安全人員首先需要深刻認(rèn)識(shí)到傳統(tǒng)安全措施的弱點(diǎn)。例如，設(shè)置防火墻和保護(hù)端點(diǎn)等網(wǎng)絡(luò)安全選項(xiàng)缺乏必要的動(dòng)態(tài)檢測(cè)能力，無(wú)法精確定位存在違規(guī)行為的用戶行為的細(xì)微變化，也無(wú)法保護(hù)系統(tǒng)免受黑客使用合法帳戶獲取訪問(wèn)權(quán)限......

雖然傳統(tǒng)保護(hù)措施在安全框架中確實(shí)有一席之地，但企業(yè)必須采取額外措施來(lái)涵蓋在每種可能的場(chǎng)景中如何訪問(wèn)、使用和傳輸數(shù)據(jù)。任何缺乏足夠安全性的行為或環(huán)境都會(huì)產(chǎn)生漏洞，黑客可以利用這些漏洞接管帳戶、破壞網(wǎng)絡(luò)或竊取數(shù)據(jù)。

人作為環(huán)境中最大的變動(dòng)因子或者說(shuō)薄弱環(huán)節(jié)，做好了企業(yè)內(nèi)外部人的行為監(jiān)控對(duì)于企業(yè)安全防護(hù)至關(guān)重要。而傳統(tǒng)安全措施往往不區(qū)分人，而是以網(wǎng)絡(luò)為安全邊界，默認(rèn)網(wǎng)絡(luò)內(nèi)的一切人的行為都是安全可靠的，這就帶來(lái)了嚴(yán)重的潛在安全漏洞。尤其是在萬(wàn)物互聯(lián)、網(wǎng)絡(luò)邊界不斷消融的數(shù)字時(shí)代，這樣一刀切的安全措施早已不可取。

02

全面清理系統(tǒng)掃除身份漏洞

企業(yè)應(yīng)立即解決審計(jì)期間發(fā)現(xiàn)的問(wèn)題，以防止不當(dāng)訪問(wèn)或使用數(shù)據(jù)和應(yīng)用程序。刪除未使用或不需要的帳戶并重組組，減少黑客的潛在訪問(wèn)點(diǎn)數(shù)量。

創(chuàng)建審計(jì)計(jì)劃并實(shí)施常規(guī)網(wǎng)絡(luò)監(jiān)控，確保適當(dāng)?shù)脑L問(wèn)級(jí)別，并揭示需要加強(qiáng)安全性以保護(hù)關(guān)鍵資產(chǎn)和數(shù)據(jù)免受新興威脅的地方。

如果發(fā)現(xiàn)任何帳戶或組的權(quán)限過(guò)大或過(guò)窄，企業(yè)應(yīng)尋求更好的配置解決方案，并結(jié)合自動(dòng)化流程、標(biāo)準(zhǔn)規(guī)范、多因素認(rèn)證等技術(shù)和制度，強(qiáng)化權(quán)限安全策略的有效執(zhí)行落地，確保在全面檢測(cè)系統(tǒng)的基礎(chǔ)上，掃除其中存在的安全漏洞。

03

運(yùn)用AI技術(shù)加強(qiáng)特權(quán)訪問(wèn)安全

74% 的數(shù)據(jù)泄露始于特權(quán)憑證的濫用，但許多數(shù)據(jù)泄露可以通過(guò)適當(dāng)?shù)奶貦?quán)訪問(wèn)管理 (PAM) 來(lái)預(yù)防。企業(yè)IT 人員需要 IAM 平臺(tái)提供工具，以便持續(xù)監(jiān)控所有帳戶、權(quán)限和網(wǎng)絡(luò)活動(dòng)，包括特權(quán)用戶。

實(shí)時(shí)更新對(duì)于發(fā)現(xiàn)異常是必不可少的。因此，使用人工智能和機(jī)器學(xué)習(xí)工具，結(jié)合UEBA技術(shù)，可以幫助企業(yè)更易檢測(cè)到用戶行為的一些實(shí)時(shí)變化，并根據(jù)需要和上下文自動(dòng)配置和取消權(quán)限等策略手段進(jìn)一步防止帳戶濫用，及時(shí)發(fā)現(xiàn)訪問(wèn)過(guò)程中的用戶實(shí)體行為異常，并進(jìn)行安全控制與告警提醒。

04

關(guān)注供應(yīng)鏈賬號(hào)權(quán)限安全問(wèn)題

據(jù)數(shù)據(jù)統(tǒng)計(jì)，外包已發(fā)展成為一個(gè)價(jià)值超過(guò) 860 億美元的全球市場(chǎng)，越來(lái)越多的企業(yè)正在尋求外包從基本流程到客戶服務(wù)的一切。然而，這樣的供應(yīng)鏈策略，也帶來(lái)了越來(lái)越多的安全風(fēng)險(xiǎn)與挑戰(zhàn)。

例如，2022年，因供應(yīng)商“小島沖壓工業(yè)株式會(huì)社”（Kojima Industries Corporation）遭到網(wǎng)絡(luò)攻擊，致使豐田在日本國(guó)內(nèi)的所有工廠（共計(jì)14家工廠，28條生產(chǎn)線）全部停工。今年，甚至發(fā)生了供應(yīng)鏈襲擊事件，即利用對(duì)手硬件或軟件供應(yīng)鏈上的漏洞實(shí)施的破壞和襲擊活動(dòng)......

此外，隨著企業(yè)尋求降本增效，員工要求在工作時(shí)間安排上更加靈活，遠(yuǎn)程勞動(dòng)力持續(xù)增長(zhǎng)。為了有效管理并支持這些業(yè)務(wù)和就業(yè)結(jié)構(gòu)變化所需的第三方和異地訪問(wèn)，企業(yè)需要監(jiān)控更廣泛的網(wǎng)絡(luò)活動(dòng)。

其中，避免一刀切的權(quán)限至關(guān)重要。供應(yīng)商和遠(yuǎn)程員工在不同時(shí)間需要不同級(jí)別的網(wǎng)絡(luò)訪問(wèn)權(quán)限，因此需采用細(xì)粒度的訪問(wèn)管理方法，并使用與監(jiān)控和管理特權(quán)帳戶相同的詳細(xì)可見(jiàn)性。

企業(yè)還必須在授予訪問(wèn)權(quán)限之前評(píng)估所有供應(yīng)商的IAM和員工生命周期管理實(shí)踐，以確保這些系統(tǒng)中的漏洞不會(huì)危及內(nèi)部網(wǎng)絡(luò)的安全。

以派拉軟件合作的某知名汽車集團(tuán)為例，該集團(tuán)擁有多維度業(yè)務(wù)領(lǐng)域，按照業(yè)務(wù)領(lǐng)域又可以劃分出多個(gè)用戶群體，包括企業(yè)內(nèi)部用戶、經(jīng)銷商、供應(yīng)商、C端客戶等。

圍繞不同業(yè)務(wù)和用戶群體，集團(tuán)根據(jù)實(shí)際需求建設(shè)了面向內(nèi)部員工用戶運(yùn)營(yíng)管理的EIAM，面向C端消費(fèi)者的CIAM，以及面向經(jīng)銷商/渠道商的BIAM和供應(yīng)商的SIAM等，從而有效加強(qiáng)第三方訪問(wèn)控制與安全。

05

考慮所有“事物”的身份與訪問(wèn)

物聯(lián)網(wǎng) (IoT) 正在成為各行各業(yè)企業(yè)的普遍現(xiàn)象。從聯(lián)網(wǎng)打印機(jī)等基本硬件到制造業(yè)使用的復(fù)雜自動(dòng)化機(jī)械，物聯(lián)網(wǎng)設(shè)備有效提高眾多企業(yè)的效率和生產(chǎn)力。然而，這些設(shè)備也給 IT 員工帶來(lái)了巨大的安全問(wèn)題。

規(guī)模數(shù)量龐大，位置分布全球各地、各角落，需聯(lián)網(wǎng)且注重實(shí)時(shí)性，還涵蓋不同的制造商和協(xié)議、數(shù)據(jù)共享等等。

這些都使的物聯(lián)網(wǎng)設(shè)備管理變得非常復(fù)雜、困難，且與管理網(wǎng)絡(luò)內(nèi)用戶行為的訪問(wèn)協(xié)議不兼容，并帶來(lái)各種安全問(wèn)題。例如，急速擴(kuò)大的網(wǎng)絡(luò)攻擊面、更多的潛在漏洞、隱私安全問(wèn)題等。

據(jù)Forrester Research在《2023年物聯(lián)網(wǎng)安全狀況》報(bào)告調(diào)查顯示：物聯(lián)網(wǎng)設(shè)備是報(bào)告最多的外部攻擊目標(biāo)，比移動(dòng)設(shè)備或計(jì)算機(jī)受到的攻擊更多。物聯(lián)網(wǎng)設(shè)備每天在全球范圍內(nèi)產(chǎn)生多達(dá)36億起安全事件。

這就要求企業(yè)亟需為設(shè)備身份制定單獨(dú)的管理策略，即物聯(lián)網(wǎng)設(shè)備身份。

06

構(gòu)建以“身份優(yōu)先”的零信任架構(gòu)

零信任是實(shí)現(xiàn)網(wǎng)絡(luò)和安全架構(gòu)現(xiàn)代化的關(guān)鍵部分。2024年，安全牛最新調(diào)研報(bào)告顯示：86.3%的受訪企業(yè)表示已經(jīng)開(kāi)始或計(jì)劃開(kāi)展零信任安全建設(shè)。

顯然，零信任已從“前沿概念”轉(zhuǎn)變?yōu)?ldquo;必須實(shí)踐”，是企業(yè)應(yīng)對(duì)新的網(wǎng)絡(luò)安全挑戰(zhàn)的首選戰(zhàn)略。而要想實(shí)現(xiàn)零信任建設(shè)，先進(jìn)且集成良好的IAM系統(tǒng)是基礎(chǔ)。

在采用零信任策略時(shí)，企業(yè)必須升級(jí)和集成 IAM 解決方案，構(gòu)建以“身份優(yōu)先”的零信任安全架構(gòu)，以便在基礎(chǔ)架構(gòu)的任何位置提供持續(xù)的基于風(fēng)險(xiǎn)的身份驗(yàn)證。

這可以幫助企業(yè)在混合環(huán)境中實(shí)現(xiàn)無(wú)縫身份驗(yàn)證、授權(quán)和安全訪問(wèn)，增強(qiáng)企業(yè)整體安全態(tài)勢(shì)并為零信任奠定基礎(chǔ)。

以上6大建議只是企業(yè)IAM建設(shè)大框架中的一小部分參考，隨著技術(shù)的持續(xù)發(fā)展與進(jìn)步，諸如ITDR、區(qū)塊鏈等系列新技術(shù)的成熟也將隨之應(yīng)用到企業(yè)IAM建設(shè)中。

而細(xì)分到各個(gè)領(lǐng)域和安全場(chǎng)景中，還會(huì)發(fā)現(xiàn)企業(yè)在諸如賬號(hào)、權(quán)限、審計(jì)等各維度也普遍存在諸多問(wèn)題。這些在派拉軟件相應(yīng)場(chǎng)景解決方案文章中也曾提過(guò)并給出相應(yīng)方案。

也希望以上6大IAM建設(shè)建議，可以給企業(yè)IAM建設(shè)與規(guī)劃帶來(lái)些許參考與啟發(fā)。