随着企业数字化转型的深入,数据泄漏风险快速增长,数据安全需求也与日俱增。如今大多数数据泄漏事件中,攻击者都会冒充身份实现横向移动,或长期驻留。IAM系统——尤其是不受零信任安全保护的旧的基于边界的系统——通常是第一个或主要目标。
2022年,有84%的企业经历过与身份相关的攻击行为,其中78%的企业表示攻击对业务产生直接影响。
网络安全和IAM技术正在不断发展以应对这一挑战,以下三大网络安全市场趋势将重新定义IAM:
企业将优先考虑以身份为中心的零信任安全
零信任是一种安全模型,它假定所有用户、设备和应用程序都可能受到威胁,默认情况下不应被信任。零信任要求对资源的所有访问都需要逐用户和逐设备进行验证和授权。简而言之,零信任意味着采取“假设您已被入侵”的方法,这意味着“永不信任,始终验证”。
在以身份为中心的零信任模型中,身份成为安全的基础,这意味着强身份(已知用户和设备)、强身份验证和动态授权。零信任采用持续自适应信任的形式,公司实时监控用户的生物识别、行为和基于上下文的数据,根据策略持续确认用户的身份和访问权限。
虽然许多零信任安全厂商声称其解决方案是“终极方案”,但事实上,任何一家零信任厂商都不可能提供完整方案。真正的零信任解决方案应该是众多网络安全公司围绕一致的零信任定义联合发展,使企业能够无代码编排集成多个厂商的解决方案以实现零信任或其他身份相关概念,例如身份结构。
企业更加关注灵活的集成框架
身份安全的另一个热门领域和趋势是灵活集成框架。作为网络安全最重要的趋势之一,硬编码正在成为过去,而IAM正向灵活集成框架转变。许多企业拥有复杂的异构IT基础架构,其中包含多个需要保护的系统和应用程序。挑战在于,企业需要能够有效地集成和管理这些不同的系统,同时仍然保持高水平的安全性。
过去,企业主要依靠零散的网络安全方法实施不同的安全解决方案来实现预期的结果,取得不同程度的成功,但这往往不是最佳实践。离散的网络安全方法不但会很麻烦,而且可能产生安全漏洞,从而被网络犯罪分子利用。为了克服这一挑战,许多企业正在采用更灵活的集成框架,以便能够全面管理其安全解决方案。
身份编排能降低复杂度,减少对开发人员的依赖,从而加快了部署速度并提高了IT敏捷性。基于灵活的集成框架,企业可以选择适合其现有身份技术堆栈的供应商和集成。企业可以定制实施路线,同时优化用户体验和安全性之间的平衡。灵活集成框架还避免了供应商锁定,以及随之而来的孤岛化运营和自定义开发,从而更快地应对不断变化的威胁。
去中心化身份正在成为现实
去中心化身份是指身份管理的范式转换概念,身份将不受任何集中机构的控制,用户可以控制自己的身份信息并决定谁可以访问这些信息。
去中心化身份解决方案有可能彻底改变企业管理身份和访问的方式。通过为用户提供对其身份信息的更大控制权,去中心化身份解决方案可以帮助降低身份盗用和数据泄露的风险。此外,去中心化身份解决方案可以让企业更轻松地跨多个系统和应用程序管理身份。
2023年越来越多的企业开始接受去中心化身份。如果用户能在线出示预授权的、可验证的数字凭证进行交易,企业将不再需要承担存储和管理用户数据的角色,从而节省大量资金并降低因数据泄露而导致声誉受损的风险。
去中心化身份的数字凭证还可以帮助企业提升用户体验,因为客户无需填写冗长的注册表,轻松提交所需身份信息。总之,在去中心化的身份信任框架中,身份变得更加便携和可重用。
—–数据来源:GoUpSec 微信公众号