SailPoint 今公布「2023年全球身分安全趋势预测」,针对企业抵御不断变化的网路威胁情势,提出最需关注的五大关键预测,显示身分安全将在全新年度中成为网路防御的最前线。
|
SailPoint台湾区总经理 傅孝淇 |
依据Identity Defined Security Alliance(IDSA)的研究数据,高达84%企业组织曾遭受身分相关的攻击事故,其中78%的业务受到直接的影响。SailPoint亦在最新发表的研究报告《The Horizons of Identity》中,探究身分相关的网路攻击成为资讯安全漏洞的主要原因,来自於机器身分在企业需要管理的所有身分组成的占比逾4成;平均而言,机器身分的数量更可能比人类身分多出45倍。为妥善管理所有人类与非人类身分的扩张,同时抵御不断演变的新形态攻击威胁,50%调查受访者表示已经实施或计划在未来两年内实施AI/ML资安模型提高身分安全治理能力,以落实数位身分的即时侦测。
SailPoint 台湾区总经理傅孝淇表示:「企业必须充分了解组织在身分安全成熟度发展阶段中所处的位置。从SailPoint的研究调查观察到55%的企业组织仍然使用传统的人工手动流程进行存取权限的调整,而45%的公司才刚开始身分安全之旅,这意味着他们有机会能够从头开始建构一个支援AI人工智慧的全面身分安全策略,并从中获得巨大收益。随着身分数量的不断增加,企业需要超越传统的身分治理方法,转而采用强大而智慧化、全面性、自动化的身分安全方案,来保护所有应受管理的身分与权限,从而降低业务成本和网路风险。」
SailPoint公布《2023年全球身分安全趋势预测》的五大关键
趋势1:以「身分」为攻击对象的网路威胁,仍将是造成安全漏洞的主要原因
非法使用权限已成为更加普遍的违规行为,在各类漏洞的占比中,已从2017年的37%,至2021年上升至48%。
而云端应用程式和服务的采用带来了影子IT的指数成长,员工在没有明确的IT核准下使用IT系统、装置、软体、应用程式和服务,尽管员工认为这是提高工作效率的一种方式,然而当IT部门无法确实掌握身分与权限的关系时,也就无法确保其使用的安全性。
随着身分管理成为资讯安全的第一道防线,CISO需要确保所有未受到管理的应用程式和装置具备360度的全方位可视性,以确保全面的身分安全,作为有效的身分安全策略的起点。
趋势2:零信任从身分安全开始,身分管理成为企业资安的基本要求
零信任是一种资安架构,以「绝不信任,一律查证」作为基础原则,在现今资讯安全领域越来越受到欢迎。透过「最小权限原则(PoLP)」,基於使用者的角色职能和政策逻辑,仅在需要时提供刚好足够的存取权限。组织应避免依赖单一登入和多因素身分验证(MFA)等基本验证方法提供存取权限,有效的零信任计画应以身分安全作为基石,以实现身分生命周期的自动化,管理身分属性的完整性,透过动态的存取控制和以角色作为依据的政策达成特权最低化,并确保绝对的职责分离(SoD, Separation of Duties)。存取权限需要不断地被加以监控、分析、评估和调整,善用AI和ML等先进科技,才能确保严格的身分治理,实现存取风险的即时回应。
趋势3:保护非人类身分是身分和存取权限管理(IAM)的未来趋势
机器身分为骇客提供了数位攻击路径,尤其当组织不采取任何工具进行机器身分的存取控制与授权,并不受到持续性的身分验证时,机器身分通常会暴露在外带来高度风险。根据GSMA预测,至2025年将有250亿台联网装置,因此超过50%的组织认为保护机器身分成为极具挑战的任务。为了在IT基础设施中实施有效的集中式身分安全策略,组织需要精心安排以保护各种类型的身分。相较之下,零碎地采用IAM工具将为攻击者开启通道,成为骇客侵入破坏系统的破囗。
趋势4:云端的复杂性将推动云端身分安全的庞大需求
随着疫情推动企业组织加速采用混合云方案,38%的企业认为2023年骇客将透过云端进行更严重的网路攻击。为了有效地部署和扩展身分治理计画,企业组织应考虑采用软体即服务(SaaS)平台,帮助组织实现灵活性、提高安全性和自动化,同时减少工作中断并节省成本,达到在更短的时间内创造价值。更重要的是,云端SaaS解决方案可使企业敏捷地进行创新,以满足快速变化的客户需求。
趋势5:身分安全是企业营运的重要环节,AI/ML驱动的身分安全成为未来大势
企业组织不应冒险在未实施清楚的身分安全控制支援每一个存取点的情况下,就贸然提供能让他人存取企业组织内部技术资源的权限。藉由AI/ML驱动的身分安全能提供360度的可视性,达到即时侦测和补救,因此企业可以自信地面对威胁,甚至防范於未然。
SailPoint以AI驱动的身分安全方案善用可信赖的数据智能来主动发现、管理和控制所有使用者的存取权限。透过可信赖的智慧和全面性的自动化,再加上全方位整合的支援,当员工加入公司、调职或离职时,公司即可轻松且安全地撤销或恢复员工的存取权限,所有程序都无需经过实体流程,大大简化员工入职、调职和离职的存取权限启用和撤销流程。