在IAM公司的大力宣傳下，網(wǎng)絡(luò)安全市場(chǎng)上已經(jīng)形成了自成體系的“身份”細(xì)分市場(chǎng)。

[[229056]]

剛結(jié)束不久的RSA大會(huì)上或許已現(xiàn)端倪：大量討論圍繞身份展開，很多公司將自己的產(chǎn)品往身份與訪問管理(IAM)上靠，展位上掛滿“身份治理”、“身份上下文”、“特權(quán)訪問管理”、“隱私”、“行為生物特征識(shí)別”、“生物特征平臺(tái)”、“以人為中心的安全”等等標(biāo)簽。

如果網(wǎng)絡(luò)安全市場(chǎng)是個(gè)星球，每個(gè)細(xì)分市場(chǎng)占據(jù)其中一塊，那么終端安全就是廣袤的大陸，威脅情報(bào)則是群島;IAM又應(yīng)該落到哪個(gè)位置呢?

或許哪里都不適合，IAM自成體系。

用戶的問題在于互動(dòng)性。企業(yè)身份管理工作之所以難做，是因?yàn)橛脩舻纳矸莺托袨槎嘧儯肼?、離職、升遷、訪問敏感文件系統(tǒng)、共享機(jī)密數(shù)據(jù)、發(fā)送帶秘密信息的郵件、訪問沒有權(quán)限查看的數(shù)據(jù)、嘗試本不該做的事情等等。身份管理上不存在一勞永逸這碼事，想設(shè)置一次就不用再管是不可行的。

但幸運(yùn)的是，IAM正變得越來越容易，Sailpoint和Saviynt之類身份治理工具及CyberArk等特權(quán)訪問管理工具不僅可控，價(jià)格也是企業(yè)負(fù)擔(dān)得起的。

這一切來得正好。IAM需求一直都很高，但最近的數(shù)據(jù)泄露(Equifax)、新合規(guī)壓力(GDPR)和隱私問題(Cambridge Analytica/Facebook)進(jìn)一步推高了對(duì)身份安全與治理的重壓。

Facebook的安全團(tuán)隊(duì)超棒，但其監(jiān)管很糟。Equifax則是徹底的安全悲劇。

到底有哪些力量在塑造身份管理小世界的地形地貌呢?不妨看看下列12個(gè)趨勢(shì)：

1. KBA身份驗(yàn)證已死

Equifax數(shù)據(jù)泄露之后，傳統(tǒng)基于知識(shí)的身份驗(yàn)證(KBA)系統(tǒng)就已分崩離析。為什么要讓客戶通過確認(rèn)其前雇主、住址或母親生日的方式來驗(yàn)證客戶身份呢?這些東西攻擊者也全都知道啊，而且沒準(zhǔn)兒知道得更多，連用戶訂閱了哪些雜志，后院有沒有泳池都知道。

2. GDPR將身份回歸個(gè)人手中

公司企業(yè)越來越慣于將數(shù)據(jù)庫(kù)中的東西當(dāng)成自己的所有物，幾乎毫無顧忌地收集、存儲(chǔ)、傳輸、買賣用戶的個(gè)人可識(shí)別信息(PII)。GDPR改變了這一切，提高了企業(yè)對(duì)身份治理的需求。

• GDPR要求企業(yè)收集或共享個(gè)人信息時(shí)必須獲得用戶的明確許可——自動(dòng)勾選的同意框可不算明確許可，而且個(gè)人還應(yīng)可以隨時(shí)撤銷該許可。個(gè)人擁有“被遺忘的權(quán)力”。另外，無論數(shù)據(jù)流向何方，身份信息的使用記錄都必須留存。
• GDPR適用于歐盟公民的任何數(shù)據(jù)，無論該公民及其數(shù)據(jù)在哪兒，因而其影響范圍是全世界，且企業(yè)的客戶和員工都適用——即涉及公司內(nèi)部和外部身份的治理與安全。
• GDPR將于今年5月25日正式生效(自GDPR誕生的2年寬限期后)，屆時(shí)將會(huì)對(duì)違反GDPR的行為處以最高2000萬歐元或年?duì)I業(yè)收入4%的罰款。
• GDPR影響巨大，像PCI一樣會(huì)推動(dòng)行業(yè)發(fā)展，但又與PCI不同，影響的是所有行業(yè)?；蛟S，歐盟之后，北美地區(qū)也會(huì)有自己的GDPR。

3. 保護(hù)隱私的身份驗(yàn)證需求上升

人們需要既能護(hù)住隱私又能驗(yàn)明自身的方法。

老用例再現(xiàn)的例子不是沒有。比如說，酒吧保安能不能不用看身份證就知道客人是否到了法定飲酒年齡?而政府機(jī)構(gòu)又能否在不知道用戶飲酒時(shí)間和位置的情況下提供該驗(yàn)證信息?

更重要的是，社交媒體和新網(wǎng)站點(diǎn)能不能用此類身份驗(yàn)證方法抵御可擾亂大選的虛假信息行動(dòng)?投票網(wǎng)站能夠驗(yàn)證用戶是注冊(cè)選民還是某國(guó)公民嗎?

技術(shù)上而言，這些東西都是觸手可及的。智能手機(jī)就能存儲(chǔ)私鑰。目前的限制，在于監(jiān)管。

4. 身份監(jiān)管延伸至云端

監(jiān)管的落腳點(diǎn)在于誰有權(quán)限訪問什么東西，誰應(yīng)該有權(quán)限訪問什么東西，以及這些權(quán)限都用對(duì)了沒有。大多數(shù)客戶距離前兩條都還差得很遠(yuǎn)，也就不用擔(dān)心第三條了。

• SailPoint和其他身份治理及管理(IGA)解決方案提供商致力于在前端為安全人員帶來更加用戶友好的云管理工具。而在后端，各種云服務(wù)卻讓身份治理問題更加復(fù)雜，用戶不得不越來越多的地方管理越來越多的賬戶，更別說原本就有的現(xiàn)場(chǎng)資源身份管理任務(wù)了。
• Saviynt是專為云環(huán)境設(shè)計(jì)的IGA解決方案，嘗試 IGA 2.0 的急先鋒。其他的，比如Sailpoint和 One Identity，則通過云遷移為客戶提供支持。

工業(yè)控制系統(tǒng)環(huán)境中的預(yù)置軟件尾大不掉，未來幾年中云會(huì)是個(gè)相當(dāng)復(fù)雜的因素，會(huì)讓該環(huán)境下的身份治理更加麻煩。

5. 身份即服務(wù)演變

如今，用戶需要能在任何地點(diǎn)辦公的自由，理解他們需要做什么、需要在哪兒做、需要用到什么設(shè)備，才能做好企業(yè)訪問控制。

• Cloud Identity 公司的服務(wù)列表很長(zhǎng)，其單點(diǎn)登錄支持 SAML 2.0 和OpenID，可與數(shù)百個(gè)外部應(yīng)用協(xié)作，包括Salesforce、SAP SuccessFactors 和Box及Docs或Drive之類 G Suite 應(yīng)用。至于使用谷歌云計(jì)算平臺(tái)資源的公司，Cloud Identity 可為其額外提供跨現(xiàn)場(chǎng)及云基礎(chǔ)設(shè)施的混合環(huán)境用戶及組管理訪問控制。
• Cloud Identity 為安卓和iOS設(shè)計(jì)了健壯的移動(dòng)設(shè)備管理，像是用戶賬戶清除和強(qiáng)制密碼之類功能都是自動(dòng)啟用的。管理員可在集成控制臺(tái)上實(shí)現(xiàn)屏幕鎖定、設(shè)備查找、兩步驗(yàn)證和防網(wǎng)絡(luò)釣魚安全密鑰，還可管理Chrome瀏覽器使用，獲得可疑登錄等行為的安全報(bào)告和分析，用戶活動(dòng)報(bào)告與審計(jì)，以及登錄第三方App、站點(diǎn)及擴(kuò)展。

6. 生物特征識(shí)別讓安全變得簡(jiǎn)單易行

眼下智能手機(jī)和其他移動(dòng)設(shè)備基本都默認(rèn)內(nèi)置了多種生物特征識(shí)別身份驗(yàn)證方法。加上新的WebAuthn標(biāo)準(zhǔn)，在線生物特征安全便作為強(qiáng)在線身份驗(yàn)證的低摩擦方法而更加實(shí)用了。WebAuthn標(biāo)準(zhǔn)于4月10日由FIDO聯(lián)盟和W3C聯(lián)合發(fā)布，是個(gè)相當(dāng)夢(mèng)幻的標(biāo)準(zhǔn)，能使在線服務(wù)提供商通過Web瀏覽器提供FIDO身份驗(yàn)證。谷歌、Mozilla、微軟和Opera都加入了。

基于FIDO的生物特征識(shí)別身份驗(yàn)證能強(qiáng)化Web訪問安全，因?yàn)樗鼮槊總€(gè)站點(diǎn)都采用唯一的加密憑證，消除了某一站點(diǎn)的被盜口令可在其他站點(diǎn)使用的風(fēng)險(xiǎn)。

生物特征識(shí)別設(shè)備的大量涌現(xiàn)也給了集成商興起的機(jī)會(huì)。Veridium是ForgeRock和 Ping Identity 之類主流IAM公司的合作商，創(chuàng)建了一個(gè)橫向的生物特征識(shí)別平臺(tái)，可供這些IAM公司的客戶將任意生物特征識(shí)別身份驗(yàn)證方法插入其中，無論是指紋、人臉識(shí)別還是Veridium自己的四指非觸控行為生物特征識(shí)別。

堅(jiān)持只用一種生物特征進(jìn)行身份驗(yàn)證是愚蠢的，身份管理理應(yīng)簡(jiǎn)單易行。

然而，Veridium最近的一次調(diào)查中，34%的受訪者依然堅(jiān)信只用口令就足以保護(hù)數(shù)據(jù)。

或許直到我們的孫輩，口令都還健在。

7. 提權(quán)攻擊推動(dòng)特權(quán)訪問管理(PAM)

提權(quán)攻擊已成針對(duì)性攻擊的必備要素，甚至不那么針對(duì)性的攻擊也常使用提權(quán)方法。解決這一問題的方法之一，是嚴(yán)密控制特權(quán)內(nèi)部人的訪問及活動(dòng)，畢竟，一旦有了憑證，攻擊者基本上就是個(gè)內(nèi)部人了。

PAM是專為管理特權(quán)用戶的訪問憑證而設(shè)的。與CyberArk之類PAM解決方案一起進(jìn)入市場(chǎng)的，還有像OnionID和Remediant這樣的新興云原生PAM解決方案。

CyberArk還試圖限制被泄管理員憑證問題的蔓延。該公司去年以4200萬美元并購(gòu)了Conjur，只為幫助開發(fā)人員在沒有硬編碼憑證和SSH密鑰的情況下快速推進(jìn)應(yīng)用程序。

8. 非結(jié)構(gòu)化數(shù)據(jù)問題導(dǎo)致IAM與數(shù)據(jù)治理和UEBA重疊

Varonis最近的研究發(fā)現(xiàn)，1/3的內(nèi)部用戶都是“幽靈用戶”——有效卻不活躍，30%的公司至少有1000個(gè)敏感文件夾對(duì)所有員工開放。

IAM行業(yè)很大程度上關(guān)注的是對(duì)應(yīng)用的訪問，但文件系統(tǒng)暴露面如此之大，加上Gartner預(yù)測(cè)到2022年將有80%的數(shù)據(jù)都是非結(jié)構(gòu)化的，重點(diǎn)放在應(yīng)用訪問上肯定不是什么足夠好的做法。作為身份治理公司，SailPoint旨在解決這一問題，也就與Varonis之類數(shù)據(jù)安全/治理公司和Forcepoint這種“以人為中心”的實(shí)體行為分析提供商產(chǎn)生了重合。

你想要一張統(tǒng)一的視圖、一個(gè)記錄系統(tǒng)、一張神奇的電子表格，但用戶哪兒哪兒都有ID，用戶的權(quán)限、權(quán)利，他希望的狀態(tài)和實(shí)際的狀態(tài)都需要同步起來。

9. 風(fēng)險(xiǎn)自適應(yīng)的身份與行為生物特征識(shí)別持續(xù)驗(yàn)證

越來越多的公司使用行為生物特征識(shí)別來解決合法登錄后發(fā)生的攻擊問題。BioCatch之類的公司應(yīng)用該技術(shù)防止會(huì)話劫持，對(duì)抗在線欺詐。其他公司用行為生物特征來檢測(cè)內(nèi)部用戶的異常行為，阻抗攻擊者在內(nèi)部網(wǎng)絡(luò)上的橫向移動(dòng)。

二級(jí)感染的證據(jù)顯示，事件響應(yīng)這么多年來都只是個(gè)擺設(shè)，沒什么用處。動(dòng)態(tài)自適應(yīng)的身份驗(yàn)證才是解決問題的答案。用戶設(shè)備和網(wǎng)絡(luò)必須要求一些不太尋常的響應(yīng)來從生物學(xué)上識(shí)別出用戶身份，比如拍張挖鼻孔的自拍……

自適應(yīng)身份安全產(chǎn)品的例子可以參考 ID Data Web，該產(chǎn)品使用多個(gè)源驗(yàn)證給定身份的準(zhǔn)確性，然后提供持續(xù)的身份驗(yàn)證——在檢測(cè)到風(fēng)險(xiǎn)的時(shí)候彈出驗(yàn)證挑戰(zhàn)并要求用戶響應(yīng)。

BioCatch建立的用戶資料中包含用戶生物特征行為的數(shù)據(jù)，但并非用戶身份。BioCatch能檢測(cè)出異常行為，然后在欺詐轉(zhuǎn)賬發(fā)生前叫停僵尸主機(jī)或攻擊者。

這些風(fēng)險(xiǎn)自適應(yīng)的“步進(jìn)式”身份驗(yàn)證工具也被吹捧為減少摩擦的方法——只要沒檢測(cè)到風(fēng)險(xiǎn)，用戶就根本不用經(jīng)過登錄過程。

“零登錄”的目標(biāo)，就是用行為生物特征識(shí)別自動(dòng)拾取用戶的獨(dú)特行為特征并進(jìn)行身份驗(yàn)證，讓用戶僅憑自己抓握手機(jī)的獨(dú)特方式而無需掃描面部或按壓手指即可自動(dòng)通過驗(yàn)證。

10. IoT擴(kuò)展機(jī)器身份邊界

身份管理遇上IoT可能會(huì)遭遇滑鐵盧。

物聯(lián)網(wǎng)極大地?cái)U(kuò)張了需管理的機(jī)器身份數(shù)量，并讓普通消費(fèi)者也有了設(shè)置、管理和保護(hù)這些機(jī)器身份并監(jiān)管機(jī)器間相互通信方式的責(zé)任。隨著越來越多的設(shè)備接入互聯(lián)網(wǎng)，以用戶智能手機(jī)為中心向周邊輻射，一部手機(jī)解鎖所有設(shè)備的方式最終將再也無法擴(kuò)展。

身份管理公司在大步邁進(jìn)，但他們正在解決的是昨天的問題，至今尚未解決完畢。

計(jì)算機(jī)、機(jī)器人和IoT設(shè)備都需要訪問計(jì)算和數(shù)據(jù)資源，都必須歸入身份治理的范圍內(nèi)。

11. 依托區(qū)塊鏈的數(shù)字身份

區(qū)塊鏈這種分布式賬本平臺(tái)被廣泛用于提供數(shù)字身份。商業(yè)方面，基于IBM區(qū)塊鏈的SecureKey是加拿大第一家專為受監(jiān)管行業(yè)而設(shè)的數(shù)字身份網(wǎng)絡(luò)。Shocard則是一家基于區(qū)塊鏈的企業(yè)級(jí)IAM和單點(diǎn)登錄(SSO)解決方案。

Evernym沒有建立在區(qū)塊鏈基礎(chǔ)上，而是建立在開源分布式賬本平臺(tái)Sovrin上的信用社數(shù)字身份平臺(tái)。

埃森哲和微軟聯(lián)手為聯(lián)合國(guó)創(chuàng)建了基于區(qū)塊鏈的身份基礎(chǔ)設(shè)施，幫助聯(lián)合國(guó)為全世界100多萬名沒有官方身份證件的人提供合法身份證明，比如難民。

RSA大會(huì)上，美國(guó)國(guó)土安全部科學(xué)與技術(shù)部展示了Verified.Me——用區(qū)塊鏈將登錄功能與屬性交付分開的身份管理工具。

12. 身份管理職業(yè)發(fā)展之路

2017年6月，IDPro成立，這個(gè)由Kantara項(xiàng)目孵化的非營(yíng)利性專業(yè)會(huì)員組織專屬于身份和訪問管理人員。

該組織旨在構(gòu)建IAM知識(shí)體系，支持從業(yè)者，確保身份及訪問管理被大眾認(rèn)為是隱私及信息安全的重要且充滿活力的伙伴，并希望能夠發(fā)展出一套認(rèn)證機(jī)制。