零信任時(shí)代數(shù)字身份管理面臨何種挑戰(zhàn)?優(yōu)秀的數(shù)字身份管理有哪些特征?安全主管如何推行全面數(shù)字身份管理方案?

隨著傳統(tǒng)數(shù)字壁壘的消失和消費(fèi)者期待的上升，企業(yè)一時(shí)難以找到有效的數(shù)字身份管理解決方案。成功的訣竅在于：同等對(duì)待企業(yè)與消費(fèi)者身份、探索托管服務(wù)和集成新技術(shù)非常重要。

從蠟封和郵票到護(hù)照和指紋，再到生物特征識(shí)別和行為分析，人類一直在找尋可靠的方法，來(lái)驗(yàn)證對(duì)方真實(shí)身份和是否可信。在當(dāng)今對(duì)數(shù)據(jù)泄露、欺詐和隱私越來(lái)越關(guān)注的時(shí)代，信任至為重要。而在我們的數(shù)字社會(huì)里，信任是通過(guò)數(shù)字身份確定的。所謂數(shù)字身份，即通過(guò)獨(dú)特的性質(zhì)和使用模式識(shí)別個(gè)人、物體或組織的一系列數(shù)據(jù)。

對(duì)公司的成功而言，有效數(shù)字身份實(shí)踐比以往來(lái)得更為重要。數(shù)字身份實(shí)踐是取信客戶的第一步，是保護(hù)敏感數(shù)據(jù)、驅(qū)動(dòng)安全交易和改進(jìn)業(yè)務(wù)流程的關(guān)鍵，能夠推動(dòng)通過(guò)社交媒體與消費(fèi)者互動(dòng)的新方式，提升企業(yè)內(nèi)部協(xié)作，自動(dòng)化并簡(jiǎn)化網(wǎng)絡(luò)安全操作。

然而，公司面臨的企業(yè)與消費(fèi)者身份管理挑戰(zhàn)越來(lái)越多。原因之一就是傳統(tǒng)數(shù)字壁壘的坍塌，公司內(nèi)部與外部的界限就此模糊。這種轉(zhuǎn)變加之用戶期待改變、新興技術(shù)涌現(xiàn)、云服務(wù)轉(zhuǎn)型、業(yè)務(wù)需求增長(zhǎng)和隱私監(jiān)管發(fā)展，引發(fā)了數(shù)字身份危機(jī)。

數(shù)字壁壘坍塌、用戶期待改變和新興技術(shù)涌現(xiàn)，引發(fā)了數(shù)字身份危機(jī)。

企業(yè)應(yīng)重新審視并快速改進(jìn)其數(shù)字身份策略——對(duì)內(nèi)為企業(yè)，對(duì)外為消費(fèi)者。只有全面審視數(shù)字身份管理，并以同樣的理念處理企業(yè)和消費(fèi)者身份，企業(yè)才能獲得想要的結(jié)果。本文即為您呈現(xiàn)有助提升公司數(shù)字身份實(shí)踐的統(tǒng)一策略。

一、數(shù)字身份管理：挑戰(zhàn)

有很多新興趨勢(shì)和挑戰(zhàn)正在塑造企業(yè)和消費(fèi)者數(shù)字身份的發(fā)展與管理。以下幾個(gè)趨勢(shì)與挑戰(zhàn)最為重要：

1. 數(shù)字身份管理可能會(huì)被更緊急的問(wèn)題所蓋過(guò)

企業(yè)并非認(rèn)為數(shù)字身份管理不重要，他們可能是在處理其他更緊迫的網(wǎng)絡(luò)安全問(wèn)題。或者，他們可能需要展現(xiàn)出網(wǎng)絡(luò)安全項(xiàng)目的即時(shí)進(jìn)展和投資回報(bào)。但是，實(shí)現(xiàn)數(shù)字身份項(xiàng)目需要耐心，這更像是一場(chǎng)馬拉松而非百米沖刺。該挑戰(zhàn)以企業(yè)花在數(shù)字身份項(xiàng)目上的時(shí)間與金錢(qián)的方式呈現(xiàn)。德勤對(duì)負(fù)責(zé)網(wǎng)絡(luò)安全的 500 名首席級(jí)高管做了問(wèn)卷調(diào)查，發(fā)布了《2019 網(wǎng)絡(luò)未來(lái)調(diào)查》。調(diào)查中，超過(guò)半數(shù) (54%) 的受訪者稱花在身份解決方案上的網(wǎng)絡(luò)預(yù)算不高于 10%，95% 的受訪者表示不高于 20%。另外，88% 的受訪者花在身份與訪問(wèn)管理上的時(shí)間不多于 10%。

2. 在外包身份管理的問(wèn)題上，企業(yè)態(tài)度不一

大多數(shù)網(wǎng)絡(luò)安全主管對(duì)自己的系統(tǒng)持保守態(tài)度，不愿意讓其他人來(lái)管理。德勤《2019 網(wǎng)絡(luò)未來(lái)調(diào)查》顯示，獲得、實(shí)現(xiàn)和持續(xù)交付身份功能的最主要方式，是內(nèi)部實(shí)施，36% 的受訪者都選擇了這個(gè)選項(xiàng)。這一現(xiàn)象在首席信息安全官 (CISO) 身上體現(xiàn)得尤為真實(shí)，60% 的受訪 CISO 都傾向于內(nèi)部解決方案。僅有 24% 的受訪者選擇了基于云的身份即服務(wù) (IDaaS) 實(shí)現(xiàn)，32% 外包身份與訪問(wèn)管理給第三方。

為什么不愿意呢?一位來(lái)自主流電信公司的 CISO 解釋稱：

這種對(duì)集成、靈活性和獲得專業(yè)支持的擔(dān)心，以及對(duì)可用功能的信心缺失，都是可以理解的，可能會(huì)拖住企業(yè)轉(zhuǎn)向 IDaaS 的腳步。

愈趨嚴(yán)格的全球數(shù)據(jù)隱私監(jiān)管帶來(lái)了合規(guī)挑戰(zhàn)。世界各國(guó)政府都在探索和實(shí)現(xiàn)新的立法與監(jiān)管規(guī)定，想要保護(hù)個(gè)人數(shù)據(jù)隱私和數(shù)字身份。企業(yè)高管和網(wǎng)絡(luò)安全主管必須應(yīng)付各種強(qiáng)制規(guī)定，比如歐盟的《通用數(shù)據(jù)保護(hù)條例》(GDPR)、美國(guó)《加州消費(fèi)者隱私法案》(CCPA) 和加拿大更新的《個(gè)人信息保護(hù)與電子文件法案》(PIPEDA)。其他需要遵守的指南還包括來(lái)自美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所 (NIST) 的《網(wǎng)絡(luò)安全框架》。因?yàn)橐獙?duì)自身消費(fèi)者更加全面了解，才能遵從法律與審計(jì)相關(guān)規(guī)定，網(wǎng)絡(luò)安全主管與公司高管身上的負(fù)擔(dān)更加重了。

二、向托管服務(wù)和人工智能的平穩(wěn)遷移

盡管面臨諸多挑戰(zhàn)，數(shù)字身份管理方法仍舊開(kāi)始快速改變。企業(yè)的環(huán)境越來(lái)越以云為中心，轉(zhuǎn)向托管服務(wù)與基于消費(fèi)的模式也是大勢(shì)所趨。德勤 2018 年的調(diào)查，《一切即服務(wù)加速敏捷性》，發(fā)現(xiàn)了這一轉(zhuǎn)變的證據(jù)。71% 的企業(yè)報(bào)告稱，X 即服務(wù) (XaaS) 如今占據(jù)了自家企業(yè) IT 的半壁江山(其他的是不基于服務(wù)的傳統(tǒng) IT)。

有些公司將自己的身份技術(shù)棧挪到了云端，其他公司則引入身份即服務(wù)。

作為這種轉(zhuǎn)變的一部分，有些公司將自己的身份技術(shù)棧挪到了云端，其他公司則引入身份即服務(wù)。Gartner 表示，到 2022 年，全球 40% 的中型和大型企業(yè)將使用身份與訪問(wèn)管理即服務(wù) (IDaaS) 功能，滿足自身絕大多數(shù)身份與訪問(wèn)管理 (IAM) 需求，而當(dāng)下這么做的企業(yè)僅占 5%。原因之一就是云供應(yīng)商和第三方云運(yùn)營(yíng)商擁有的功能可能比公司內(nèi)部的高級(jí)得多，令公司不需要再對(duì)軟件和基礎(chǔ)設(shè)施做更新與升級(jí)。而且，很多公司面臨網(wǎng)絡(luò)安全技術(shù)人才短缺的情況，采用托管服務(wù)有助于免除吸引、培訓(xùn)和留住這些人才的需求。

很多企業(yè)還在實(shí)驗(yàn)和集成許多新技術(shù)，用以改善自身數(shù)字身份能力。他們摒棄簡(jiǎn)單的登錄和密碼，不斷引入高級(jí)身份驗(yàn)證方法，比如將實(shí)體生物特征識(shí)別和行為監(jiān)視用作數(shù)字身份管理標(biāo)準(zhǔn)操作。在當(dāng)今 “零信任” 環(huán)境中，企業(yè)持續(xù)監(jiān)視和驗(yàn)證用戶身份——基于用戶的角色、所訪問(wèn)的資產(chǎn)和訪問(wèn)時(shí)間與地點(diǎn)，不斷確定他們的風(fēng)險(xiǎn)級(jí)別。為方便做到這一點(diǎn)，企業(yè)逐漸轉(zhuǎn)向人工智能 (AI) 技術(shù)，以此自動(dòng)化檢測(cè)異常和識(shí)別不符合特定模式的行為。德勤《2019 網(wǎng)絡(luò)未來(lái)調(diào)查》顯示，20% 的受訪者將 AI 驅(qū)動(dòng)的威脅識(shí)別與評(píng)估作為數(shù)字身份管理的革命性功能。

當(dāng)今 “零信任” 環(huán)境中，公司需持續(xù)監(jiān)視和驗(yàn)證用戶身份，確定他們的風(fēng)險(xiǎn)級(jí)別。

不過(guò)，對(duì)于 AI 在身份管理中的使用和成熟度，受訪者觀點(diǎn)不一。美國(guó)網(wǎng)絡(luò)安全與風(fēng)險(xiǎn)咨詢公司 National Cybersecurity Society 的首席執(zhí)行官 Alex Beigelman 表示的對(duì) AI 表示樂(lè)觀。

AI 或機(jī)器學(xué)習(xí)將成為與風(fēng)險(xiǎn)評(píng)估相關(guān)的功能，不僅僅識(shí)別用戶，還識(shí)別設(shè)備與設(shè)備健康，評(píng)估是否被黑。必須不止 ID 和身份驗(yàn)證。而從更講求實(shí)際的方面出發(fā)，真正的東西還處在早期發(fā)展階段。雖然在用，但僅以有限的方式，且只有少數(shù)具備足夠資源的公司才能嘗試和承擔(dān)一些風(fēng)險(xiǎn)。

三、硬幣的兩面：消費(fèi)者與企業(yè)身份管理

重新審視自身數(shù)字身份管理策略時(shí)，企業(yè)應(yīng)思考消費(fèi)者和企業(yè)身份管理兩方面的挑戰(zhàn)，了解自己可以在創(chuàng)建周全方法上做些什么。這兩方面的業(yè)務(wù)需求、技術(shù)方法和面臨的難點(diǎn)都不一樣，但有些明智的基本操作是雙方都適用的。我們不妨先看看各自的獨(dú)特挑戰(zhàn)：

1. 消費(fèi)者預(yù)期更高

隨著消費(fèi)者與企業(yè)之間數(shù)字互動(dòng)深度與復(fù)雜性的增加，投向消費(fèi)者身份管理的關(guān)注度也相應(yīng)增加。企業(yè)想要確保登錄的人是所聲稱的身份，且能夠擁有良好的使用體驗(yàn)。個(gè)中原因很多，包括：

• 消費(fèi)者期待更高;他們想只登錄一次，就能快速在自己需要的時(shí)候獲得自己所需的東西。
• 消費(fèi)者聯(lián)網(wǎng)程度更甚從前，想要跨多個(gè)渠道獲得一致的體驗(yàn)——客服中心、移動(dòng)端、Web、聊天機(jī)器人和虛擬助手等。
• 消費(fèi)者越來(lái)越了解與關(guān)注隱私問(wèn)題，不愿意共享太多個(gè)人信息;他們想要個(gè)性化、便捷、靈活的互動(dòng)體驗(yàn)。
• 消費(fèi)者期待享有一定程度的可見(jiàn)安全。比如說(shuō)，進(jìn)行網(wǎng)上銀行交易時(shí)，多因子身份驗(yàn)證 (MFA) 就讓他們覺(jué)得安全。

想要周全的解決方案，企業(yè)必須考慮消費(fèi)者和企業(yè)身份管理兩方面的挑戰(zhàn)。

在企業(yè)內(nèi)部，圍繞消費(fèi)者身份管理的復(fù)雜性也增加了。職責(zé)和所有權(quán)常分散在多名高管、團(tuán)隊(duì)(市場(chǎng)營(yíng)銷、銷售、網(wǎng)絡(luò)安全等等)和 IT 系統(tǒng)之間，令大型項(xiàng)目協(xié)調(diào)變得十分困難。德勤《2019網(wǎng)絡(luò)未來(lái)調(diào)查》顯示，企業(yè)的目光投向面向客戶和面向供應(yīng)商的多個(gè)不同身份管理計(jì)劃中。關(guān)注度最高的領(lǐng)域是消費(fèi)者身份與訪問(wèn)管理 (28%)、包含 MFA 的高級(jí)身份驗(yàn)證 (27%) 和 GDPR 實(shí)現(xiàn)/隱私合規(guī) (25%)。

2. 企業(yè)需處理更多東西

隨著業(yè)務(wù)步伐加快和轉(zhuǎn)型措施需求的倍增，公司不應(yīng)忽視企業(yè)身份管理。企業(yè)面臨的身份相關(guān)最大問(wèn)題，是權(quán)限濫用與憑證被盜。惡意黑客和網(wǎng)絡(luò)罪犯可以由此入侵網(wǎng)絡(luò)。Centrify 最近委托的一份調(diào)查囊括了美國(guó)和英國(guó)的 1,000 名 IT 決策者。調(diào)查顯示，公司曾被入侵過(guò)的受訪者中，74% 承認(rèn)涉及特權(quán)賬戶訪問(wèn)。

除了外部威脅，企業(yè)還面臨許多內(nèi)部的企業(yè)身份管理問(wèn)題，包括：

• 明顯的網(wǎng)絡(luò)安全人才短缺仍在繼續(xù)，且數(shù)字身份通常不能獲得太多關(guān)注與預(yù)算支出，所以，必要的資源可能非常稀缺。
• 網(wǎng)絡(luò)安全團(tuán)隊(duì)需應(yīng)對(duì)老舊 IT 環(huán)境和對(duì)遷移至云優(yōu)先架構(gòu)的抗拒情緒。很多公司都沒(méi)構(gòu)建基于 API 的協(xié)同現(xiàn)代系統(tǒng)，無(wú)法與應(yīng)用便捷集成。
• 對(duì)網(wǎng)絡(luò)安全應(yīng)能輔助數(shù)字轉(zhuǎn)型和創(chuàng)新的期待也在上升。

正如德勤《2019 網(wǎng)絡(luò)未來(lái)調(diào)查》中揭示的，頂級(jí)企業(yè)身份網(wǎng)絡(luò)安全項(xiàng)目是高級(jí)身份驗(yàn)證和特權(quán)訪問(wèn)管理 (PAM)——二者各自為 19% 的受訪者所選擇。

為完全解決這些問(wèn)題，企業(yè)應(yīng)選用融合了企業(yè)和消費(fèi)用戶共有特性的數(shù)字身份管理系統(tǒng)。

四、五大要訣推進(jìn)全面數(shù)字身份管理解決方案

考慮到企業(yè)和消費(fèi)者身份的深度關(guān)聯(lián)，公司應(yīng)以同樣協(xié)調(diào)的方法對(duì)待二者，解鎖對(duì)企業(yè)和對(duì)消費(fèi)者的種種好處。這不再是二選一的問(wèn)題——強(qiáng)大全面的數(shù)字身份管理方法有助于驅(qū)動(dòng)業(yè)務(wù)發(fā)展，減輕網(wǎng)絡(luò)安全團(tuán)隊(duì)的負(fù)擔(dān)，并為消費(fèi)者和公司員工提供優(yōu)越的體驗(yàn)。

身處無(wú)處不網(wǎng)絡(luò)的時(shí)代，身份管理的運(yùn)營(yíng)環(huán)境將變得越來(lái)越復(fù)雜，需滿足更高的業(yè)務(wù)期待，集成新技術(shù)，遵從多個(gè)數(shù)據(jù)隱私管理規(guī)定，還需管理不斷增加的人和設(shè)備。為把握復(fù)雜環(huán)境中的正確方向，網(wǎng)絡(luò)安全主管可以做好下列五件事，以便將數(shù)字身份管理策略、過(guò)程和系統(tǒng)更好地集成進(jìn)業(yè)務(wù)中：

1. 追求全面的身份管理方法

公平對(duì)待每個(gè)人每件事——無(wú)論是消費(fèi)者還是員工，是一個(gè)人、一臺(tái)設(shè)備，還是一個(gè)應(yīng)用程序。身份生態(tài)系統(tǒng)中但凡漏掉了哪個(gè)元素，都會(huì)影響到公司創(chuàng)新和運(yùn)營(yíng)的速度。找尋企業(yè)和消費(fèi)者身份管理系統(tǒng)相得益彰的機(jī)會(huì)，找到使用傳統(tǒng)功能的新方式。

2. 幫助整合、協(xié)同和貼合職責(zé)

身份、數(shù)據(jù)隱私和監(jiān)管合規(guī)愈加重合。這意味著技術(shù)、網(wǎng)絡(luò)安全、法務(wù)和業(yè)務(wù)主管都是有效身份管理的利益相關(guān)者，都有各自事關(guān)用戶體驗(yàn)、系統(tǒng)可用性、彈性、風(fēng)險(xiǎn)管理和消費(fèi)者參與度的困難和愿景。負(fù)責(zé)身份管理的人處在知會(huì)和影響商討與決策的特殊位置上，能夠確保公司更快適應(yīng)。

3. 倡導(dǎo)結(jié)果導(dǎo)向的方法

為推動(dòng)創(chuàng)新工作和數(shù)字轉(zhuǎn)型，不妨將身份作為整個(gè)公司的一項(xiàng)服務(wù)。識(shí)別身份管理能有所幫助的業(yè)務(wù)成果，比如提高消費(fèi)者保留度或提升 HR 過(guò)程效率。為克服資源限制，支持專注這些更大成果的大型革新性項(xiàng)目。

4. 嘗試托管服務(wù)

考慮到資源和人才稀缺與網(wǎng)絡(luò)安全問(wèn)題，找人幫忙解決業(yè)務(wù)需求。如果公司無(wú)法投入所需的資源到身份管理中，嘗試三方托管服務(wù)，無(wú)論是現(xiàn)場(chǎng)還是云端實(shí)現(xiàn)的。他們可以提供最新的技術(shù)和功能，增加自動(dòng)化和面向未來(lái)的身份系統(tǒng)。這種轉(zhuǎn)變或許不適合所有人，可能還會(huì)有對(duì)放棄一些控制的抵觸情緒，但不要漠視這一選項(xiàng)。要解決顧慮，可以考慮采取階段化的方式。

5. 準(zhǔn)備運(yùn)用 AI

機(jī)器學(xué)習(xí)等 AI 技術(shù)正融入多種身份管理解決方案——從自動(dòng)化賬戶監(jiān)管到欺詐檢測(cè)。探索采納 AI 技術(shù)對(duì)公司數(shù)字身份功能有何意義。您想要什么結(jié)果——是自動(dòng)化或優(yōu)化現(xiàn)有過(guò)程，還是創(chuàng)建全新的身份驗(yàn)證和風(fēng)險(xiǎn)評(píng)估功能?這將會(huì)對(duì)您網(wǎng)絡(luò)安全團(tuán)隊(duì)的工作方式產(chǎn)生怎樣的影響?需要哪種類型的培訓(xùn)?

考慮到上述操作的全方位數(shù)字身份策略，能夠?yàn)橄M(fèi)者、員工、安全團(tuán)隊(duì)和業(yè)務(wù)主管解鎖重大利益。更重要的是，統(tǒng)一的方法有助于建立信任，確保隱私和安全，從而防止數(shù)字身份危機(jī)。數(shù)字身份系統(tǒng)曾經(jīng)需要在安全和便利上做選擇，但現(xiàn)在您可同時(shí)擁有二者。仔細(xì)斟酌您的系統(tǒng)設(shè)計(jì)方法，以便保護(hù)資產(chǎn)和防止為員工和消費(fèi)者帶來(lái)太大負(fù)擔(dān)。著手?jǐn)?shù)字身份轉(zhuǎn)型的時(shí)候，不妨看看以上建議。

五、科技、傳媒和電信公司的身份管理

每家公司都面臨不同的數(shù)字身份挑戰(zhàn)，擁有獨(dú)特的身份管理方法。比如說(shuō)，科技公司的數(shù)字身份策略和系統(tǒng)就非常靈活，可以適應(yīng)快速變化的市場(chǎng)。媒體和娛樂(lè)公司常面對(duì)大量瞬時(shí)客戶。電信公司的系統(tǒng)非常老舊，難以更新或替換，且不能方便地與現(xiàn)代身份管理解決方案集成。但有一些共同的因素，是這些公司在強(qiáng)化自身數(shù)字身份管理功能的時(shí)候應(yīng)該銘記在心的。此處列舉其中一些共同因素：

• 與其他行業(yè)相比，這些行業(yè)一直以來(lái)受到的監(jiān)管相對(duì)較少。這意味著，在數(shù)字身份問(wèn)題上，他們未必需要做其他公司必須做的一些事情。如果做了，那是因?yàn)檫@些都是為客戶和員工好的正確的事，有助于維持信任和安全。監(jiān)管壓力的缺乏可能會(huì)拖慢數(shù)字身份轉(zhuǎn)型。隨著 GDPR 和 CCPA 等新規(guī)定的出現(xiàn)，這一情況開(kāi)始改變，數(shù)字身份經(jīng)驗(yàn)較少的行業(yè)也需要改變它們的方法了。
• 這些行業(yè)擁有高水平的技術(shù)專業(yè)知識(shí)和經(jīng)驗(yàn)。很多科技、傳媒和電信公司都雇有高級(jí)工程師和技術(shù)人員，可能覺(jué)得自己能夠應(yīng)付遭遇到的任何數(shù)字身份問(wèn)題;能夠從零構(gòu)建自身所需，然后推進(jìn)到下一個(gè)問(wèn)題。然而，恰當(dāng)?shù)臄?shù)字身份方法綜合了很多復(fù)雜系統(tǒng)，需要專業(yè)技術(shù)和持續(xù)的警醒。公司應(yīng)專注自身核心目標(biāo)所需高端技術(shù)人才，利用現(xiàn)成的成熟身份解決方案。
• 一旦出錯(cuò)，這些行業(yè)面臨的潛在后果更為嚴(yán)重。這些公司創(chuàng)建的很多產(chǎn)品和服務(wù)是其他行業(yè)的底層支撐。此類公司一旦因管理不善的憑證而發(fā)生數(shù)據(jù)泄露，公眾和市場(chǎng)反應(yīng)相對(duì)于零售商或工業(yè)公司發(fā)生同類事件要大得多。這就令全面的數(shù)字身份策略和方法變得更為重要了。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文