身份和訪問管理是任何公司網(wǎng)絡(luò)安全戰(zhàn)略的重要組成部分。Simeio公司解決方案和咨詢總監(jiān)James Quick表示，要避免這些常見錯(cuò)誤，否則就會面臨數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

61%的數(shù)據(jù)泄露歸因于證書被盜。根據(jù)威瑞森公司的2022年調(diào)查報(bào)告，82%的已確認(rèn)的數(shù)據(jù)泄露涉及所謂的“人為因素”，包括社交攻擊、錯(cuò)誤和針對個(gè)人的一般濫用，從而造成人為錯(cuò)誤。威脅行為者通常以個(gè)人為目標(biāo)，制造一種令人困惑的場景，即個(gè)人愿意在不知道后果的情況下授予訪問權(quán)限。

但這并不是威脅行為者發(fā)現(xiàn)安全漏洞的唯一方法，這就是為什么企業(yè)必須避免最常見的身份和訪問管理(IAM)錯(cuò)誤。

最常見的IAM錯(cuò)誤:

(1)糟糕的或部分的IAM實(shí)現(xiàn)使您的業(yè)務(wù)容易受到攻擊，并使您的安全團(tuán)隊(duì)成為同謀。

(2)沒有明確的IAM治理會導(dǎo)致缺乏全面的策略和易于理解的策略。

(3)所示。沒有行政領(lǐng)導(dǎo)團(tuán)隊(duì)“支持”或?yàn)閱T工提供明確的指導(dǎo)。

(4)所示。缺少熟練的網(wǎng)絡(luò)安全專家:IAM工程師、架構(gòu)師和管理人員。

(5)多個(gè)不一致的身份授權(quán)來源，這意味著存在多個(gè)具有重復(fù)身份憑證的記錄系統(tǒng)。

(6)關(guān)于數(shù)據(jù)和應(yīng)用程序所有權(quán)或責(zé)任的政治內(nèi)訌。

(7)缺乏組織變革管理流程來解決問題，并領(lǐng)先于黑客的最新策略。

(8)制度上的“分析癱瘓”導(dǎo)致對降低復(fù)雜性的厭惡和對自動化的恐懼，從而導(dǎo)致對有風(fēng)險(xiǎn)的、耗時(shí)的手動過程的依賴。

(9)未清理的數(shù)據(jù)被移除并轉(zhuǎn)移到新的IAM系統(tǒng)中。

(10)不切實(shí)際的IAM推出方法對贊助商和用戶無效。

理解為什么它很重要

解決任何IAM問題的第一步是理解它。IAM是一種信息技術(shù)安全策略框架，它確保正確的用戶(員工、客戶和合作伙伴)能夠適當(dāng)?shù)卦L問他們做好工作所需的資源。它需要管理用戶身份的生命周期和路線圖，管理他們的訪問，并通過身份分析適當(dāng)?shù)乇O(jiān)視他們的身份和憑證的使用。有效的IAM確保有適當(dāng)?shù)目刂苼砜刂朴脩襞c他們需要“特權(quán)”訪問的關(guān)鍵系統(tǒng)交互的能力，這是特權(quán)訪問管理(PAM)的基礎(chǔ)。

例如，許多公司在實(shí)施這些計(jì)劃時(shí)需要更適當(dāng)?shù)闹卫?，這通常源于缺乏在整個(gè)組織內(nèi)溝通的戰(zhàn)略愿景。因此，員工在沒有審查的情況下獲得并保持對系統(tǒng)的訪問權(quán)的時(shí)間過長，并且當(dāng)系統(tǒng)碎片化時(shí)，不容易看到這種情況可能發(fā)生在哪里。

當(dāng)使用多個(gè)不同的網(wǎng)絡(luò)安全系統(tǒng)時(shí)，就會出現(xiàn)信息孤島。然而，這對許多企業(yè)來說是司空見慣的。必須盡快通過統(tǒng)一系統(tǒng)的實(shí)施來解決這個(gè)問題，否則可利用的漏洞將繼續(xù)使您的業(yè)務(wù)容易受到數(shù)據(jù)泄露的影響。隨著監(jiān)管機(jī)構(gòu)表明他們愿意對無效的網(wǎng)絡(luò)安全戰(zhàn)略和缺乏透明度進(jìn)行定罪，如今網(wǎng)絡(luò)安全專家做出改變以保護(hù)員工和客戶數(shù)據(jù)或面臨法律訴訟的風(fēng)險(xiǎn)比以往任何時(shí)候都更重要。

接觸IAM的正確方法

許多公司在推出IAM戰(zhàn)略時(shí)犯的主要錯(cuò)誤是未能獲得公司執(zhí)行領(lǐng)導(dǎo)團(tuán)隊(duì)的支持、可見性和贊助，包括首席執(zhí)行官、首席財(cái)務(wù)官和首席運(yùn)營官。身份安全永遠(yuǎn)不應(yīng)該依靠CISO或CIO來管理和溝通。所有的業(yè)務(wù)領(lǐng)導(dǎo)者必須在IAM方面擁有相同的戰(zhàn)略愿景，并在組織內(nèi)部推動其取得成功。

但要知道你的安全系統(tǒng)是否容易受到攻擊，唯一的方法就是聘請網(wǎng)絡(luò)安全專家并不斷地進(jìn)行測試。如果您不進(jìn)行測試和不斷改進(jìn)，您怎么可能知道您的數(shù)據(jù)是受保護(hù)的呢?威脅行為者每天都在改進(jìn)他們的方法，以發(fā)現(xiàn)安全系統(tǒng)中的新漏洞。你的適應(yīng)速度比他們快嗎?

確保安全團(tuán)隊(duì)有明確的責(zé)任和所有權(quán)制度，并定期與員工溝通更新的方法是至關(guān)重要的。無論員工是否承認(rèn)，他們都站在對抗黑客、惡意軟件和勒索軟件的第一線，因此任何企業(yè)都需要定期發(fā)布通訊或交流關(guān)鍵安全變化的方法。如果更新是復(fù)雜的，適當(dāng)?shù)靥岣邌T工的技能，同時(shí)確保訪問管理過程盡可能簡單和直觀。

要有這樣做的基礎(chǔ)，可以雇傭具有這方面專業(yè)知識的新員工，或者打破常規(guī)，聘用那些基礎(chǔ)扎實(shí)、學(xué)習(xí)能力強(qiáng)的人。擁有精通IAM和機(jī)構(gòu)變更管理流程的網(wǎng)絡(luò)安全專家可以極大地幫助您實(shí)施和管理戰(zhàn)略。不過，這一領(lǐng)域仍存在人才短缺，因此可能有必要引入第三方專家。

此外，機(jī)構(gòu)分析癱瘓和對自動化的恐懼可能導(dǎo)致IAM實(shí)現(xiàn)失敗。手動流程和“這是我們一直做的方式”的心態(tài)對任何網(wǎng)絡(luò)安全計(jì)劃都是危險(xiǎn)的，因?yàn)楦率窍┒床罹嗪痛龠M(jìn)更好的用戶體驗(yàn)所固有的。

聚焦融合

當(dāng)您在多個(gè)身份管理系統(tǒng)中分布和復(fù)制身份時(shí)，冗余會造成混亂，并導(dǎo)致一些用戶訪問敏感信息的時(shí)間遠(yuǎn)遠(yuǎn)超過他們應(yīng)該訪問的時(shí)間。確保您組織的數(shù)據(jù)在被提升和轉(zhuǎn)移到新的IAM系統(tǒng)之前得到了清理。通過直接征求資源、贊助商和用戶的反饋，確認(rèn)您的推出方法對他們有效。

檢查當(dāng)前的冗余工具，這可以幫助您節(jié)省大量資金，同時(shí)降低風(fēng)險(xiǎn)。最近，對于一個(gè)客戶來說，發(fā)現(xiàn)了可以退役的冗余IAM工具(其中一些仍然是貨架軟件)，這使得每年可以節(jié)省20%的許可成本。網(wǎng)絡(luò)安全工具的授權(quán)成本降低20%會為您節(jié)省多少?

如何確定IAM策略是否有效

獲得正確的IAM策略將需要持續(xù)的時(shí)間和精力，即使是在已建立的系統(tǒng)上工作的經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)安全團(tuán)隊(duì)。當(dāng)組織使用來自不同供應(yīng)商的各種解決方案和產(chǎn)品，而沒有身份編排(IO)平臺時(shí)，情況尤其如此，IO平臺將多個(gè)系統(tǒng)聚合到單個(gè)編程視圖中，并允許采用更主動的方法進(jìn)行威脅檢測和解決。

如果你不確定當(dāng)前安全系統(tǒng)的有效性，定期測試它們。全面的IAM評估可以診斷出您在哪些方面做得好，哪些方面需要改進(jìn)，以及您未來需要做些什么來實(shí)現(xiàn)真正的身份安全。一個(gè)成功的IAM計(jì)劃依賴于透明的文化。除非領(lǐng)導(dǎo)已經(jīng)就目標(biāo)達(dá)成一致，在團(tuán)隊(duì)中共享，并且歡迎公開的反饋，否則您無法識別系統(tǒng)中的差距。

很明顯，IAM是一家全球戰(zhàn)略投資企業(yè)，每年都在變得越來越有價(jià)值。BusinessInsights公司最近的一份報(bào)告預(yù)測，IAM全球市場將從2021年的134.1億美元增長到2028年的345.2億美元。不要等到太晚了才修復(fù)IAM策略中的問題。一旦數(shù)據(jù)泄露發(fā)生，要將其全部清除是一項(xiàng)挑戰(zhàn)。