報(bào)告發(fā)現(xiàn)，在接受調(diào)查的1750名IT安全決策者中，近五分之四(79%)認(rèn)為，相對(duì)其他IT和數(shù)字計(jì)劃，安全性正在退居次要地位。這些舉措，尤其是那些優(yōu)先考慮遠(yuǎn)程或混合工作、為客戶和公民提供新數(shù)字服務(wù)以及遠(yuǎn)程供應(yīng)商和供應(yīng)商外包的增加的舉措，在每個(gè)組織中創(chuàng)造了數(shù)十萬(wàn)個(gè)新的數(shù)字身份，這可能會(huì)增加他們面臨網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)。

“我們?cè)诖蠖鄶?shù)攻擊中看到的共性 - 無(wú)論是數(shù)據(jù)泄露，還是服務(wù)被關(guān)閉 - 都是身份妥協(xié)，”CyberArk技術(shù)總監(jiān)David Higgins說(shuō)?！斑@是攻擊者的共同目標(biāo)之一。如果他們可以破壞身份對(duì)資源進(jìn)行身份驗(yàn)證的方式，那么橫向移動(dòng)就是這樣發(fā)生的。我們擁有的身份越多，我們擁有的攻擊面就越大。

新的企業(yè)計(jì)劃增加了計(jì)算機(jī)標(biāo)識(shí)的數(shù)量

該報(bào)告指出，組織中的數(shù)字身份數(shù)量非常高，并且隨著高優(yōu)先級(jí)舉措的推出，這一數(shù)字身份將繼續(xù)增長(zhǎng)。“一個(gè)人類(lèi)用戶平均有30個(gè)獨(dú)立的身份-這可能是一個(gè)較低的數(shù)字，”希金斯說(shuō)。“如果那個(gè)人離開(kāi)了，并且沒(méi)有一個(gè)好的生命周期管理計(jì)劃，你可能有30個(gè)孤兒帳戶。

對(duì)于機(jī)器身份來(lái)說(shuō)，情況更糟，根據(jù)該報(bào)告，機(jī)器身份的數(shù)量比人類(lèi)身份多出45比1?！皺C(jī)器身份的數(shù)量反映了當(dāng)今組織的運(yùn)作方式，”希金斯解釋說(shuō)。“自動(dòng)化是一個(gè)關(guān)鍵焦點(diǎn)，每次自動(dòng)化進(jìn)入混合時(shí)，都需要更多的機(jī)器身份。

Higgins說(shuō)，機(jī)器身份可能會(huì)給組織帶來(lái)比人類(lèi)身份更大的風(fēng)險(xiǎn)，因?yàn)樗鼈兛赡芨y監(jiān)控?！皩?duì)人類(lèi)用戶采用的傳統(tǒng)行為分析無(wú)法應(yīng)用于機(jī)器，因此你擁有的機(jī)器身份越多，問(wèn)題就越困難。

70%的組織在過(guò)去一年中經(jīng)歷過(guò)勒索軟件攻擊

除了正在創(chuàng)建的身份數(shù)量問(wèn)題之外，還有可以訪問(wèn)敏感信息的身份證件數(shù)量。根據(jù)CyberArk的數(shù)據(jù)，組織中超過(guò)一半的員工(52%)通?？梢栽L問(wèn)敏感信息，而超過(guò)三分之二的非人類(lèi)(68%)可以訪問(wèn)敏感數(shù)據(jù)和資產(chǎn)?！巴獠炕騼?nèi)部威脅參與者只需要一個(gè)受損的身份就可以啟動(dòng)攻擊鏈，”報(bào)告指出?！皵?shù)字計(jì)劃的加速以及由此帶來(lái)的數(shù)字身份激增，構(gòu)成了不斷擴(kuò)大的攻擊面。

該報(bào)告還發(fā)現(xiàn)，70%的組織在過(guò)去12個(gè)月內(nèi)經(jīng)歷過(guò)勒索軟件攻擊 - 平均每個(gè)兩次 - 71%的組織遭受了成功的供應(yīng)鏈相關(guān)攻擊。

報(bào)告指出，不斷擴(kuò)大的攻擊面，迅速擴(kuò)散的身份以及滯后的網(wǎng)絡(luò)安全投資共同使組織面臨更高水平的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。攻擊者了解這一點(diǎn)，并一直遵循創(chuàng)新和投資的并行路徑來(lái)利用漏洞。

下一個(gè)合乎邏輯的步驟是實(shí)施零信任原則，將這種防御性思維付諸實(shí)踐。