身份和訪問管理是任何公司網(wǎng)絡安全戰(zhàn)略的重要組成部分。Simeio公司解決方案和咨詢總監(jiān)James Quick表示，要避免這些常見錯誤，否則就會面臨數(shù)據(jù)泄露的風險。

61%的數(shù)據(jù)泄露歸因于證書被盜。根據(jù)威瑞森公司的2022年調(diào)查報告，82%的已確認的數(shù)據(jù)泄露涉及所謂的“人為因素”，包括社交攻擊、錯誤和針對個人的一般濫用，從而造成人為錯誤。威脅行為者通常以個人為目標，制造一種令人困惑的場景，即個人愿意在不知道后果的情況下授予訪問權(quán)限。

但這并不是威脅行為者發(fā)現(xiàn)安全漏洞的唯一方法，這就是為什么企業(yè)必須避免最常見的身份和訪問管理(IAM)錯誤。

最常見的IAM錯誤:

(1)糟糕的或部分的IAM實現(xiàn)使您的業(yè)務容易受到攻擊，并使您的安全團隊成為同謀。

(2)沒有明確的IAM治理會導致缺乏全面的策略和易于理解的策略。

(3)所示。沒有行政領導團隊“支持”或為員工提供明確的指導。

(4)所示。缺少熟練的網(wǎng)絡安全專家:IAM工程師、架構(gòu)師和管理人員。

(5)多個不一致的身份授權(quán)來源，這意味著存在多個具有重復身份憑證的記錄系統(tǒng)。

(6)關(guān)于數(shù)據(jù)和應用程序所有權(quán)或責任的政治內(nèi)訌。

(7)缺乏組織變革管理流程來解決問題，并領先于黑客的最新策略。

(8)制度上的“分析癱瘓”導致對降低復雜性的厭惡和對自動化的恐懼，從而導致對有風險的、耗時的手動過程的依賴。

(9)未清理的數(shù)據(jù)被移除并轉(zhuǎn)移到新的IAM系統(tǒng)中。

(10)不切實際的IAM推出方法對贊助商和用戶無效。

理解為什么它很重要

解決任何IAM問題的第一步是理解它。IAM是一種信息技術(shù)安全策略框架，它確保正確的用戶(員工、客戶和合作伙伴)能夠適當?shù)卦L問他們做好工作所需的資源。它需要管理用戶身份的生命周期和路線圖，管理他們的訪問，并通過身份分析適當?shù)乇O(jiān)視他們的身份和憑證的使用。有效的IAM確保有適當?shù)目刂苼砜刂朴脩襞c他們需要“特權(quán)”訪問的關(guān)鍵系統(tǒng)交互的能力，這是特權(quán)訪問管理(PAM)的基礎。

例如，許多公司在實施這些計劃時需要更適當?shù)闹卫恚@通常源于缺乏在整個組織內(nèi)溝通的戰(zhàn)略愿景。因此，員工在沒有審查的情況下獲得并保持對系統(tǒng)的訪問權(quán)的時間過長，并且當系統(tǒng)碎片化時，不容易看到這種情況可能發(fā)生在哪里。

當使用多個不同的網(wǎng)絡安全系統(tǒng)時，就會出現(xiàn)信息孤島。然而，這對許多企業(yè)來說是司空見慣的。必須盡快通過統(tǒng)一系統(tǒng)的實施來解決這個問題，否則可利用的漏洞將繼續(xù)使您的業(yè)務容易受到數(shù)據(jù)泄露的影響。隨著監(jiān)管機構(gòu)表明他們愿意對無效的網(wǎng)絡安全戰(zhàn)略和缺乏透明度進行定罪，如今網(wǎng)絡安全專家做出改變以保護員工和客戶數(shù)據(jù)或面臨法律訴訟的風險比以往任何時候都更重要。

接觸IAM的正確方法

許多公司在推出IAM戰(zhàn)略時犯的主要錯誤是未能獲得公司執(zhí)行領導團隊的支持、可見性和贊助，包括首席執(zhí)行官、首席財務官和首席運營官。身份安全永遠不應該依靠CISO或CIO來管理和溝通。所有的業(yè)務領導者必須在IAM方面擁有相同的戰(zhàn)略愿景，并在組織內(nèi)部推動其取得成功。

但要知道你的安全系統(tǒng)是否容易受到攻擊，唯一的方法就是聘請網(wǎng)絡安全專家并不斷地進行測試。如果您不進行測試和不斷改進，您怎么可能知道您的數(shù)據(jù)是受保護的呢?威脅行為者每天都在改進他們的方法，以發(fā)現(xiàn)安全系統(tǒng)中的新漏洞。你的適應速度比他們快嗎?

確保安全團隊有明確的責任和所有權(quán)制度，并定期與員工溝通更新的方法是至關(guān)重要的。無論員工是否承認，他們都站在對抗黑客、惡意軟件和勒索軟件的第一線，因此任何企業(yè)都需要定期發(fā)布通訊或交流關(guān)鍵安全變化的方法。如果更新是復雜的，適當?shù)靥岣邌T工的技能，同時確保訪問管理過程盡可能簡單和直觀。

要有這樣做的基礎，可以雇傭具有這方面專業(yè)知識的新員工，或者打破常規(guī)，聘用那些基礎扎實、學習能力強的人。擁有精通IAM和機構(gòu)變更管理流程的網(wǎng)絡安全專家可以極大地幫助您實施和管理戰(zhàn)略。不過，這一領域仍存在人才短缺，因此可能有必要引入第三方專家。

此外，機構(gòu)分析癱瘓和對自動化的恐懼可能導致IAM實現(xiàn)失敗。手動流程和“這是我們一直做的方式”的心態(tài)對任何網(wǎng)絡安全計劃都是危險的，因為更新是消除漏洞差距和促進更好的用戶體驗所固有的。

聚焦融合

當您在多個身份管理系統(tǒng)中分布和復制身份時，冗余會造成混亂，并導致一些用戶訪問敏感信息的時間遠遠超過他們應該訪問的時間。確保您組織的數(shù)據(jù)在被提升和轉(zhuǎn)移到新的IAM系統(tǒng)之前得到了清理。通過直接征求資源、贊助商和用戶的反饋，確認您的推出方法對他們有效。

檢查當前的冗余工具，這可以幫助您節(jié)省大量資金，同時降低風險。最近，對于一個客戶來說，發(fā)現(xiàn)了可以退役的冗余IAM工具(其中一些仍然是貨架軟件)，這使得每年可以節(jié)省20%的許可成本。網(wǎng)絡安全工具的授權(quán)成本降低20%會為您節(jié)省多少?

如何確定IAM策略是否有效

獲得正確的IAM策略將需要持續(xù)的時間和精力，即使是在已建立的系統(tǒng)上工作的經(jīng)驗豐富的網(wǎng)絡安全團隊。當組織使用來自不同供應商的各種解決方案和產(chǎn)品，而沒有身份編排(IO)平臺時，情況尤其如此，IO平臺將多個系統(tǒng)聚合到單個編程視圖中，并允許采用更主動的方法進行威脅檢測和解決。

如果你不確定當前安全系統(tǒng)的有效性，定期測試它們。全面的IAM評估可以診斷出您在哪些方面做得好，哪些方面需要改進，以及您未來需要做些什么來實現(xiàn)真正的身份安全。一個成功的IAM計劃依賴于透明的文化。除非領導已經(jīng)就目標達成一致，在團隊中共享，并且歡迎公開的反饋，否則您無法識別系統(tǒng)中的差距。

很明顯，IAM是一家全球戰(zhàn)略投資企業(yè)，每年都在變得越來越有價值。BusinessInsights公司最近的一份報告預測，IAM全球市場將從2021年的134.1億美元增長到2028年的345.2億美元。不要等到太晚了才修復IAM策略中的問題。一旦數(shù)據(jù)泄露發(fā)生，要將其全部清除是一項挑戰(zhàn)。