統一身份和訪問管理（Identity and access management，IAM）是一套體系化的身份安全解決方案，涵蓋了技術、策略和流程，主要用于管理用戶身份并控制用戶對企業資源的合規訪問。在當今“數字優先”的世界中，IAM技術對組織變得越來越重要，因為組織內的員工需要在任何設備（服務）上實現“work-from-anywhere“的訪問模式，這就需要比以往更加安全地賦予和驗證數字身份，以實現安全的數字連接。在此背景下，基于先進AI技術構建的新一代IAM解決方案應運而生。

傳統IAM的應用挑戰

早期的IAM技術是建立在傳統IT架構平臺上的，主要負責管理人的身份。而隨著數字化業務系統和物聯網應用的快速發展，IAM系統不僅需要給數量龐大的“機器”和業務系統賦予身份并實現有效管理，還需要從組織數字化業務開展的整體視角，統一制定出各種數字資源的訪問規則和策略。這給傳統IAM方案的身份管理和認證能力提出巨大挑戰。 

此外，IAM最初主要是為了幫助用戶滿足監管要求和確保身份安全性。用戶體驗和業務支持的需求是后續隨著數字化應用發展而產生的。鑒于IAM系統的關鍵特質，它已經成為組織新一代網絡安全能力體系構建的基礎要求和重要組成部分。在穩定有效的組織網絡安全體系中，更完善的IAM策略配置與管理能力是不可或缺的，需要讓所有身份都使用一致的策略和工具進行管理，因此需要更加關注系統應用的便捷性和用戶體驗，并將這些視為新一代IAM方案的核心技術要求。 

盡管IAM的建設和應用通常由企業IT或安全部門發起，但IAM應用幾乎涉及與組織業務相關的各個部門和環節，甚至還包括了外部合作伙伴和客戶。由于IAM涉及了多方利益相關者的日常工作，因此，它的應用往往被認為是復雜的、困難的并且會帶來較大成本性投入的。這種情況也需要積極的變化，身份安全應該被視為基礎性的保障因素，讓越來越多的業務人員開始認同IAM的價值。

新型AI IAM的主要特點

不斷發展的ＡＩ技術正在深刻影響著新型網絡安全能力發展，也正在創建一個更強大、更主動的新型IAM系統，它從復雜的數字身份環境中不斷的自主學習，識別和管控企業中有威脅的身份賬號及其行為，從而降低組織數據泄漏等風險。

AI IAM解決方案仍然是由身份管理、身份驗證、授權以及審計等核心功能組件構成，但相比傳統的IAM方案，其更加的智能化，有著更低的誤報率、更自動化的訪問控制和更好的用戶應用體驗，這就是AI IAM解決方案的最大特點。 

圖片

結合上圖和其他相關資料，可以AI技術已經開始被充分整合到新一代IAM解決方案的各個方面，并形成以下應用特點：

1. 改善的身份管理與驗證（Improved Authentication and Verification）

AI技術為IAM系統提供了一種更強大、用戶友好的身份認證方法。為了實現這種變革轉變，新一代IAM方案可以利用生物識別技術進行創新的身份驗證，最大限度地減少與傳統基于密碼的系統相關的安全性漏洞，還可以簡化用戶交互，培養無摩擦的身份認證體驗，同時增強應對網絡威脅變化的整體彈性。

此外，AI技術可以幫助組織使用隨機森林、支持向量機（SVMs）和梯度提升等AI算法分析用戶的打字速度、鼠標移動等行為特征，并通過檢測行為異常的遞歸神經網絡（RNN）等技術進一步實現持續監控。這將有助于組織實施強大的身份驗證機制。

2.自動化的策略設置與管理（Automated Provisioning and De-provisioning）

AI技術可以通過預測分析和機器學習算法來簡化IAM系統的策略配置和管理優化的過程。常見的技術包括:

• 基于角色的訪問控制（RBAC）：基于員工的角色、部門和行為模式，機器學習模型（如聚類算法和分類算法）可以分析每個用戶的歷史訪問數據以分配合適的訪問權限；
•  賬戶生命周期管理：AI技術能夠簡化跨各種企業應用程序（包括 Office 365、Salesforce 或 AWS等）的賬戶生命周期管理，自動化進行配置、調整和取消的流程，維護企業的管理標準和監管合規要求；
• 自動化工具：通過將AI技術與機器人流程自動化 （RPA）和 IT 服務管理 （ITSM） 工具相結合，就可以實現端到端自動化配置任務，減少管理中的手動操作，最大程度降低人為錯誤。

3. 智能化的威脅檢測與預防（Anomaly Detection and Threat Prevention）

AI技術能夠持續監控人類和非人類的各種身份，包括 API、應用服務和其他物聯網設備。傳統的監控系統通常會忽略一些設備交互中細微的異常情況，但人工智能的分析能力完全可以發現大多數安全威脅的早期征兆。通過為每個身份建立 “正常 ”行為基線，人工智能可以快速標記偏差，從而對潛在威脅做出快速反應。

4. 自適應的訪問控制能力（Adaptive Access Controls）

自適應訪問控制是AI IAM系統的重要支柱能力。通過持續評估風險并相應地調整訪問權限，AI賦能的新型IAM系統能夠實現情境感知的訪問控制與管理。

在風險自適應訪問控制（RAAC）方面，AI 技術通過使用機器學習算法，如貝葉斯網絡和決策樹，組織可以評估異常訪問時間和不熟悉設備之類的風險因素?；趯崟r數據和歷史訪問模式，這些模型生成風險評分，并以此自動調整用戶權限，而無需任何手動干預。

AI技術還能夠通過實現持續的身份驗證和授權機制來支持零信任模型。為了實時驗證用戶身份和訪問請求，組織可以使用身份行為分析（IBA）和用戶行為分析（UEBA）等技術。AI驅動的微分段和預測性訪問控制通過基于行為洞察和上下文數據限制訪問來增強安全性。

5. 更好的用戶體驗（Enhanced User Experience）

AI IAM方案能夠有效平衡應用中的安全性和可用性，從而帶來更好的用戶體驗?；冢粒傻腎AM系統可以通過動態評估上下文數據（如設備指紋識別、地理位置和歷史登錄模式）來動態調整身份驗證流程，并動態計算身份驗證可信度的分值。這將允許采用自適應的身份驗證方法，進一步減少低風險場景中的摩擦，并在必要時執行更嚴格的管理措施。系統還可以根據工作職能動態分配角色，從而使流程更加順暢高效。

6. 動態再認證與合規管理（Automated Recertification and Compliance Management） 

AI IAM可以改進組織的再認證流程和合規管理水平，這對于保持合規性和降低安全風險非常重要。在動態再認證流程中，組織可以通過機器學習算法，如異常檢測和預測分析，以根據用戶行為、角色變更和歷史數據評估訪問權限。這些技術可以通過分析訪問模式并檢測異常行為，自動觸發再認證工作流程。

同時，AI風險評估模型包括了加權風險評分（WRS）方法和貝葉斯推斷模型等算法，可以根據系統的關鍵程度和所涉及的數據，對高風險用戶賬戶的重新認證工作流程并更頻繁地進行監控。

組織還可以通過API和數據連接器將AI IAM系統與GRC風險管理工具集成。AI可以通過分析用戶訪問日志、應用自然語言處理（NLP）來識別不符合規定的訪問模式，并使用基于規則的引擎結合機器學習來建議糾正措施，從而自動生成審計跟蹤，形成一個自適應的合規監測系統，確保持續遵守法規。

AI IAM應用的挑戰

AI為IAM帶來了新的智能化、自動化和適應性。借助AI技術，新型IAM系統不僅可以被動式安全防御，還可以主動預測和適應不斷變化的身份威脅，為組織提供新的方法來應對日益復雜的網絡安全環境變化。

不過，要實現AI IAM的全部潛力，組織還需要深思熟慮地處理數據隱私、算法公平性和系統集成等問題，以確保其人工智能驅動的身份和訪問管理解決方案是可信、安全和可持續的。

研究人員認為，AI IAM解決方案應用的主要挑戰包括：

• 數據隱私問題： AI模型需要大量的數據集進行訓練，這引發了人們對數據安全和監管法規遵從的擔憂。數據匿名化和差分隱私等技術可以幫助降低ＡＩ IAM應用中的部分風險。
• 算法偏見問題： 如果 AI 模型不是基于多樣化的數據進行訓練的，它們可能會導致在推薦結果和處置策略中產生算法偏見。組織可以使用偏見檢測工具并減少偏見。
•  技術融合問題： 將先進的AI技術與IAM平臺整合需要涉及API連接和數據規范化等問題，這就需要采用合適的中間件來彌合技術整合差距。這對組織來說可能帶來額外的費用成本和技術挑戰。
• 性能和可擴展性問題： 可擴展架構對于AI IAM系統非常重要，像Apache Kafka和TensorFlow這樣的技術可以通過數據流和高效的模型部署來提高AI IAM的應用性能。

參考鏈接：https://dzone.com/articles/the-role-of-artificial-intelligence-ai-in-identity