大多數(shù)企業(yè)在云環(huán)境中仍缺乏基本的身份安全控制措施，這使其面臨數(shù)據(jù)泄露、審計失敗和合規(guī)違規(guī)的風險。Unosecur發(fā)布的一份年中新基準報告顯示，在接受掃描的公司中，幾乎每家都至少存在一個高風險問題，平均每家企業(yè)存在40項控制措施失效的情況。

該報告分析了2025年1月至6月期間，來自不同行業(yè)和地區(qū)的50家企業(yè)的診斷掃描數(shù)據(jù)。與基于調查的研究不同，該報告的結論是基于與ISO 27001/27002、PCI DSS和SOC 2等標準相一致的直接控制檢查得出的。其目標是：以可復制的方式呈現(xiàn)云身份實踐存在的不足以及相應的改進方法。

Unosecur的首席執(zhí)行官桑托什·賈亞普拉卡什(Santhosh Jayaprakash)表示：“百分比份額的變化可能在一定程度上反映了掃描覆蓋范圍較小。數(shù)據(jù)傳達的信息很簡單：如果你的公司使用這三個平臺中的任何一個，你就能清楚了解最常見的合規(guī)違規(guī)問題。對于多云企業(yè)而言，這些數(shù)據(jù)進一步表明，并非所有環(huán)境都面臨相同的風險。如果認為所有環(huán)境風險相同，可能會導致嚴重漏洞得不到解決。”

數(shù)據(jù)顯示，許多企業(yè)繼續(xù)忽視基礎防護措施，最常見的問題是管理員賬戶未啟用多因素身份驗證(MFA)，其他常見漏洞包括角色權限過大、服務賬戶密鑰長期有效以及職責劃分不清，僅缺失MFA、權限過大、憑證過期和未管理的機器密鑰這四類問題，就占高嚴重性問題的70%。

報告指出：“缺失MFA和權限過大并非前沿威脅，而是如同未上鎖的門，勒索軟件團伙和審計人員會首先注意到這些問題。”

基準報告中列出的十大失敗案例，每個都會產生明確的安全后果。例如，管理員賬戶未啟用MFA，可能導致單個被竊取的密碼危及整個云環(huán)境。未輪換的密鑰和擁有廣泛權限的服務賬戶，可能會提供長期未經授權的訪問。

云環(huán)境特有的趨勢也十分突出。在AWS中，許多用戶仍未啟用MFA。Google Cloud租戶經常依賴項目級TokenCreator角色，該角色允許廣泛創(chuàng)建令牌。研究發(fā)現(xiàn)，Azure客戶在整個訂閱范圍內開放“所有者”或“參與者”角色，增加了濫用風險。

身份管理不善不僅會增加安全風險，還會在審計時帶來挑戰(zhàn)，并提高網(wǎng)絡安全保險成本。相反，實施特權賬戶MFA、即時訪問權限提升、短期密鑰和受保護的機器憑證等四項關鍵控制的企業(yè)，審計發(fā)現(xiàn)的問題更少，且在企業(yè)銷售中占據(jù)更有利地位。

監(jiān)管壓力也在不斷加大。2025年初，歐盟《數(shù)字運營韌性法案》(DORA)和eIDAS 2.0框架、印度《數(shù)字個人數(shù)據(jù)保護法》以及美國零信任政策的新要求，均推動加強身份治理。一些法律現(xiàn)在還涉及人工智能身份濫用問題，包括用于欺詐的深度偽造。

報告稱：“如果你的競爭對手存在高膽固醇問題(弱MFA、過期密鑰)，你需要在下一次數(shù)據(jù)泄露或審計成為頭條新聞之前，了解自身狀況。”