边界防御能力削弱，身份安全迅速崭露头角

几乎所有的报道都一致指出，企业安全计划的关注点正不断发生改变，从长期以来一直被依赖的边界防御（比如防火墙）转向采用零信任的方案。零信任基于一种内部和外部网络都可能受到威胁的假设，因此其要求对所有用户、设备和网络流量都进行严格的身份验证和授权，而不仅仅是依赖传统的边界安全措施。这种变革，使得身份管理方案变得至关重要，更具体地说，这进一步推动了基于身份的策略成为主流。

相关研究结果也证实了这一点。以2023年《零信任安全状况》报告中的数据为例。在对800多名IT和安全决策者进行的调查中，61%的受访者表示自己所在的组织现在已经制定了明确的零信任方案，同时另有35%表示其公司的零信任计划将会很快得到实施。

此外，该报告发现，在几乎普遍采用零信任策略的趋势下，组织加强了对身份控制的工作。具体来说，报告指出有51%的受访者认为身份控制是“极其重要的”，相较于2022年（只有27%的受访者这样认为）呈现出显著的增长。此外，报告还发现有额外40%的受访领导者认为身份控制是“较为重要的”。

在传统网络边界几乎消失的今天，身份认证已经成为了新的边界——防御必须开始的地方。

尽管几乎所有组织都声称自己高度重视身份管理，但实际上，安全领袖们也承认在实施基于身份认证的策略方面遇到了一系列实质性的难题。而这些挑战也正是成功构建零信任安全计划需要解决的核心问题。

另一份报告是由安全软件制造商Silverfort于2023年9月发布的《身份安全状况》报告，该报告对一些问题进行了具体的量化。报告结果表明，65%的组织尚未全面实施多因素身份验证；94%的组织无法全面区分访问者是员工还是黑客、AI程序等；78%的组织表示由于能见度不足和无法执行多因素身份验证（MFA）或特权访问管理（PAM）保护等原因，而无法实时防止服务账户的盗用。

此外，该报告发现，仅有20%的组织表示自己在预防身份认证威胁方面充满信心。尽管如此，对于身份认证安全的改进需求仍是显而易见的，因为83%的受访组织表示曾经遭遇过与泄露凭证有关的身份违规事件。

安全顾问和研究人员表示，他们在CISO及其安全计划中观察到类似的动态。许多安全主管相信，一个稳固的身份验证功能是成功实施零信任计划的基础，然而，他们在采用基于身份验证的方法上仍存在不足，因而未能加强整体的安全工作。

如果没有一个强大的身份验证方案，那么组织的其他安全领域和整体的安全防御都会受到相应的负面影响。倘若身份验证不可靠或容易被绕过，那么恶意行为者便可轻松地渗透系统，威胁组织的数据安全。而一个强大的身份验证不仅能够有效验证用户身份，还能防范欺骗、冒名顶替等攻击手段。它是保障整体安全性的基础，为其他安全措施提供坚实的基础，确保组织在数字化环境中能够有效防范各类潜在威胁。

基于身份认证策略的主要思想是确保了解企业内所有访问点上的人类和非人类身份。换句话说，这种策略要求组织了解每个员工、承包商、业务伙伴以及请求连接的终端、服务器或应用程序的身份。这通常也被称为以身份为中心或身份为先的安全策略。

这是实施零信任的基础，因为零信任的理念是，在实体（无论是人类还是机器）能够验证自身确实是其所宣称的那个实体，并确认已被授权访问其试图进入的网络、应用程序、API、服务器等之前，不相信任何实体。

根据一家研究和咨询公司估计，其客户中有65%选择了基于身份的零信任实施方案，而剩余的35%则选择了覆盖网络的方案。

身份验证正在成为默认的边界；它正逐渐成为网络安全的第一道防线。

实现身份验证优先策略并非依赖于单一的解决方案，它同网络安全的其他方面一样，需要综合运用政策、实践和技术。身份验证优先策略需要在这些元素之间进行综合，以达到三个关键目标。

组织必须努力保持一致性，也就是说，要将基于身份验证的决策应用于各种资产，如网络、应用程序和服务器等。同时上下文意识也是十分重要的，即策略和控制不应该是静态且基于IP地址的。相反，它们应该根据不同因素进行调整，例如用户的位置、使用的设备以及请求访问的时间。这样的灵活性有助于更加有效地适应不同情境下的安全需求。

在特定领域，预期上下文的偏差可能会触发组织在授予访问权限之前采取额外的验证步骤或层级的措施。这种偏差可能涉及到用户的位置、使用的设备或其他上下文信息。为了确保访问的安全性，系统可能会要求用户在正常的身份验证流程之外进行更多或更严格的验证，例如额外的密码、生物特征识别等。这种在面对异常情况时增加验证层级的策略有助于系统及时识别和应对潜在的安全风险，从而提高整体的安全性。

此外，这种方法要求在整个IT环境中持续地提供一致性和上下文，而不仅仅是在特定事件（例如登录时）发生时才采取措施。这种策略中的三个关键要素（即一致性、上下文以及持续性）必须贯穿整个IT环境来协同工作。

过去，身份被视为一个孤立的领域，主要涉及网络方面的事务。然而，现在身份已经变得相互关联，其被整合到更广泛的范围中，不再是一个孤立的学科。

支持和实现身份管理方面涉及到多项技术。首先身份和访问管理（the identity and access management ，IAM）解决方案作为一项长期存在且在企业安全中得到广泛应用的标准技术，起到了关键作用。其次，用户和实体行为分析（user and entity behavior analytics，UEBA）解决方案是另一种正逐渐成为大多数企业安全功能标准工具的技术，它通过追踪和分析用户和实体的行为，帮助组织确定正常行为并标记可疑活动。除此之外，支持基于身份安全方案的新技术还包括零信任网络访问（zero trust network access，ZTNA）、云安全态势管理以及数据安全态势管理（ data security posture management，DSPM）解决方案。这些新兴技术进一步巩固了身份管理在安全策略中的核心地位，使企业能够更全面、灵活地管理和保护其资源，以适应不断演变的威胁环境。

除此之外，为了实现更为流畅且安全的体验，组织需要在适当的架构下将这些工具进行集成，使它们能够协同工作，并解决身份管理中可能仍存在的隔离或独立部分。

所有这些都是确保提供必要的一致性、上下文以及持续性的关键，同时也支持着业务对系统快速访问的需求。

尽管研究发现几乎所有组织都认为身份安全至关重要，但实际上这些组织在该领域中仍存在着一些不足之处以及差距。

安全软件制造商Oort于2023年发布的《身份安全状况报告》就此问题提供了信息。报告指出，平均每家公司有40.26%的帐户要么没有启用多因素认证（MFA），要么使用的是弱MFA，而休眠帐户平均占公司总帐户的24.15%，经常成为黑客攻击的目标。

这些数字并没有使安全顾问和研究人员感到意外。他们表示，作为CISO，将身份置于核心位置时，势必会面临着诸多挑战。

首先，在文化方面就存在着挑战。基于身份验证的战略所要求的细致入微的方法与传统安全设想的访问管理方式截然不同。

长达数十年的时间里，IT部门几乎允许任何人在组织的物理设施内进行物理访问，而基于身份验证的方法则与过去半个世纪在计算领域的做法背道而驰。此时，要想颠覆过去长期存在的安全管理方式和文化惯例面临着众多困难，而这也正是我们在实现基于身份验证的解决方案所面临的挑战之一。

这种对于安全理念的变革并非唯一的挑战。与此同时，将现代的身份管理和访问解决方案整合到传统系统的过程中也充满了艰难险阻。此外，许多CISO在收集和分析必要的数据，以制定、实施、支持和自动化强大且灵活的身份和访问控制策略方面也面临着诸多问题。

即便CISO拥有克服上述挑战的计划，但他们也往往会在方案所需资金上被卡住进度。然而专家指出，即使拥有无限的安全预算，也无法解决所有问题。CISO及其团队仍需确保数据、政策、流程和技术等所有要素能够无缝地协同工作，而且要做到几乎瞬时和持续。这种持续性的同步本身就是一项相当艰巨的任务。

该项任务必须优先考虑才能取得成功，然而这种情况无法得到完全的保证。尽管市场上对于零信任、身份为先或身份为中心安全的讨论很多，但通常情况下，这些方法都会被视为次要的控制措施。专家们表示CISO在克服这些挑战方面正在取得进展。一项由Gartner最近进行的调查发现，63%的组织已经实施了持续控制，92%的组织已经实施了影响决策的上下文信号。此外，调查还发现，那些在组织的IAM中有一定参与或承担一定责任的受访者中，员工访问管理解决方案的采用率为58%。

当前，几乎所有组织都充分认识到身份安全的至关重要性。在这一认知基础上，CISO正积极努力争取高层管理者的必要支持，以推动投资规划并实施将身份安全置于整个安全架构核心所需的组件。

随着IT部门对传统环境进行现代化改造，将基于本地的应用程序逐渐过渡到与现代身份和访问工具兼容，组织也在积极推进其身份管理计划。

CISO们正在转变其关注点，从围绕身份和访问的静态策略过渡到更加动态的策略。在虚拟和分布式工作环境变得日益普遍、风险呈现出动态变化的趋势中，这一改变显得尤为重要。

* 本文为茉泠编译，图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。