身份安全：下一个前沿已经到来

虽然技术和互联网不断创新和变化，但有一件事始终不变——登录。当然，登录应用程序或系统的方法不止一种，无论使用哪种身份验证和授权方法，数字身份都是其核心。 

“数字身份”已成为一个广泛且几乎神秘的概念。数字身份可以是任何验证人类和机器用户身份以授予他们访问系统和数据权限的东西，包括用户名、SSH 密钥和密码。 

数字身份的存在并不是其面临风险的原因，管理、使用和治理方面的失误才是导致身份成为复杂且关键攻击媒介的原因。无论数字身份走到哪里，黑客都会尾随其后。 

身份安全的现状 

身份安全是一系列流程和协议，可帮助组织保护数字资产以及用于访问这些资产的凭证和帐户。如果没有全面的身份安全策略，黑客可以通过破坏有效的数字身份并在您的基础设施中横向移动来获得未经授权的访问。

在家办公和自带设备 (BYOD) 的兴起进一步加剧了风险，导致身份和访问管理 (IAM) 基础设施孤立，无法为网络安全团队提供数字身份所需的背景信息、可见性和保护。另一个关键缺陷是，尽管机器身份数量现在比人类身份多45 倍，但组织却只专注于保护人类身份。

最糟糕的是，没有人能幸免。

赌场和酒店巨头米高梅最近因遭遇灾难性的数据泄露而登上头条新闻，而这起数据泄露事件正是一场老式的社会工程攻击造成的。一个勒索软件组织在 LinkedIn 上获取了一名员工的信息后，成功通过电话钓鱼，然后利用获取的凭证进入了米高梅的系统。 

其结果是米高梅客户的姓名、社会安全号码和驾驶执照遭到严重泄露——这清醒地提醒我们一个简单的身份信息能造成什么样的后果。

人工智能：身份安全的秘密武器？

归根结底，身份管理就是在正确的时间为正确的用户（人类和机器）提供正确的访问级别。96 % 的组织认为，如果他们专注于适当的安全措施，他们本可以防止违规行为，但65% 的组织尚未实施多因素身份验证 (MFA) 和单点登录 (SSO) 等基本身份安全措施。

当您的组织拥有数百或数千个身份时，唯一的出路就是自动化。由于缺乏可视性和控制力，52％的员工身份可以随时访问组织最关键的系统和敏感数据 – 这是一场即将发生的灾难。 

高级 IAM 解决方案使用 AI 和机器学习 (ML) 来自动化尽可能多的身份安全方面。AI和 ML 会在用户需要时自动提供和取消提供身份，而现代 IAM 解决方案会持续监控资产中的可疑活动、检测威胁并自动补救。如果正确执行，自动化身份安全将大幅提高生产力，因为不会出现访问管理延迟或事件响应停机。 

为什么身份信息会面临如此大的危险？互联网的集中控制结构意味着，只有少数公司拥有大量数据。如果没有第三方（很可能是私人公司）的帮助，就无法验证您的身份。 

相比之下，区块链等去中心化结构以加密方式保护身份信息，因此无法删除或篡改。此功能使数据更难泄露，这意味着您完全拥有数字身份，无需第三方介入。 

人的因素在其中起什么作用？

不幸的是，即便是最全面、最坚固的网络安全策略，人类也是最薄弱的环节。需要证据吗？

90% 的网络安全漏洞与身份有关，黑客经常通过社交工程策略瞄准员工以获取身份。例如，网络钓鱼攻击的状况已经非常严峻，每天有34 亿封恶意电子邮件被发送。虽然人工智能等新技术将促进身份安全，但也会阻碍身份安全。37 % 的组织担心生成式人工智能会让网络钓鱼攻击更难以察觉。

您可能会在紧张地更改密码时问，那么解决方案是什么呢？

网络意识培训（如网络钓鱼模拟）可帮助您的员工了解身份安全的基础知识和复杂性，并支持他们实施更广泛的 IAM 策略。身份安全最佳实践的有效性取决于其实施。如果没有员工的认同和行动，您就无法保证安全文化。

你的员工就是你的未来

随着世界走向更加规避风险的状态，员工网络意识培训将进一步体现其价值。 

例如，网络保险公司正在制定更严格的公司投保准则，并收紧保单条款和条件，以减少大量攻击造成的损失。平均每 39 秒就会发生一次攻击，谁能责怪他们呢？

保险公司才是掌控者。组织买不起保险，但又不能不买。一些身份安全协议（如 MFA）是强制性的，符合保险条件意味着证明您的企业采取了积极主动的安全措施。 

欧盟的《通用数据保护条例》（GDPR）和《加州消费者隐私法案》（CCPA）等监管和合规框架也有类似的严格要求，而美国证券交易委员会等机构则要求进行透明的风险管理评估，并让每位员工都参与其中。

建立身份安全文化 

采用最新的 AI、ML 和 IAM 工具只是解决方案的一部分。网络安全意识是一项全员参与的工作。组织中的每个人都必须为建立身份安全文化做出贡献，这对于理解身份安全文化以及满足合规性和保险法规至关重要。

文章来源：Identity Security: The Next Frontier is Already Here