En 400-6655-581
5
返回列表
> 資源中心 > 文章>產(chǎn)品>IAM(身份與訪問控制)> 企業(yè)IAM項(xiàng)目建設(shè)規(guī)劃不知道怎么做?看看這6大建議

企業(yè)IAM項(xiàng)目建設(shè)規(guī)劃不知道怎么做?看看這6大建議

文章

2024-10-10瀏覽次數(shù):132

隨著數(shù)字身份安全重要性的日益凸顯,強(qiáng)大的身份和訪問管理 (IAM) 是任何安全框架的重要組成部分,是企業(yè)組織保護(hù)資源和提供無縫用戶體驗(yàn)的關(guān)鍵利器。

 

據(jù)國外最近的一項(xiàng)研究顯示,近 78% 的公司披露了與身份相關(guān)的數(shù)據(jù)泄露事件,這對他們的運(yùn)營產(chǎn)生了極大的負(fù)面影響。

 

因此,企業(yè)組織亟需加強(qiáng)IAM建設(shè)與規(guī)劃,在考慮數(shù)據(jù)隱私和安全法規(guī)的持續(xù)變化基礎(chǔ)上,綜合考慮企業(yè)系統(tǒng)的不斷發(fā)展。

 

然而,事實(shí)上,許多企業(yè)在處理用戶如何以及何時訪問應(yīng)用程序和資源方面仍然存在諸多不足。

 

為了保持安全性并確保持續(xù)合規(guī),這些企業(yè)必須仔細(xì)評估企業(yè)當(dāng)前的IAM 策略并遵循用戶身份賬號管理的最佳實(shí)踐。

 

派拉軟件結(jié)合2600+客戶成功實(shí)踐經(jīng)驗(yàn),總結(jié)出了當(dāng)前企業(yè)6大IAM建設(shè)建議,供企業(yè)參考。

 

 

 

01

認(rèn)識到傳統(tǒng)安全措施的弱點(diǎn)

 

要做好IAM項(xiàng)目建設(shè),企業(yè)安全人員首先需要深刻認(rèn)識到傳統(tǒng)安全措施的弱點(diǎn)。例如,設(shè)置防火墻和保護(hù)端點(diǎn)等網(wǎng)絡(luò)安全選項(xiàng)缺乏必要的動態(tài)檢測能力,無法精確定位存在違規(guī)行為的用戶行為的細(xì)微變化,也無法保護(hù)系統(tǒng)免受黑客使用合法帳戶獲取訪問權(quán)限......

 

雖然傳統(tǒng)保護(hù)措施在安全框架中確實(shí)有一席之地,但企業(yè)必須采取額外措施來涵蓋在每種可能的場景中如何訪問、使用和傳輸數(shù)據(jù)。任何缺乏足夠安全性的行為或環(huán)境都會產(chǎn)生漏洞,黑客可以利用這些漏洞接管帳戶、破壞網(wǎng)絡(luò)或竊取數(shù)據(jù)。

 

人作為環(huán)境中最大的變動因子或者說薄弱環(huán)節(jié),做好了企業(yè)內(nèi)外部人的行為監(jiān)控對于企業(yè)安全防護(hù)至關(guān)重要。而傳統(tǒng)安全措施往往不區(qū)分人,而是以網(wǎng)絡(luò)為安全邊界,默認(rèn)網(wǎng)絡(luò)內(nèi)的一切人的行為都是安全可靠的,這就帶來了嚴(yán)重的潛在安全漏洞。尤其是在萬物互聯(lián)、網(wǎng)絡(luò)邊界不斷消融的數(shù)字時代,這樣一刀切的安全措施早已不可取。

 

 

 

02

全面清理系統(tǒng)掃除身份漏洞

 

在明白IAM項(xiàng)目建設(shè)的必要性基礎(chǔ)上,企業(yè)要開始全面了解系統(tǒng)情況與安全漏洞。常規(guī)網(wǎng)絡(luò)和 IAM 審計(jì)與弱密碼檢測等技術(shù)可以讓IT人員更清楚地了解整個系統(tǒng)并發(fā)現(xiàn)漏洞,包括:

 

不安全的設(shè)備

孤兒帳戶、受損帳戶等風(fēng)險賬號

弱密碼

不適當(dāng)?shù)臋?quán)限

錯誤的組分配

   ......

 

企業(yè)應(yīng)立即解決審計(jì)期間發(fā)現(xiàn)的問題,以防止不當(dāng)訪問或使用數(shù)據(jù)和應(yīng)用程序。刪除未使用或不需要的帳戶并重組組,減少黑客的潛在訪問點(diǎn)數(shù)量。

 

創(chuàng)建審計(jì)計(jì)劃并實(shí)施常規(guī)網(wǎng)絡(luò)監(jiān)控,確保適當(dāng)?shù)脑L問級別,并揭示需要加強(qiáng)安全性以保護(hù)關(guān)鍵資產(chǎn)和數(shù)據(jù)免受新興威脅的地方。

 

如果發(fā)現(xiàn)任何帳戶或組的權(quán)限過大或過窄,企業(yè)應(yīng)尋求更好的配置解決方案,并結(jié)合自動化流程、標(biāo)準(zhǔn)規(guī)范、多因素認(rèn)證等技術(shù)和制度,強(qiáng)化權(quán)限安全策略的有效執(zhí)行落地,確保在全面檢測系統(tǒng)的基礎(chǔ)上,掃除其中存在的安全漏洞。

 

 

 

 

 

03

運(yùn)用AI技術(shù)加強(qiáng)特權(quán)訪問安全

 

74% 的數(shù)據(jù)泄露始于特權(quán)憑證的濫用,但許多數(shù)據(jù)泄露可以通過適當(dāng)?shù)奶貦?quán)訪問管理 (PAM) 來預(yù)防。企業(yè)IT 人員需要 IAM 平臺提供工具,以便持續(xù)監(jiān)控所有帳戶、權(quán)限和網(wǎng)絡(luò)活動,包括特權(quán)用戶。

 

實(shí)時更新對于發(fā)現(xiàn)異常是必不可少的。因此,使用人工智能和機(jī)器學(xué)習(xí)工具,結(jié)合UEBA技術(shù),可以幫助企業(yè)更易檢測到用戶行為的一些實(shí)時變化,并根據(jù)需要和上下文自動配置和取消權(quán)限等策略手段進(jìn)一步防止帳戶濫用,及時發(fā)現(xiàn)訪問過程中的用戶實(shí)體行為異常,并進(jìn)行安全控制與告警提醒。

 

 

 

此外,采用更嚴(yán)格的 PAM 方法,將覆蓋范圍擴(kuò)大到傳統(tǒng)系統(tǒng)和管理帳戶之外,包括 RPA、服務(wù)帳戶、應(yīng)用程序帳戶、API 密鑰、IoT/IIoT 環(huán)境以及未集成到 IAM 環(huán)境中的外部服務(wù),如社交媒體帳戶等。這可以幫助企業(yè)保護(hù)關(guān)鍵資產(chǎn)并降低與非人類賬戶相關(guān)的風(fēng)險。

 
 
 

 

 

 

04

關(guān)注供應(yīng)鏈賬號權(quán)限安全問題

 

據(jù)數(shù)據(jù)統(tǒng)計(jì),外包已發(fā)展成為一個價值超過 860 億美元的全球市場,越來越多的企業(yè)正在尋求外包從基本流程到客戶服務(wù)的一切。然而,這樣的供應(yīng)鏈策略,也帶來了越來越多的安全風(fēng)險與挑戰(zhàn)。

 

例如,2022年,因供應(yīng)商“小島沖壓工業(yè)株式會社”(Kojima Industries Corporation)遭到網(wǎng)絡(luò)攻擊,致使豐田在日本國內(nèi)的所有工廠(共計(jì)14家工廠,28條生產(chǎn)線)全部停工。今年,甚至發(fā)生了供應(yīng)鏈襲擊事件,即利用對手硬件或軟件供應(yīng)鏈上的漏洞實(shí)施的破壞和襲擊活動......

 

此外,隨著企業(yè)尋求降本增效,員工要求在工作時間安排上更加靈活,遠(yuǎn)程勞動力持續(xù)增長。為了有效管理并支持這些業(yè)務(wù)和就業(yè)結(jié)構(gòu)變化所需的第三方和異地訪問,企業(yè)需要監(jiān)控更廣泛的網(wǎng)絡(luò)活動。

 

其中,避免一刀切的權(quán)限至關(guān)重要。供應(yīng)商和遠(yuǎn)程員工在不同時間需要不同級別的網(wǎng)絡(luò)訪問權(quán)限,因此需采用細(xì)粒度的訪問管理方法,并使用與監(jiān)控和管理特權(quán)帳戶相同的詳細(xì)可見性。

 

企業(yè)還必須在授予訪問權(quán)限之前評估所有供應(yīng)商的IAM和員工生命周期管理實(shí)踐,以確保這些系統(tǒng)中的漏洞不會危及內(nèi)部網(wǎng)絡(luò)的安全。

 

以派拉軟件合作的某知名汽車集團(tuán)為例,該集團(tuán)擁有多維度業(yè)務(wù)領(lǐng)域,按照業(yè)務(wù)領(lǐng)域又可以劃分出多個用戶群體,包括企業(yè)內(nèi)部用戶、經(jīng)銷商、供應(yīng)商、C端客戶等。

 

圍繞不同業(yè)務(wù)和用戶群體,集團(tuán)根據(jù)實(shí)際需求建設(shè)了面向內(nèi)部員工用戶運(yùn)營管理的EIAM,面向C端消費(fèi)者的CIAM,以及面向經(jīng)銷商/渠道商的BIAM和供應(yīng)商的SIAM等,從而有效加強(qiáng)第三方訪問控制與安全。

 

 

 

 

05

考慮所有“事物”的身份與訪問

 

物聯(lián)網(wǎng) (IoT) 正在成為各行各業(yè)企業(yè)的普遍現(xiàn)象。從聯(lián)網(wǎng)打印機(jī)等基本硬件到制造業(yè)使用的復(fù)雜自動化機(jī)械,物聯(lián)網(wǎng)設(shè)備有效提高眾多企業(yè)的效率和生產(chǎn)力。然而,這些設(shè)備也給 IT 員工帶來了巨大的安全問題。

 

規(guī)模數(shù)量龐大,位置分布全球各地、各角落,需聯(lián)網(wǎng)且注重實(shí)時性,還涵蓋不同的制造商和協(xié)議、數(shù)據(jù)共享等等。

 

這些都使的物聯(lián)網(wǎng)設(shè)備管理變得非常復(fù)雜、困難,且與管理網(wǎng)絡(luò)內(nèi)用戶行為的訪問協(xié)議不兼容,并帶來各種安全問題。例如,急速擴(kuò)大的網(wǎng)絡(luò)攻擊面、更多的潛在漏洞、隱私安全問題等。

 

據(jù)Forrester Research在《2023年物聯(lián)網(wǎng)安全狀況》報告調(diào)查顯示:物聯(lián)網(wǎng)設(shè)備是報告最多的外部攻擊目標(biāo),比移動設(shè)備或計(jì)算機(jī)受到的攻擊更多。物聯(lián)網(wǎng)設(shè)備每天在全球范圍內(nèi)產(chǎn)生多達(dá)36億起安全事件。

 

這就要求企業(yè)亟需為設(shè)備身份制定單獨(dú)的管理策略,即物聯(lián)網(wǎng)設(shè)備身份。

 

06

構(gòu)建以“身份優(yōu)先”的零信任架構(gòu)

 

零信任是實(shí)現(xiàn)網(wǎng)絡(luò)和安全架構(gòu)現(xiàn)代化的關(guān)鍵部分。2024年,安全牛最新調(diào)研報告顯示:86.3%的受訪企業(yè)表示已經(jīng)開始或計(jì)劃開展零信任安全建設(shè)。

 

顯然,零信任已從“前沿概念”轉(zhuǎn)變?yōu)?ldquo;必須實(shí)踐”,是企業(yè)應(yīng)對新的網(wǎng)絡(luò)安全挑戰(zhàn)的首選戰(zhàn)略。而要想實(shí)現(xiàn)零信任建設(shè),先進(jìn)且集成良好的IAM系統(tǒng)是基礎(chǔ)。

 

在采用零信任策略時,企業(yè)必須升級和集成 IAM 解決方案,構(gòu)建以“身份優(yōu)先”的零信任安全架構(gòu),以便在基礎(chǔ)架構(gòu)的任何位置提供持續(xù)的基于風(fēng)險的身份驗(yàn)證。

 

這可以幫助企業(yè)在混合環(huán)境中實(shí)現(xiàn)無縫身份驗(yàn)證、授權(quán)和安全訪問,增強(qiáng)企業(yè)整體安全態(tài)勢并為零信任奠定基礎(chǔ)。

 

 

 

以上6大建議只是企業(yè)IAM建設(shè)大框架中的一小部分參考,隨著技術(shù)的持續(xù)發(fā)展與進(jìn)步,諸如ITDR、區(qū)塊鏈等系列新技術(shù)的成熟也將隨之應(yīng)用到企業(yè)IAM建設(shè)中。

 

而細(xì)分到各個領(lǐng)域和安全場景中,還會發(fā)現(xiàn)企業(yè)在諸如賬號、權(quán)限、審計(jì)等各維度也普遍存在諸多問題。這些在派拉軟件相應(yīng)場景解決方案文章中也曾提過并給出相應(yīng)方案。

 

也希望以上6大IAM建設(shè)建議,可以給企業(yè)IAM建設(shè)與規(guī)劃帶來些許參考與啟發(fā)。