En 400-6655-581
5
返回列表
> 資源中心 > 文章>產(chǎn)品>IAM(身份與訪問控制)> 企業(yè)IAM項目建設規(guī)劃不知道怎么做?看看這6大建議

企業(yè)IAM項目建設規(guī)劃不知道怎么做?看看這6大建議

文章

2024-10-10瀏覽次數(shù):305

隨著數(shù)字身份安全重要性的日益凸顯,強大的身份和訪問管理 (IAM) 是任何安全框架的重要組成部分,是企業(yè)組織保護資源和提供無縫用戶體驗的關鍵利器。

 

據(jù)國外最近的一項研究顯示,近 78% 的公司披露了與身份相關的數(shù)據(jù)泄露事件,這對他們的運營產(chǎn)生了極大的負面影響。

 

因此,企業(yè)組織亟需加強IAM建設與規(guī)劃,在考慮數(shù)據(jù)隱私和安全法規(guī)的持續(xù)變化基礎上,綜合考慮企業(yè)系統(tǒng)的不斷發(fā)展。

 

然而,事實上,許多企業(yè)在處理用戶如何以及何時訪問應用程序和資源方面仍然存在諸多不足。

 

為了保持安全性并確保持續(xù)合規(guī),這些企業(yè)必須仔細評估企業(yè)當前的IAM 策略并遵循用戶身份賬號管理的最佳實踐。

 

派拉軟件結(jié)合2600+客戶成功實踐經(jīng)驗,總結(jié)出了當前企業(yè)6大IAM建設建議,供企業(yè)參考。

 

 

 

01

認識到傳統(tǒng)安全措施的弱點

 

要做好IAM項目建設,企業(yè)安全人員首先需要深刻認識到傳統(tǒng)安全措施的弱點。例如,設置防火墻和保護端點等網(wǎng)絡安全選項缺乏必要的動態(tài)檢測能力,無法精確定位存在違規(guī)行為的用戶行為的細微變化,也無法保護系統(tǒng)免受黑客使用合法帳戶獲取訪問權(quán)限......

 

雖然傳統(tǒng)保護措施在安全框架中確實有一席之地,但企業(yè)必須采取額外措施來涵蓋在每種可能的場景中如何訪問、使用和傳輸數(shù)據(jù)。任何缺乏足夠安全性的行為或環(huán)境都會產(chǎn)生漏洞,黑客可以利用這些漏洞接管帳戶、破壞網(wǎng)絡或竊取數(shù)據(jù)。

 

人作為環(huán)境中最大的變動因子或者說薄弱環(huán)節(jié),做好了企業(yè)內(nèi)外部人的行為監(jiān)控對于企業(yè)安全防護至關重要。而傳統(tǒng)安全措施往往不區(qū)分人,而是以網(wǎng)絡為安全邊界,默認網(wǎng)絡內(nèi)的一切人的行為都是安全可靠的,這就帶來了嚴重的潛在安全漏洞。尤其是在萬物互聯(lián)、網(wǎng)絡邊界不斷消融的數(shù)字時代,這樣一刀切的安全措施早已不可取。

 

 

 

02

全面清理系統(tǒng)掃除身份漏洞

 

在明白IAM項目建設的必要性基礎上,企業(yè)要開始全面了解系統(tǒng)情況與安全漏洞。常規(guī)網(wǎng)絡和 IAM 審計與弱密碼檢測等技術可以讓IT人員更清楚地了解整個系統(tǒng)并發(fā)現(xiàn)漏洞,包括:

 

不安全的設備

孤兒帳戶、受損帳戶等風險賬號

弱密碼

不適當?shù)臋?quán)限

錯誤的組分配

   ......

 

企業(yè)應立即解決審計期間發(fā)現(xiàn)的問題,以防止不當訪問或使用數(shù)據(jù)和應用程序。刪除未使用或不需要的帳戶并重組組,減少黑客的潛在訪問點數(shù)量。

 

創(chuàng)建審計計劃并實施常規(guī)網(wǎng)絡監(jiān)控,確保適當?shù)脑L問級別,并揭示需要加強安全性以保護關鍵資產(chǎn)和數(shù)據(jù)免受新興威脅的地方。

 

如果發(fā)現(xiàn)任何帳戶或組的權(quán)限過大或過窄,企業(yè)應尋求更好的配置解決方案,并結(jié)合自動化流程、標準規(guī)范、多因素認證等技術和制度,強化權(quán)限安全策略的有效執(zhí)行落地,確保在全面檢測系統(tǒng)的基礎上,掃除其中存在的安全漏洞。

 

 

 

 

 

03

運用AI技術加強特權(quán)訪問安全

 

74% 的數(shù)據(jù)泄露始于特權(quán)憑證的濫用,但許多數(shù)據(jù)泄露可以通過適當?shù)奶貦?quán)訪問管理 (PAM) 來預防。企業(yè)IT 人員需要 IAM 平臺提供工具,以便持續(xù)監(jiān)控所有帳戶、權(quán)限和網(wǎng)絡活動,包括特權(quán)用戶。

 

實時更新對于發(fā)現(xiàn)異常是必不可少的。因此,使用人工智能和機器學習工具,結(jié)合UEBA技術,可以幫助企業(yè)更易檢測到用戶行為的一些實時變化,并根據(jù)需要和上下文自動配置和取消權(quán)限等策略手段進一步防止帳戶濫用,及時發(fā)現(xiàn)訪問過程中的用戶實體行為異常,并進行安全控制與告警提醒。

 

 

 

此外,采用更嚴格的 PAM 方法,將覆蓋范圍擴大到傳統(tǒng)系統(tǒng)和管理帳戶之外,包括 RPA、服務帳戶、應用程序帳戶、API 密鑰、IoT/IIoT 環(huán)境以及未集成到 IAM 環(huán)境中的外部服務,如社交媒體帳戶等。這可以幫助企業(yè)保護關鍵資產(chǎn)并降低與非人類賬戶相關的風險。

 
 
 

 

 

 

04

關注供應鏈賬號權(quán)限安全問題

 

據(jù)數(shù)據(jù)統(tǒng)計,外包已發(fā)展成為一個價值超過 860 億美元的全球市場,越來越多的企業(yè)正在尋求外包從基本流程到客戶服務的一切。然而,這樣的供應鏈策略,也帶來了越來越多的安全風險與挑戰(zhàn)。

 

例如,2022年,因供應商“小島沖壓工業(yè)株式會社”(Kojima Industries Corporation)遭到網(wǎng)絡攻擊,致使豐田在日本國內(nèi)的所有工廠(共計14家工廠,28條生產(chǎn)線)全部停工。今年,甚至發(fā)生了供應鏈襲擊事件,即利用對手硬件或軟件供應鏈上的漏洞實施的破壞和襲擊活動......

 

此外,隨著企業(yè)尋求降本增效,員工要求在工作時間安排上更加靈活,遠程勞動力持續(xù)增長。為了有效管理并支持這些業(yè)務和就業(yè)結(jié)構(gòu)變化所需的第三方和異地訪問,企業(yè)需要監(jiān)控更廣泛的網(wǎng)絡活動。

 

其中,避免一刀切的權(quán)限至關重要。供應商和遠程員工在不同時間需要不同級別的網(wǎng)絡訪問權(quán)限,因此需采用細粒度的訪問管理方法,并使用與監(jiān)控和管理特權(quán)帳戶相同的詳細可見性。

 

企業(yè)還必須在授予訪問權(quán)限之前評估所有供應商的IAM和員工生命周期管理實踐,以確保這些系統(tǒng)中的漏洞不會危及內(nèi)部網(wǎng)絡的安全。

 

以派拉軟件合作的某知名汽車集團為例,該集團擁有多維度業(yè)務領域,按照業(yè)務領域又可以劃分出多個用戶群體,包括企業(yè)內(nèi)部用戶、經(jīng)銷商、供應商、C端客戶等。

 

圍繞不同業(yè)務和用戶群體,集團根據(jù)實際需求建設了面向內(nèi)部員工用戶運營管理的EIAM,面向C端消費者的CIAM,以及面向經(jīng)銷商/渠道商的BIAM和供應商的SIAM等,從而有效加強第三方訪問控制與安全。

 

 

 

 

05

考慮所有“事物”的身份與訪問

 

物聯(lián)網(wǎng) (IoT) 正在成為各行各業(yè)企業(yè)的普遍現(xiàn)象。從聯(lián)網(wǎng)打印機等基本硬件到制造業(yè)使用的復雜自動化機械,物聯(lián)網(wǎng)設備有效提高眾多企業(yè)的效率和生產(chǎn)力。然而,這些設備也給 IT 員工帶來了巨大的安全問題。

 

規(guī)模數(shù)量龐大,位置分布全球各地、各角落,需聯(lián)網(wǎng)且注重實時性,還涵蓋不同的制造商和協(xié)議、數(shù)據(jù)共享等等。

 

這些都使的物聯(lián)網(wǎng)設備管理變得非常復雜、困難,且與管理網(wǎng)絡內(nèi)用戶行為的訪問協(xié)議不兼容,并帶來各種安全問題。例如,急速擴大的網(wǎng)絡攻擊面、更多的潛在漏洞、隱私安全問題等。

 

據(jù)Forrester Research在《2023年物聯(lián)網(wǎng)安全狀況》報告調(diào)查顯示:物聯(lián)網(wǎng)設備是報告最多的外部攻擊目標,比移動設備或計算機受到的攻擊更多。物聯(lián)網(wǎng)設備每天在全球范圍內(nèi)產(chǎn)生多達36億起安全事件。

 

這就要求企業(yè)亟需為設備身份制定單獨的管理策略,即物聯(lián)網(wǎng)設備身份。

 

06

構(gòu)建以“身份優(yōu)先”的零信任架構(gòu)

 

零信任是實現(xiàn)網(wǎng)絡和安全架構(gòu)現(xiàn)代化的關鍵部分。2024年,安全牛最新調(diào)研報告顯示:86.3%的受訪企業(yè)表示已經(jīng)開始或計劃開展零信任安全建設。

 

顯然,零信任已從“前沿概念”轉(zhuǎn)變?yōu)?ldquo;必須實踐”,是企業(yè)應對新的網(wǎng)絡安全挑戰(zhàn)的首選戰(zhàn)略。而要想實現(xiàn)零信任建設,先進且集成良好的IAM系統(tǒng)是基礎。

 

在采用零信任策略時,企業(yè)必須升級和集成 IAM 解決方案,構(gòu)建以“身份優(yōu)先”的零信任安全架構(gòu),以便在基礎架構(gòu)的任何位置提供持續(xù)的基于風險的身份驗證。

 

這可以幫助企業(yè)在混合環(huán)境中實現(xiàn)無縫身份驗證、授權(quán)和安全訪問,增強企業(yè)整體安全態(tài)勢并為零信任奠定基礎。

 

 

 

以上6大建議只是企業(yè)IAM建設大框架中的一小部分參考,隨著技術的持續(xù)發(fā)展與進步,諸如ITDR、區(qū)塊鏈等系列新技術的成熟也將隨之應用到企業(yè)IAM建設中。

 

而細分到各個領域和安全場景中,還會發(fā)現(xiàn)企業(yè)在諸如賬號、權(quán)限、審計等各維度也普遍存在諸多問題。這些在派拉軟件相應場景解決方案文章中也曾提過并給出相應方案。

 

也希望以上6大IAM建設建議,可以給企業(yè)IAM建設與規(guī)劃帶來些許參考與啟發(fā)。