回顧2024年�,身份與訪問控制安全仍是企業(yè)安全重災(zāi)區(qū)。
據(jù)Verizon《2024年數(shù)據(jù)泄露調(diào)查報(bào)告》顯示����,約68%的安全事件涉及非惡意的人為因素。一半的數(shù)據(jù)泄露歸因于糟糕的身份和訪問管理��。竊取憑證依然是數(shù)據(jù)泄露中最常見的攻擊手段��。
此外��,生成式人工智能技術(shù)的快速普及也帶來了更加復(fù)雜的身份與訪問風(fēng)險(xiǎn)......面對(duì)身份威脅的持續(xù)演變����,防御措施也在不斷變化。
那么�,2025年身份安全將會(huì)呈現(xiàn)出哪些發(fā)展趨勢(shì)?
過去三十年����,身份訪問管理通常被視為IT和網(wǎng)絡(luò)組織的一項(xiàng)資源消耗�。因?yàn)殡S著業(yè)務(wù)增長(zhǎng),企業(yè)需要增加管理員�,增加了運(yùn)營(yíng)成本,卻未帶來顯著的業(yè)務(wù)價(jià)值�。
然而��,如今��,由于大多數(shù)網(wǎng)絡(luò)安全事件都涉及憑證泄露�,企業(yè)面臨的內(nèi)部威脅也日益嚴(yán)峻�。企業(yè)必須采用先進(jìn)的技術(shù)和策略,重點(diǎn)加強(qiáng)以身份為核心的防御與監(jiān)測(cè)�����。身份已被企業(yè)視為核心安全功能��,而不僅是IT功能�����。
根據(jù)身份定義安全聯(lián)盟(IDSA)發(fā)布的《2024年身份安全趨勢(shì)報(bào)告》�,73%的受訪者表示,有效管理和保護(hù)數(shù)字身份是其三大優(yōu)先事項(xiàng)之一�,高于2023年的61%。
此外����,過去主要由嚴(yán)格法規(guī)推動(dòng)的身份治理和管理需求,如今逐漸轉(zhuǎn)向價(jià)值驅(qū)動(dòng)��。企業(yè)不僅需要提高合規(guī)性和安全性,還要提高效率�。
通過簡(jiǎn)化操作、減少手動(dòng)工作量���,企業(yè)能為業(yè)務(wù)帶來更大的附加價(jià)值����。人工智能將在簡(jiǎn)化用戶交互中發(fā)揮關(guān)鍵作用����,提升使用率,進(jìn)而改善質(zhì)量和合規(guī)性�。
2024年,基于身份的攻擊持續(xù)增加——75%的初始訪問攻擊沒有使用惡意軟件��。隨著攻擊者越來越擅長(zhǎng)利用被盜憑證�,他們將更加聚焦于企業(yè)架構(gòu)中的互聯(lián)域——身份、云�����、端點(diǎn)����、數(shù)據(jù)和AI模型。
這些攻擊通常難以被察覺�����,因?yàn)樗鼈冊(cè)诟鱾€(gè)領(lǐng)域留下的痕跡最小�����,看起來像是孤立事件���,難以拼湊成完整的攻擊模式�����。但一旦拼接起來����,便形成了一張完整的攻擊圖譜�����,可能給企業(yè)帶來致命打擊���。
因此�,到2025年,企業(yè)必須整合全域數(shù)字資產(chǎn)(包括人員��、設(shè)備���、API�����、內(nèi)嵌賬號(hào)���、機(jī)器等)的身份統(tǒng)一可見性,實(shí)施零信任原則��,進(jìn)行跨域威脅搜尋���,及時(shí)發(fā)現(xiàn)并阻斷異常行為�����,防止漏洞發(fā)生�����。
AI將進(jìn)一步應(yīng)用于IAM系統(tǒng)
人工智能有潛力成為安全團(tuán)隊(duì)的得力助手���,接管一些繁瑣的IAM任務(wù),如權(quán)限審核等���。AI的應(yīng)用能夠加快這些任務(wù)的完成速度和頻率�����,提高效率���,確保用戶權(quán)限得當(dāng)。
例如��,通過與流行的AI框架集成�����,企業(yè)能夠持續(xù)監(jiān)控和分析用戶行為�,實(shí)時(shí)調(diào)整訪問控制。AI增強(qiáng)的IAM系統(tǒng)能夠檢測(cè)異常�����,并根據(jù)實(shí)時(shí)上下文動(dòng)態(tài)調(diào)整權(quán)限,降低未經(jīng)授權(quán)訪問的風(fēng)險(xiǎn)��。
這一轉(zhuǎn)變將使身份管理更加靈活���,能夠及時(shí)響應(yīng)用戶行為和需求的變化�,同時(shí)提供更加嚴(yán)密的安全管控���。
然而��,隨著AI技術(shù)逐步融入企業(yè)的業(yè)務(wù)和安全運(yùn)營(yíng)�,身份安全漏洞也在呈指數(shù)級(jí)增長(zhǎng)����。
以Wiz CEO事件為例,攻擊者利用AI技術(shù)完美復(fù)制高管的聲音�,通過授權(quán)欺詐性轉(zhuǎn)賬,繞過傳統(tǒng)安全措施��。這只是AI增強(qiáng)網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)釣魚的冰山一角��。
如果企業(yè)沒有實(shí)施全面的監(jiān)控機(jī)制�,也沒有強(qiáng)大的可見性解決方案來實(shí)時(shí)檢測(cè)異常活動(dòng)——如不尋常的路線更新、配置更改或可疑的賬戶活動(dòng)——那么組織就會(huì)處于極大風(fēng)險(xiǎn)中�����。
這不是一個(gè)“是否發(fā)生”的問題�����,更是一個(gè)“何時(shí)發(fā)生”的問題���。
IAM廠商在應(yīng)用AI模型時(shí),應(yīng)定期使用不同數(shù)據(jù)集審查和訓(xùn)練AI大模型�,增強(qiáng)AI模型的可解釋性和可監(jiān)控性,并結(jié)合MFA等傳統(tǒng)安全措施���,打造多層次的身份與訪問控制防御體系�����。
無密碼技術(shù)勢(shì)頭繼續(xù)加速
關(guān)于無密碼認(rèn)證的討論已持續(xù)多年�,近年來��,包括微軟在內(nèi)的多家公司紛紛宣布將徹底消除密碼����,轉(zhuǎn)向更安全的身份驗(yàn)證方式�����。
越來越多的企業(yè)認(rèn)識(shí)到�����,無密碼身份驗(yàn)證(如生物識(shí)別�、硬件安全密鑰等)比傳統(tǒng)密碼更加安全且用戶友好��。
據(jù)調(diào)查�����,65%的企業(yè)在2024年集成了生物識(shí)別身份驗(yàn)證����,顯示出無密碼方案在各行業(yè)中的逐步普及。
預(yù)計(jì)到2025年�,無密碼認(rèn)證解決方案(如生物識(shí)別和硬件安全密鑰)的采用率將繼續(xù)增加,并結(jié)合AI驅(qū)動(dòng)的威脅檢測(cè)���,進(jìn)一步簡(jiǎn)化用戶體驗(yàn)并提升安全性��。
這樣��,企業(yè)能夠在不增加用戶體驗(yàn)?zāi)Σ恋那闆r下��,實(shí)施更加細(xì)致的跨設(shè)備安全策略控制���。
B2B身份����,尤其是供應(yīng)鏈訪問安全
隨著企業(yè)與第三方合作的增多——從供應(yīng)商到承包商再到客戶——第三方身份的數(shù)量已經(jīng)超過了內(nèi)部員工身份的數(shù)量���,比例高達(dá)3:1。同時(shí)�,供應(yīng)鏈攻擊事件頻發(fā),許多案例都源于跨客戶的第三方攻擊�。
例如,2022年��,供應(yīng)商“小島沖壓工業(yè)株式會(huì)社”遭遇網(wǎng)絡(luò)攻擊�,導(dǎo)致豐田在日本國(guó)內(nèi)14家工廠全部停工。2024年��,供應(yīng)鏈攻擊事件再次發(fā)生�����,攻擊者利用供應(yīng)鏈中的硬件或軟件漏洞實(shí)施破壞和襲擊活動(dòng)......
因此,2025年�����,企業(yè)將更加重視B2B身份管理��,特別是在數(shù)字化流程中加強(qiáng)對(duì)外部身份的監(jiān)督�。細(xì)粒度的訪問管理、對(duì)特權(quán)賬戶的可見性�、加強(qiáng)對(duì)第三方工具與企業(yè)系統(tǒng)之間交互的審查,將是保護(hù)B2B身份安全的關(guān)鍵措施�����。
非人類身份成為IAM領(lǐng)域關(guān)注焦點(diǎn)
Gartner分析師指出:“許多違規(guī)行為并非源于人類賬戶被盜���,而是機(jī)器賬戶被盜��。”
多年來�,人類身份管理一直是關(guān)注重點(diǎn)��,但非人類身份(如設(shè)備�、虛擬機(jī)���、工作負(fù)載、API��、應(yīng)用程序���、內(nèi)嵌賬號(hào)等)的快速增長(zhǎng)帶來了新的安全漏洞�����。
據(jù)統(tǒng)計(jì)�����,每個(gè)用戶賬戶背后大約有40個(gè)非人類賬戶。這些賬戶通常使用長(zhǎng)期不變的訪問密鑰�,權(quán)限管理缺乏有效監(jiān)管,成為企業(yè)潛在的攻擊面����。
為了應(yīng)對(duì)這些風(fēng)險(xiǎn),2025年���,非人類身份將成為IAM領(lǐng)域的主流話題���,成為一項(xiàng)關(guān)鍵的安全挑戰(zhàn)���。新一代IAM工具將提供對(duì)機(jī)器身份的全面可見性,包括大規(guī)模創(chuàng)建�、使用和撤銷非人類身份的能力。
例如�,派拉軟件最近推出的PAM平臺(tái),便增加了對(duì)內(nèi)嵌賬號(hào)的全生命周期管理���。
過去一年�����,云安全事件增加了75%�����,保護(hù)云環(huán)境的重要性比以往任何時(shí)候都更為緊迫���。然而���,僅靠云保護(hù)工具已不足以應(yīng)對(duì)當(dāng)前的威脅���。
攻擊者越來越多地在云平臺(tái)和本地環(huán)境之間橫向移動(dòng),利用混合環(huán)境的復(fù)雜性和斷開連接的單點(diǎn)產(chǎn)品造成的安全漏洞��。
為了在2025年重新獲得控制權(quán)�����,企業(yè)必須通過一個(gè)統(tǒng)一的控制臺(tái)��,全面了解公有云�、私有云、本地網(wǎng)絡(luò)和API的安全狀況�����。通過統(tǒng)一集成的身份���、API、數(shù)據(jù)安全管理控制平臺(tái)���,有效防范復(fù)雜威脅�����。
以上這些趨勢(shì)表明:2025年��,企業(yè)不僅要應(yīng)對(duì)日益復(fù)雜的攻擊手段�����,還需為更高效����、智能的身份與訪問管理策略做好準(zhǔn)備。
面對(duì)這些挑戰(zhàn)��,身份安全不再是單純的IT任務(wù)���,而是企業(yè)數(shù)字信任�����、業(yè)務(wù)彈性和創(chuàng)新的核心要素�����。
員工身份與訪問控制eIAM
客戶身份與訪問控制cIAM
云身份治理IDaaS
智能身份認(rèn)證IDA
細(xì)粒度權(quán)限管理xBAC
API安全網(wǎng)關(guān)API-SGW
API安全監(jiān)測(cè)API-SD
API管理平臺(tái)APIM
ESB 企業(yè)服務(wù)總線
特權(quán)訪問管理PAM
數(shù)據(jù)庫訪問管理CQ
數(shù)據(jù)治理平臺(tái)PDMP
一體化零信任
運(yùn)維安全
數(shù)據(jù)安全治理
遠(yuǎn)程辦公安全
國(guó)產(chǎn)化替代
企業(yè)合規(guī)管控
數(shù)字化集成平臺(tái)
數(shù)字化員工門戶
.png)
熱門文章
7*24小時(shí)服務(wù)
專屬安全顧問
Gartner推薦
IDC創(chuàng)新者
權(quán)威安全認(rèn)證
滬公網(wǎng)安備 31011502012922號(hào)