“零信任”时代数字身份管理路在何方?
星期三, 十二月 25, 2019
零信任时代数字身份管理面临何种挑战?优秀的数字身份管理有哪些特征?安全主管如何推行全面数字身份管理方案?
随着传统数字壁垒的消失和消费者期待的上升,企业一时难以找到有效的数字身份管理解决方案。成功的诀窍在于:同等对待企业与消费者身份、探索托管服务和集成新技术非常重要。
从蜡封和邮票到护照和指纹,再到生物特征识别和行为分析,人类一直在找寻可靠的方法,来验证对方真实身份和是否可信。在当今对数据泄露、欺诈和隐私越来越关注的时代,信任至为重要。而在我们的数字社会里,信任是通过数字身份确定的。所谓数字身份,即通过独特的性质和使用模式识别个人、物体或组织的一系列数据。
对公司的成功而言,有效数字身份实践比以往来得更为重要。数字身份实践是取信客户的第一步,是保护敏感数据、驱动安全交易和改进业务流程的关键,能够推动通过社交媒体与消费者互动的新方式,提升企业内部协作,自动化并简化网络安全操作。
然而,公司面临的企业与消费者身份管理挑战越来越多。原因之一就是传统数字壁垒的坍塌,公司内部与外部的界限就此模糊。这种转变加之用户期待改变、新兴技术涌现、云服务转型、业务需求增长和隐私监管发展,引发了数字身份危机。
数字壁垒坍塌、用户期待改变和新兴技术涌现,引发了数字身份危机。
企业应重新审视并快速改进其数字身份策略——对内为企业,对外为消费者。只有全面审视数字身份管理,并以同样的理念处理企业和消费者身份,企业才能获得想要的结果。本文即为您呈现有助提升公司数字身份实践的统一策略。
有很多新兴趋势和挑战正在塑造企业和消费者数字身份的发展与管理。以下几个趋势与挑战最为重要:
数字身份管理可能会被更紧急的问题所盖过
企业并非认为数字身份管理不重要,他们可能是在处理其他更紧迫的网络安全问题。或者,他们可能需要展现出网络安全项目的即时进展和投资回报。但是,实现数字身份项目需要耐心,这更像是一场马拉松而非百米冲刺。该挑战以企业花在数字身份项目上的时间与金钱的方式呈现。德勤对负责网络安全的 500 名首席级高管做了问卷调查,发布了《2019 网络未来调查》。调查中,超过半数 (54%) 的受访者称花在身份解决方案上的网络预算不高于 10%,95% 的受访者表示不高于 20%。另外,88% 的受访者花在身份与访问管理上的时间不多于 10%。
大多数网络安全主管对自己的系统持保守态度,不愿意让其他人来管理。德勤《2019 网络未来调查》显示,获得、实现和持续交付身份功能的最主要方式,是内部实施,36% 的受访者都选择了这个选项。这一现象在首席信息安全官 (CISO) 身上体现得尤为真实,60% 的受访 CISO 都倾向于内部解决方案。仅有 24% 的受访者选择了基于云的身份即服务 (IDaaS) 实现,32% 外包身份与访问管理给第三方。
为什么不愿意呢?一位来自主流电信公司的 CISO 解释称:
我有很多使用了即便没有几十年也有挺多年的老旧应用,还有大量内部自研应用,没有哪家云供应商能在不修改自身云基础设施的情况下轻松集成。
这种对集成、灵活性和获得专业支持的担心,以及对可用功能的信心缺失,都是可以理解的,可能会拖住企业转向 IDaaS 的脚步。
愈趋严格的全球数据隐私监管带来了合规挑战。世界各国政府都在探索和实现新的立法与监管规定,想要保护个人数据隐私和数字身份。企业高管和网络安全主管必须应付各种强制规定,比如欧盟的《通用数据保护条例》(GDPR)、美国《加州消费者隐私法案》(CCPA) 和加拿大更新的《个人信息保护与电子文件法案》(PIPEDA)。其他需要遵守的指南还包括来自美国国家标准与技术研究所 (NIST) 的《网络安全框架》。因为要对自身消费者更加全面了解,才能遵从法律与审计相关规定,网络安全主管与公司高管身上的负担更加重了。
尽管面临诸多挑战,数字身份管理方法仍旧开始快速改变。企业的环境越来越以云为中心,转向托管服务与基于消费的模式也是大势所趋。德勤 2018 年的调查,《一切即服务加速敏捷性》,发现了这一转变的证据。71% 的企业报告称,X 即服务 (XaaS) 如今占据了自家企业 IT 的半壁江山(其他的是不基于服务的传统 IT)。
有些公司将自己的身份技术栈挪到了云端,其他公司则引入身份即服务。
作为这种转变的一部分,有些公司将自己的身份技术栈挪到了云端,其他公司则引入身份即服务。Gartner 表示,到 2022 年,全球 40% 的中型和大型企业将使用身份与访问管理即服务 (IDaaS) 功能,满足自身绝大多数身份与访问管理 (IAM) 需求,而当下这么做的企业仅占 5%。原因之一就是云供应商和第三方云运营商拥有的功能可能比公司内部的高级得多,令公司不需要再对软件和基础设施做更新与升级。而且,很多公司面临网络安全技术人才短缺的情况,采用托管服务有助于免除吸引、培训和留住这些人才的需求。
很多企业还在实验和集成许多新技术,用以改善自身数字身份能力。他们摒弃简单的登录和密码,不断引入高级身份验证方法,比如将实体生物特征识别和行为监视用作数字身份管理标准操作。在当今 “零信任” 环境中,企业持续监视和验证用户身份——基于用户的角色、所访问的资产和访问时间与地点,不断确定他们的风险级别。为方便做到这一点,企业逐渐转向人工智能 (AI) 技术,以此自动化检测异常和识别不符合特定模式的行为。德勤《2019 网络未来调查》显示,20% 的受访者将 AI 驱动的威胁识别与评估作为数字身份管理的革命性功能。
当今 “零信任” 环境中,公司需持续监视和验证用户身份,确定他们的风险级别。
不过,对于 AI 在身份管理中的使用和成熟度,受访者观点不一。美国网络安全与风险咨询公司 National Cybersecurity Society 的首席执行官 Alex Beigelman 表示的对 AI 表示乐观。
AI 或机器学习将成为与风险评估相关的功能,不仅仅识别用户,还识别设备与设备健康,评估是否被黑。必须不止 ID 和身份验证。而从更讲求实际的方面出发,真正的东西还处在早期发展阶段。虽然在用,但仅以有限的方式,且只有少数具备足够资源的公司才能尝试和承担一些风险。
重新审视自身数字身份管理策略时,企业应思考消费者和企业身份管理两方面的挑战,了解自己可以在创建周全方法上做些什么。这两方面的业务需求、技术方法和面临的难点都不一样,但有些明智的基本操作是双方都适用的。我们不妨先看看各自的独特挑战:
随着消费者与企业之间数字互动深度与复杂性的增加,投向消费者身份管理的关注度也相应增加。企业想要确保登录的人是所声称的身份,且能够拥有良好的使用体验。个中原因很多,包括:
在企业内部,围绕消费者身份管理的复杂性也增加了。职责和所有权常分散在多名高管、团队(市场营销、销售、网络安全等等)和 IT 系统之间,令大型项目协调变得十分困难。德勤《2019网络未来调查》显示,企业的目光投向面向客户和面向供应商的多个不同身份管理计划中。关注度最高的领域是消费者身份与访问管理 (28%)、包含 MFA 的高级身份验证 (27%) 和 GDPR 实现/隐私合规 (25%)。
随着业务步伐加快和转型措施需求的倍增,公司不应忽视企业身份管理。企业面临的身份相关最大问题,是权限滥用与凭证被盗。恶意黑客和网络罪犯可以由此入侵网络。Centrify 最近委托的一份调查囊括了美国和英国的 1,000 名 IT 决策者。调查显示,公司曾被入侵过的受访者中,74% 承认涉及特权账户访问。
除了外部威胁,企业还面临许多内部的企业身份管理问题,包括:
明显的网络安全人才短缺仍在继续,且数字身份通常不能获得太多关注与预算支出,所以,必要的资源可能非常稀缺。
网络安全团队需应对老旧 IT 环境和对迁移至云优先架构的抗拒情绪。很多公司都没构建基于 API 的协同现代系统,无法与应用便捷集成。
对网络安全应能辅助数字转型和创新的期待也在上升。
正如德勤《2019 网络未来调查》中揭示的,顶级企业身份网络安全项目是高级身份验证和特权访问管理 (PAM)——二者各自为 19% 的受访者所选择。
为完全解决这些问题,企业应选用融合了企业和消费用户共有特性的数字身份管理系统。
考虑到企业和消费者身份的深度关联,公司应以同样协调的方法对待二者,解锁对企业和对消费者的种种好处。这不再是二选一的问题——强大全面的数字身份管理方法有助于驱动业务发展,减轻网络安全团队的负担,并为消费者和公司员工提供优越的体验。
身处无处不网络的时代,身份管理的运营环境将变得越来越复杂,需满足更高的业务期待,集成新技术,遵从多个数据隐私管理规定,还需管理不断增加的人和设备。为把握复杂环境中的正确方向,网络安全主管可以做好下列五件事,以便将数字身份管理策略、过程和系统更好地集成进业务中:
01、追求全面的身份管理方法
公平对待每个人每件事——无论是消费者还是员工,是一个人、一台设备,还是一个应用程序。身份生态系统中但凡漏掉了哪个元素,都会影响到公司创新和运营的速度。找寻企业和消费者身份管理系统相得益彰的机会,找到使用传统功能的新方式。
02、帮助整合、协同和贴合职责
身份、数据隐私和监管合规愈加重合。这意味着技术、网络安全、法务和业务主管都是有效身份管理的利益相关者,都有各自事关用户体验、系统可用性、弹性、风险管理和消费者参与度的困难和愿景。负责身份管理的人处在知会和影响商讨与决策的特殊位置上,能够确保公司更快适应。
03、倡导结果导向的方法
为推动创新工作和数字转型,不妨将身份作为整个公司的一项服务。识别身份管理能有所帮助的业务成果,比如提高消费者保留度或提升 HR 过程效率。为克服资源限制,支持专注这些更大成果的大型革新性项目。
04、尝试托管服务
考虑到资源和人才稀缺与网络安全问题,找人帮忙解决业务需求。如果公司无法投入所需的资源到身份管理中,尝试三方托管服务,无论是现场还是云端实现的。他们可以提供最新的技术和功能,增加自动化和面向未来的身份系统。这种转变或许不适合所有人,可能还会有对放弃一些控制的抵触情绪,但不要漠视这一选项。要解决顾虑,可以考虑采取阶段化的方式。
05、准备运用 AI
机器学习等 AI 技术正融入多种身份管理解决方案——从自动化账户监管到欺诈检测。探索采纳 AI 技术对公司数字身份功能有何意义。您想要什么结果——是自动化或优化现有过程,还是创建全新的身份验证和风险评估功能?这将会对您网络安全团队的工作方式产生怎样的影响?需要哪种类型的培训?
考虑到上述操作的全方位数字身份策略,能够为消费者、员工、安全团队和业务主管解锁重大利益。更重要的是,统一的方法有助于建立信任,确保隐私和安全,从而防止数字身份危机。数字身份系统曾经需要在安全和便利上做选择,但现在您可同时拥有二者。仔细斟酌您的系统设计方法,以便保护资产和防止为员工和消费者带来太大负担。着手数字身份转型的时候,不妨看看以上建议。
每家公司都面临不同的数字身份挑战,拥有独特的身份管理方法。比如说,科技公司的数字身份策略和系统就非常灵活,可以适应快速变化的市场。媒体和娱乐公司常面对大量瞬时客户。电信公司的系统非常老旧,难以更新或替换,且不能方便地与现代身份管理解决方案集成。但有一些共同的因素,是这些公司在强化自身数字身份管理功能的时候应该铭记在心的。此处列举其中一些共同因素:
与其他行业相比,这些行业一直以来受到的监管相对较少。这意味着,在数字身份问题上,他们未必需要做其他公司必须做的一些事情。如果做了,那是因为这些都是为客户和员工好的正确的事,有助于维持信任和安全。监管压力的缺乏可能会拖慢数字身份转型。随着 GDPR 和 CCPA 等新规定的出现,这一情况开始改变,数字身份经验较少的行业也需要改变它们的方法了。
这些行业拥有高水平的技术专业知识和经验。很多科技、传媒和电信公司都雇有高级工程师和技术人员,可能觉得自己能够应付遭遇到的任何数字身份问题;能够从零构建自身所需,然后推进到下一个问题。然而,恰当的数字身份方法综合了很多复杂系统,需要专业技术和持续的警醒。公司应专注自身核心目标所需高端技术人才,利用现成的成熟身份解决方案。
一旦出错,这些行业面临的潜在后果更为严重。这些公司创建的很多产品和服务是其他行业的底层支撑。此类公司一旦因管理不善的凭证而发生数据泄露,公众和市场反应相对于零售商或工业公司发生同类事件要大得多。这就令全面的数字身份策略和方法变得更为重要了。
本文摘选自德勤《企业与消费者数字身份管理战略》:
相关阅读