轉載 | 身份管理的12個趨勢

時間 2020-07-06

標籤轉載身份管理趨勢简体版

原文原文鏈接

在IAM公司的大力宣傳下，網絡安全市場上已經造成了自成體系的「身份」細分市場。html

剛結束不久的RSA大會上或許已現端倪：大量討論圍繞身份展開，不少公司將本身的產品往身份與訪問管理(IAM)上靠，展位上掛滿「身份治理」、「身份上下文」、「特權訪問管理」、「隱私」、「行爲生物特徵識別」、「生物特徵平臺」、「以人爲中心的安全」等等標籤。前端

若是網絡安全市場是個星球，每一個細分市場佔據其中一塊，那麼終端安全就是廣袤的大陸，威脅情報則是羣島；IAM又應該落到哪一個位置呢？git

或許哪裏都不適合，IAM自成體系。github

用戶的問題在於互動性。企業身份管理工做之因此難作，是由於用戶的身份和行爲多變，入職、離職、升遷、訪問敏感文件系統、共享機密數據、發送帶祕密信息的郵件、訪問沒有權限查看的數據、嘗試本不應作的事情等等。身份管理上不存在一勞永逸這碼事，想設置一次就不用再管是不可行的。數據庫

但幸運的是，IAM正變得愈來愈容易，Sailpoint和Saviynt之類身份治理工具及CyberArk等特權訪問管理工具不只可控，價格也是企業負擔得起的。segmentfault

這一切來得正好。IAM需求一直都很高，但最近的數據泄露(Equifax)、新合規壓力(GDPR)和隱私問題(Cambridge Analytica/Facebook)進一步推高了對身份安全與治理的重壓。後端

Facebook的安全團隊超棒，但其監管很糟。Equifax則是完全的安全悲劇。

到底有哪些力量在塑造身份管理小世界的地形地貌呢？不妨看看下列12個趨勢：

1. KBA身份驗證已死

Equifax數據泄露以後，傳統基於知識的身份驗證(KBA)系統就已分崩離析。爲何要讓客戶經過確認其前僱主、住址或母親生日的方式來驗證客戶身份呢？這些東西攻擊者也全都知道啊，並且沒準兒知道得更多，連用戶訂閱了哪些雜誌，後院有沒有泳池都知道。瀏覽器

2. GDPR將身份迴歸我的手中

公司企業愈來愈慣於將數據庫中的東西當成本身的全部物，幾乎毫無顧忌地收集、存儲、傳輸、買賣用戶的我的可識別信息(PII)。GDPR改變了這一切，提升了企業對身份治理的需求。安全

GDPR要求企業收集或共享我的信息時必須得到用戶的明確許可——自動勾選的贊成框可不算明確許可，並且我的還應能夠隨時撤銷該許可。我的擁有「被遺忘的權力」。另外，不管數據流向何方，身份信息的使用記錄都必須留存。網絡

GDPR適用於歐盟公民的任何數據，不管該公民及其數據在哪兒，於是其影響範圍是全世界，且企業的客戶和員工都適用——即涉及公司內部和外部身份的治理與安全。

GDPR將於今年5月25日正式生效(自GDPR誕生的2年寬限期後)，屆時將會對違反GDPR的行爲處以最高2000萬歐元或年營業收入4%的罰款。

GDPR影響巨大，像PCI同樣會推進行業發展，但又與PCI不一樣，影響的是全部行業。或許，歐盟以後，北美地區也會有本身的GDPR。

3. 保護隱私的身份驗證需求上升

人們須要既能護住隱私又能驗明自身的方法。

老用例再現的例子不是沒有。好比說，酒吧保安能不能不用看身份證就知道客人是否到了法定飲酒年齡？而政府機構又可否在不知道用戶飲酒時間和位置的狀況下提供該驗證信息？

更重要的是，社交媒體和新網站點能不能用此類身份驗證方法抵禦可擾亂大選的虛假信息行動？投票網站可以驗證用戶是註冊選民仍是某國公民嗎？

技術上而言，這些東西都是觸手可及的。智能手機就能存儲私鑰。目前的限制，在於監管。

4. 身份監管延伸至雲端

監管的落腳點在於誰有權限訪問什麼東西，誰應該有權限訪問什麼東西，以及這些權限都用對了沒有。大多數客戶距離前兩條都還差得很遠，也就不用擔憂第三條了。

SailPoint和其餘身份治理及管理(IGA)解決方案提供商致力於在前端爲安全人員帶來更加用戶友好的雲管理工具。而在後端，各類雲服務卻讓身份治理問題更加複雜，用戶不得不愈來愈多的地方管理愈來愈多的帳戶，更別說本來就有的現場資源身份管理任務了。

Saviynt是專爲雲環境設計的IGA解決方案，嘗試 IGA 2.0 的急先鋒。其餘的，好比Sailpoint和 One Identity，則經過雲遷移爲客戶提供支持。

工業控制系統環境中的預置軟件尾大不掉，將來幾年中雲會是個至關複雜的因素，會讓該環境下的身份治理更加麻煩。

5. 身份即服務演變

現在，用戶須要能在任何地點辦公的自由，理解他們須要作什麼、須要在哪兒作、須要用到什麼設備，才能作好企業訪問控制。

Cloud Identity 公司的服務列表很長，其單點登陸支持 SAML 2.0 和OpenID，可與數百個外部應用協做，包括Salesforce、SAP SuccessFactors 和Box及Docs或Drive之類 G Suite 應用。至於使用谷歌雲計算平臺資源的公司，Cloud Identity 可爲其額外提供跨現場及雲基礎設施的混合環境用戶及組管理訪問控制。

Cloud Identity 爲安卓和iOS設計了健壯的移動設備管理，像是用戶帳戶清除和強制密碼之類功能都是自動啓用的。管理員可在集成控制檯上實現屏幕鎖定、設備查找、兩步驗證和防網絡釣魚安全密鑰，還可管理Chrome瀏覽器使用，得到可疑登陸等行爲的安全報告和分析，用戶活動報告與審計，以及登陸第三方App、站點及擴展。

6. 生物特徵識別讓安全變得簡單易行

眼下智能手機和其餘移動設備基本都默認內置了多種生物特徵識別身份驗證方法。加上新的WebAuthn標準，在線生物特徵安全便做爲強在線身份驗證的低摩擦方法而更加實用了。WebAuthn標準於4月10日由FIDO聯盟和W3C聯合發佈，是個至關夢幻的標準，能使在線服務提供商經過Web瀏覽器提供FIDO身份驗證。谷歌、Mozilla、微軟和Opera都加入了。

基於FIDO的生物特徵識別身份驗證能強化Web訪問安全，由於它爲每一個站點都採用惟一的加密憑證，消除了某一站點的被盜口令可在其餘站點使用的風險。

生物特徵識別設備的大量涌現也給了集成商興起的機會。Veridium是ForgeRock和 Ping Identity 之類主流IAM公司的合做商，建立了一個橫向的生物特徵識別平臺，可供這些IAM公司的客戶將任意生物特徵識別身份驗證方法插入其中，不管是指紋、人臉識別仍是Veridium本身的四指非觸控行爲生物特徵識別。

堅持只用一種生物特徵進行身份驗證是愚蠢的，身份管理理應簡單易行。

然而，Veridium最近的一次調查中，34%的受訪者依然堅信只用口令就足以保護數據。

或許直到咱們的孫輩，口令都還健在。

7. 提權攻擊推進特權訪問管理(PAM)

提權攻擊已成針對性攻擊的必備要素，甚至不那麼針對性的攻擊也常使用提權方法。解決這一問題的方法之一，是嚴密控制特權內部人的訪問及活動，畢竟，一旦有了憑證，攻擊者基本上就是個內部人了。

PAM是專爲管理特權用戶的訪問憑證而設的。與CyberArk之類PAM解決方案一塊兒進入市場的，還有像OnionID和Remediant這樣的新興雲原生PAM解決方案。

CyberArk還試圖限制被泄管理員憑證問題的蔓延。該公司去年以4200萬美圓併購了Conjur，只爲幫助開發人員在沒有硬編碼憑證和SSH密鑰的狀況下快速推動應用程序。

8. 非結構化數據問題致使IAM與數據治理和UEBA重疊

Varonis最近的研究發現，1/3的內部用戶都是「幽靈用戶」——有效卻不活躍，30%的公司至少有1000個敏感文件夾對全部員工開放。

IAM行業很大程度上關注的是對應用的訪問，但文件系統暴露面如此之大，加上Gartner預測到2022年將有80%的數據都是非結構化的，重點放在應用訪問上確定不是什麼足夠好的作法。做爲身份治理公司，SailPoint旨在解決這一問題，也就與Varonis之類數據安全/治理公司和Forcepoint這種「以人爲中心」的實體行爲分析提供商產生了重合。

你想要一張統一的視圖、一個記錄系統、一張神奇的電子表格，但用戶哪兒哪兒都有ID，用戶的權限、權利，他但願的狀態和實際的狀態都須要同步起來。

9. 風險自適應的身份與行爲生物特徵識別持續驗證

愈來愈多的公司使用行爲生物特徵識別來解決合法登陸後發生的攻擊問題。BioCatch之類的公司應用該技術防止會話劫持，對抗在線欺詐。其餘公司用行爲生物特徵來檢測內部用戶的異常行爲，阻抗攻擊者在內部網絡上的橫向移動。

二級感染的證據顯示，事件響應這麼多年來都只是個擺設，沒什麼用處。動態自適應的身份驗證纔是解決問題的答案。用戶設備和網絡必需要求一些不太尋常的響應來從生物學上識別出用戶身份，好比拍張挖鼻孔的自拍……

自適應身份安全產品的例子能夠參考 ID Data Web，該產品使用多個源驗證給定身份的準確性，而後提供持續的身份驗證——在檢測到風險的時候彈出驗證挑戰並要求用戶響應。

BioCatch創建的用戶資料中包含用戶生物特徵行爲的數據，但並不是用戶身份。BioCatch能檢測出異常行爲，而後在欺詐轉帳發生前叫停殭屍主機或攻擊者。

這些風險自適應的「步進式」身份驗證工具也被吹捧爲減小摩擦的方法——只要沒檢測到風險，用戶就根本不用通過登陸過程。

「零登陸」的目標，就是用行爲生物特徵識別自動拾取用戶的獨特行爲特徵並進行身份驗證，讓用戶僅憑本身抓握手機的獨特方式而無需掃描面部或按壓手指便可自動經過驗證。

10. IoT擴展機器身份邊界

身份管理趕上IoT可能會遭遇滑鐵盧。

物聯網極大地擴張了需管理的機器身份數量，並讓普通消費者也有了設置、管理和保護這些機器身份並監管機器間相互通訊方式的責任。隨着愈來愈多的設備接入互聯網，以用戶智能手機爲中心向周邊輻射，一部手機解鎖全部設備的方式最終將再也沒法擴展。

身份管理公司在大步邁進，但他們正在解決的是昨天的問題，至今還沒有解決完畢。

計算機、機器人和IoT設備都須要訪問計算和數據資源，都必須納入身份治理的範圍內。

11. 依託區塊鏈的數字身份

區塊鏈這種分佈式帳本平臺被普遍用於提供數字身份。商業方面，基於IBM區塊鏈的SecureKey是加拿大第一家專爲受監管行業而設的數字身份網絡。Shocard則是一家基於區塊鏈的企業級IAM和單點登陸(SSO)解決方案。

Evernym沒有創建在區塊鏈基礎上，而是創建在開源分佈式帳本平臺Sovrin上的信用社數字身份平臺。

埃森哲和微軟聯手爲聯合國建立了基於區塊鏈的身份基礎設施，幫助聯合國爲全世界100多萬名沒有官方身份證件的人提供合法身份證實，好比難民。

RSA大會上，美國國土安所有科學與技術部展現了Verified.Me——用區塊鏈將登陸功能與屬性交付分開的身份管理工具。

12. 身份管理職業發展之路

2017年6月，IDPro成立，這個由Kantara項目孵化的非營利性專業會員組織專屬於身份和訪問管理人員。

該組織旨在構建IAM知識體系，支持從業者，確保身份及訪問管理被大衆認爲是隱私及信息安全的重要且充滿活力的夥伴，並但願可以發展出一套認證機制。

什麼是 Authing？

Authing 提供專業的身份認證和受權服務。
咱們爲開發者和企業提供用以保證應用程序安全所需的認證模塊，這讓開發人員無需成爲安全專家。
你能夠將任意平臺的應用接入到 Authing（不管是新開發的應用仍是老應用均可以），同時你還能夠自定義應用程序的登陸方式（如：郵箱/密碼、短信/驗證碼、掃碼登陸等）。
你能夠根據你使用的技術，來選擇咱們的 SDK 或調用相關 API 來接入你的應用。當用戶發起受權請求時，Authing 會幫助你認證他們的身份和返回必要的用戶信息到你的應用中。