随着数字身份安全重要性的日益凸显，强大的身份和访问管理 (IAM) 是任何安全框架的重要组成部分，是企业组织保护资源和提供无缝用户体验的关键利器。据国外最近的一项研究显示，近 78% 的公司披露了与身份相关的数据泄露事件，这对他们的运营产生了极大的负面影响。
因此，企业组织亟需加强IAM建设与规划，在考虑数据隐私和安全法规的持续变化基础上，综合考虑企业系统的不断发展。然而，事实上，许多企业在处理用户如何以及何时访问应用程序和资源方面仍然存在诸多不足。
为了保持安全性并确保持续合规，这些企业必须仔细评估企业当前的IAM 策略并遵循用户身份账号管理的最佳实践。派拉软件结合2600+客户成功实践经验，总结出了当前企业6大IAM建设建议，供企业参考。

一、认识到传统安全措施的弱点

要做好IAM项目建设，企业安全人员首先需要深刻认识到传统安全措施的弱点。例如，设置防火墙和保护端点等网络安全选项缺乏必要的动态检测能力，无法精确定位存在违规行为的用户行为的细微变化，也无法保护系统免受黑客使用合法帐户获取访问权限......
虽然传统保护措施在安全框架中确实有一席之地，但企业必须采取额外措施来涵盖在每种可能的场景中如何访问、使用和传输数据。任何缺乏足够安全性的行为或环境都会产生漏洞，黑客可以利用这些漏洞接管帐户、破坏网络或窃取数据。
人作为环境中最大的变动因子或者说薄弱环节，做好了企业内外部人的行为监控对于企业安全防护至关重要。而传统安全措施往往不区分人，而是以网络为安全边界，默认网络内的一切人的行为都是安全可靠的，这就带来了严重的潜在安全漏洞。尤其是在万物互联、网络边界不断消融的数字时代，这样一刀切的安全措施早已不可取。

二、全面清理系统扫除身份漏洞

在明白IAM项目建设的必要性基础上，企业要开始全面了解系统情况与安全漏洞。常规网络和 IAM 审计与弱密码检测等技术可以让IT人员更清楚地了解整个系统并发现漏洞，包括：

1、不安全的设备
2、孤儿帐户、受损帐户等风险账号
3、弱密码
4、不适当的权限
5、错误的组分配   
......

企业应立即解决审计期间发现的问题，以防止不当访问或使用数据和应用程序。删除未使用或不需要的帐户并重组组，减少黑客的潜在访问点数量。创建审计计划并实施常规网络监控，确保适当的访问级别，并揭示需要加强安全性以保护关键资产和数据免受新兴威胁的地方。

如果发现任何帐户或组的权限过大或过窄，企业应寻求更好的配置解决方案，并结合自动化流程、标准规范、多因素认证等技术和制度，强化权限安全策略的有效执行落地，确保在全面检测系统的基础上，扫除其中存在的安全漏洞。

三、运用AI技术加强特权访问安全

74% 的数据泄露始于特权凭证的滥用，但许多数据泄露可以通过适当的特权访问管理 (PAM) 来预防。企业IT 人员需要 IAM 平台提供工具，以便持续监控所有帐户、权限和网络活动，包括特权用户。
实时更新对于发现异常是必不可少的。因此，使用人工智能和机器学习工具，结合UEBA技术，可以帮助企业更易检测到用户行为的一些实时变化，并根据需要和上下文自动配置和取消权限等策略手段进一步防止帐户滥用，及时发现访问过程中的用户实体行为异常，并进行安全控制与告警提醒。

此外，采用更严格的 PAM 方法，将覆盖范围扩大到传统系统和管理帐户之外，包括 RPA、服务帐户、应用程序帐户、API 密钥、IoT/IIoT 环境以及未集成到 IAM 环境中的外部服务，如社交媒体帐户等。这可以帮助企业保护关键资产并降低与非人类账户相关的风险。

四、关注供应链账号权限安全问题

据数据统计，外包已发展成为一个价值超过 860 亿美元的全球市场，越来越多的企业正在寻求外包从基本流程到客户服务的一切。然而，这样的供应链策略，也带来了越来越多的安全风险与挑战。
例如，2022年，因供应商“小岛冲压工业株式会社”（Kojima Industries Corporation）遭到网络攻击，致使丰田在日本国内的所有工厂（共计14家工厂，28条生产线）全部停工。今年，甚至发生了供应链袭击事件，即利用对手硬件或软件供应链上的漏洞实施的破坏和袭击活动......
此外，随着企业寻求降本增效，员工要求在工作时间安排上更加灵活，远程劳动力持续增长。为了有效管理并支持这些业务和就业结构变化所需的第三方和异地访问，企业需要监控更广泛的网络活动。
其中，避免一刀切的权限至关重要。供应商和远程员工在不同时间需要不同级别的网络访问权限，因此需采用细粒度的访问管理方法，并使用与监控和管理特权帐户相同的详细可见性。企业还必须在授予访问权限之前评估所有供应商的IAM和员工生命周期管理实践，以确保这些系统中的漏洞不会危及内部网络的安全。
以派拉软件合作的某知名汽车集团为例，该集团拥有多维度业务领域，按照业务领域又可以划分出多个用户群体，包括企业内部用户、经销商、供应商、C端客户等。围绕不同业务和用户群体，集团根据实际需求建设了面向内部员工用户运营管理的EIAM，面向C端消费者的CIAM，以及面向经销商/渠道商的BIAM和供应商的SIAM等，从而有效加强第三方访问控制与安全。

五、考虑所有“事物”的身份与访问

物联网 (IoT) 正在成为各行各业企业的普遍现象。从联网打印机等基本硬件到制造业使用的复杂自动化机械，物联网设备有效提高众多企业的效率和生产力。然而，这些设备也给 IT 员工带来了巨大的安全问题。
规模数量庞大，位置分布全球各地、各角落，需联网且注重实时性，还涵盖不同的制造商和协议、数据共享等等。这些都使的物联网设备管理变得非常复杂、困难，且与管理网络内用户行为的访问协议不兼容，并带来各种安全问题。例如，急速扩大的网络攻击面、更多的潜在漏洞、隐私安全问题等。
据Forrester Research在《2023年物联网安全状况》报告调查显示：物联网设备是报告最多的外部攻击目标，比移动设备或计算机受到的攻击更多。物联网设备每天在全球范围内产生多达36亿起安全事件。
这就要求企业亟需为设备身份制定单独的管理策略，即物联网设备身份。如何建设物联网身份管理，详见下图链接：
物联网设备身份管理方案文章链接

六、构建以“身份优先”的零信任架构

零信任是实现网络和安全架构现代化的关键部分。2024年，安全牛最新调研报告显示：86.3%的受访企业表示已经开始或计划开展零信任安全建设。显然，零信任已从“前沿概念”转变为“必须实践”，是企业应对新的网络安全挑战的首选战略。而要想实现零信任建设，先进且集成良好的IAM系统是基础。
在采用零信任策略时，企业必须升级和集成 IAM 解决方案，构建以“身份优先”的零信任安全架构，以便在基础架构的任何位置提供持续的基于风险的身份验证。这可以帮助企业在混合环境中实现无缝身份验证、授权和安全访问，增强企业整体安全态势并为零信任奠定基础。

以上6大建议只是企业IAM建设大框架中的一小部分参考，随着技术的持续发展与进步，诸如ITDR、区块链等系列新技术的成熟也将随之应用到企业IAM建设中。而细分到各个领域和安全场景中，还会发现企业在诸如账号、权限、审计等各维度也普遍存在诸多问题。这些在派拉软件相应场景解决方案文章中也曾提过并给出相应方案。
也希望以上6大IAM建设建议，可以给企业IAM建设与规划带来些许参考与启发。更多派拉软件资料下载获取点击下方图片链接，立即获取！
资料下载中心链接：小程序://派拉软件/93Sp2Ppvjlg2q7A

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)