www.ydisp.cn/oss/202207/13/02e14dc5617ebfa5947149f171ecf0a96d1837.jpg"style="width:600px;能见度:可见;高度:335px;"data-type="block"> 这里有六种方法可以判断一家公司的IAM策略是否失败。 1.用户无法访问他们的应用程序,但犯罪分子可以访问 IAM平台目标是允许合法用户访问他们需要的资源,同时将坏人拒之门外。如果发生相反的情况,则说明出了问题。根据最新的Verizon数据泄露报告,窃取凭据是去年最常见的攻击方法,涉及一半所有违规事件和超过80%的Web应用程序违规。 Bretzmann说,公司经常尝试做的第一件事就是摆脱简单的用户名和密码组合,并添加SMS一次性密码。它有多大帮助,以及如何它可以增加用户的启动情绪。“如果做得好,IAM不仅仅是单点登录和多因素身份验证,”他说。“它是关于了解请求访问IT系统的用户并解决他们的连接问题问题。” 根据Forrester分析师AndrasCser的说法,企业IAM系统范围内的用户包括员工、业务合作伙伴和最终客户。即服务提供商,例如Okta、AzureActiveDirectory或本地他说,IAM系统仍然比基于云的选项更强大、功能更丰富。对于客户来说,一些公司开始从用户名和密码转向谷歌和Facebook等社交网络。登录。 最后IAM访问类别是机器身份。根据Pulse和KeyFactor去年秋天发布的一项调查,机器身份的优先级低于用户身份,但95%的CIO表示他们的IAM策略保护机器身份 企业也需要注意事实上,他们必须在各种环境(本地、云、SaaS、移动和在家工作)中保护所有这些不同类型的用户。 2.孤立许多组织使用不同的访问解决方案管理Gartner的分析师HenriqueTeixeira表示,身份和访问管理平台 。他说,筒仓创造了额外的工作。“而且攻击者可以利用的每种解决方案之间通常存在差距,”特谢拉说。“供应商开始转向统一系统来解决这个问题。例如,Okta和微软已经开始提供更多融合平台。”Gartner估计,到2025年,70%的IAM采用将通过这些融合的IAM平台实现。 Teixeira说,“面向客户的IAM就更落后了。大多数组织都在使用定制的本土应用程序。在解决新的隐私监管要求和保护基础设施免受更现代类型的攻击时,这是有问题的 3。过于激进的IAM部署计划 人们很容易认为IAM平台会一次完成所有工作。Cser说,高管们很容易对解决方案过于热情,而供应商则过度承诺。“这对很多组织来说都是一个问题,”他说。“如果你试图安装一个访问管理解决方案,并且你必须在一天内让所有300个应用程序都运行起来,你就会失败。” Cser建议改为分阶段推出。试图一次性完成所有事情是不现实的。例如,尽管供应商做出了承诺,但公司通常必须进行更多的定制和编排才能集成他们的应用程序。如果现代IAM方法需要重新设计内部流程,则尤其如此。他建议进行IAM更新的公司利用这个机会首先简化和合理化流程。“而不是强制执行现有的混乱局面。就像移动一样。当你从一个地方搬到另一个地方时,你会想先把东西扔掉,而不是把它们搬到新的地方。” 4身份验证和授权分离 “IAM是任何安全和IT程序的基石,”搜索技术公司Yext的首席信息安全官RohitParchuri说。没有它,其他安全控制的商业价值就会降低,也无法发挥其全部潜力,他说。“在开始保护它们之前,您需要了解您的投资组合中存在哪些用户和资产。IAM提供对访问环境的可见性,同时还能够控制该访问。” 在之前的帖子中,Parchuri在部署IAM时遇到了几个问题。他说,“当我们最初冒险实施IAM时,我们错过了在我们的成功标准中添加一些东西。第一个问题是授权被视为与身份验证分开的实体。使用单独的授权服务器,我们不得不在两者之间来回切换两个不同系统的身份验证和授权实践。”这增加了总拥有成本,并给管理两个独立实体的团队带来了额外负担。 5.身份验证覆盖盲点 Parchuri面临的另一个问题是一些内部系统没有编目,仍然依赖本地验证。“通过在我们的内部系统上进行本地身份验证,会话管理和用户入职和离职实践缺乏可见性,”他说。这些任务应该由IAM工具处理,但实际上不是。 该公司在对其资产管理计划进行覆盖演练时发现了错误。“我们发现记录在我们的配置管理数据库中的应用程序没有被IAM工具捕获,”Parchuri说。一旦我们确定了这些应用程序,我们还注意到IAM工具将授权验证外包给部署在本地的本地系统。尽管它们在IAM工具中作为一个实体存在。 解决这个问题最难的部分是弄清楚是否可以使用安全断言标记语言(SAML)或跨域身份管理(SCIM)将IAM工具与内部工具集成。至此,剩下的就是执行和永久管理了。” 6.多个IAM系统导致可见性问题 专注于监管、风险和合规问题的全球咨询公司StoneTurn的合伙人LukeTenery表示,公司在集成不同的IAM平台时有时会遇到问题。挑战。“如果他们有太多的身份管理系统,就很难找到安全异常之间的关系,这就是痛苦所在,”他说。” 例如,许多网络攻击都涉及某种形式的电子邮件泄露。例如,如果同一身份也用于访问公司的Salesforce系统,则在发现第二个攻击向量之前可能会有明显的延迟“如果使用相同的用户名和密码,但以分散的方式进行管理,他们可能看不到妥协发生在Salesforce中,”Tenery说。“如果它停留的时间更长,对组织造成影响的风险就会增加。癌症在体内的时间越长,它造成损害的威胁时间就越长。 Tenery说他看到了一个威胁行为者能够破坏的案例进入Salesforce数据库,为全球酒店供应商执行忠诚度计划,获得对数百万客户记录的访问权限。解决方案是在整个企业中创建身份和访问管理的整体视图。“将结缔组织放在一起可能是一个艰巨的过程”他说,“但有些平台可以帮助组织整合他们的IAM功能。 如果直接整合不是一种选择,Tenery说,有一些先进的工具可以利用机器学习和人工智能来创建自动化,使这些连接。对于Salesforce和Office365,直接集成是可能的。他说,“还有我们使用的第三方工具,例如ObsidianSecurity。这是一个利用不同形式的平台自动化和机器学习来识别身份链接,以检测安全异常和管理身份风险。“
