“零信任”時代數字身份管理路在何方?
責編:gltian |2019-12-25 14:38:41零信任時代數字身份管理面臨何種挑戰?優秀的數字身份管理有哪些特征?安全主管如何推行全面數字身份管理方案?
隨著傳統數字壁壘的消失和消費者期待的上升,企業一時難以找到有效的數字身份管理解決方案。成功的訣竅在于:同等對待企業與消費者身份、探索托管服務和集成新技術非常重要。
從蠟封和郵票到護照和指紋,再到生物特征識別和行為分析,人類一直在找尋可靠的方法,來驗證對方真實身份和是否可信。在當今對數據泄露、欺詐和隱私越來越關注的時代,信任至為重要。而在我們的數字社會里,信任是通過數字身份確定的。所謂數字身份,即通過獨特的性質和使用模式識別個人、物體或組織的一系列數據。
對公司的成功而言,有效數字身份實踐比以往來得更為重要。數字身份實踐是取信客戶的第一步,是保護敏感數據、驅動安全交易和改進業務流程的關鍵,能夠推動通過社交媒體與消費者互動的新方式,提升企業內部協作,自動化并簡化網絡安全操作。
然而,公司面臨的企業與消費者身份管理挑戰越來越多。原因之一就是傳統數字壁壘的坍塌,公司內部與外部的界限就此模糊。這種轉變加之用戶期待改變、新興技術涌現、云服務轉型、業務需求增長和隱私監管發展,引發了數字身份危機。
數字壁壘坍塌、用戶期待改變和新興技術涌現,引發了數字身份危機。
企業應重新審視并快速改進其數字身份策略——對內為企業,對外為消費者。只有全面審視數字身份管理,并以同樣的理念處理企業和消費者身份,企業才能獲得想要的結果。本文即為您呈現有助提升公司數字身份實踐的統一策略。
數字身份管理:挑戰
有很多新興趨勢和挑戰正在塑造企業和消費者數字身份的發展與管理。以下幾個趨勢與挑戰最為重要:
數字身份管理可能會被更緊急的問題所蓋過
企業并非認為數字身份管理不重要,他們可能是在處理其他更緊迫的網絡安全問題。或者,他們可能需要展現出網絡安全項目的即時進展和投資回報。但是,實現數字身份項目需要耐心,這更像是一場馬拉松而非百米沖刺。該挑戰以企業花在數字身份項目上的時間與金錢的方式呈現。德勤對負責網絡安全的 500 名首席級高管做了問卷調查,發布了《2019 網絡未來調查》。調查中,超過半數 (54%) 的受訪者稱花在身份解決方案上的網絡預算不高于 10%,95% 的受訪者表示不高于 20%。另外,88% 的受訪者花在身份與訪問管理上的時間不多于 10%。
- 在外包身份管理的問題上,企業態度不一
大多數網絡安全主管對自己的系統持保守態度,不愿意讓其他人來管理。德勤《2019 網絡未來調查》顯示,獲得、實現和持續交付身份功能的最主要方式,是內部實施,36% 的受訪者都選擇了這個選項。這一現象在首席信息安全官 (CISO) 身上體現得尤為真實,60% 的受訪 CISO 都傾向于內部解決方案。僅有 24% 的受訪者選擇了基于云的身份即服務 (IDaaS) 實現,32% 外包身份與訪問管理給第三方。
為什么不愿意呢?一位來自主流電信公司的 CISO 解釋稱:
我有很多使用了即便沒有幾十年也有挺多年的老舊應用,還有大量內部自研應用,沒有哪家云供應商能在不修改自身云基礎設施的情況下輕松集成。
這種對集成、靈活性和獲得專業支持的擔心,以及對可用功能的信心缺失,都是可以理解的,可能會拖住企業轉向 IDaaS 的腳步。
愈趨嚴格的全球數據隱私監管帶來了合規挑戰。世界各國政府都在探索和實現新的立法與監管規定,想要保護個人數據隱私和數字身份。企業高管和網絡安全主管必須應付各種強制規定,比如歐盟的《通用數據保護條例》(GDPR)、美國《加州消費者隱私法案》(CCPA) 和加拿大更新的《個人信息保護與電子文件法案》(PIPEDA)。其他需要遵守的指南還包括來自美國國家標準與技術研究所 (NIST) 的《網絡安全框架》。因為要對自身消費者更加全面了解,才能遵從法律與審計相關規定,網絡安全主管與公司高管身上的負擔更加重了。
- 向托管服務和人工智能的平穩遷移
盡管面臨諸多挑戰,數字身份管理方法仍舊開始快速改變。企業的環境越來越以云為中心,轉向托管服務與基于消費的模式也是大勢所趨。德勤 2018 年的調查,《一切即服務加速敏捷性》,發現了這一轉變的證據。71% 的企業報告稱,X 即服務 (XaaS) 如今占據了自家企業 IT 的半壁江山(其他的是不基于服務的傳統 IT)。
有些公司將自己的身份技術棧挪到了云端,其他公司則引入身份即服務。
作為這種轉變的一部分,有些公司將自己的身份技術棧挪到了云端,其他公司則引入身份即服務。Gartner 表示,到 2022 年,全球 40% 的中型和大型企業將使用身份與訪問管理即服務 (IDaaS) 功能,滿足自身絕大多數身份與訪問管理 (IAM) 需求,而當下這么做的企業僅占 5%。原因之一就是云供應商和第三方云運營商擁有的功能可能比公司內部的高級得多,令公司不需要再對軟件和基礎設施做更新與升級。而且,很多公司面臨網絡安全技術人才短缺的情況,采用托管服務有助于免除吸引、培訓和留住這些人才的需求。
很多企業還在實驗和集成許多新技術,用以改善自身數字身份能力。他們摒棄簡單的登錄和密碼,不斷引入高級身份驗證方法,比如將實體生物特征識別和行為監視用作數字身份管理標準操作。在當今 “零信任” 環境中,企業持續監視和驗證用戶身份——基于用戶的角色、所訪問的資產和訪問時間與地點,不斷確定他們的風險級別。為方便做到這一點,企業逐漸轉向人工智能 (AI) 技術,以此自動化檢測異常和識別不符合特定模式的行為。德勤《2019 網絡未來調查》顯示,20% 的受訪者將 AI 驅動的威脅識別與評估作為數字身份管理的革命性功能。
當今 “零信任” 環境中,公司需持續監視和驗證用戶身份,確定他們的風險級別。
不過,對于 AI 在身份管理中的使用和成熟度,受訪者觀點不一。美國網絡安全與風險咨詢公司 National Cybersecurity Society 的首席執行官 Alex Beigelman 表示的對 AI 表示樂觀。
AI 或機器學習將成為與風險評估相關的功能,不僅僅識別用戶,還識別設備與設備健康,評估是否被黑。必須不止 ID 和身份驗證。而從更講求實際的方面出發,真正的東西還處在早期發展階段。雖然在用,但僅以有限的方式,且只有少數具備足夠資源的公司才能嘗試和承擔一些風險。
硬幣的兩面:消費者與企業身份管理
重新審視自身數字身份管理策略時,企業應思考消費者和企業身份管理兩方面的挑戰,了解自己可以在創建周全方法上做些什么。這兩方面的業務需求、技術方法和面臨的難點都不一樣,但有些明智的基本操作是雙方都適用的。我們不妨先看看各自的獨特挑戰:
消費者預期更高
隨著消費者與企業之間數字互動深度與復雜性的增加,投向消費者身份管理的關注度也相應增加。企業想要確保登錄的人是所聲稱的身份,且能夠擁有良好的使用體驗。個中原因很多,包括:
- 消費者期待更高;他們想只登錄一次,就能快速在自己需要的時候獲得自己所需的東西。
- 消費者聯網程度更甚從前,想要跨多個渠道獲得一致的體驗——客服中心、移動端、Web、聊天機器人和虛擬助手等。
- 消費者越來越了解與關注隱私問題,不愿意共享太多個人信息;他們想要個性化、便捷、靈活的互動體驗。
- 消費者期待享有一定程度的可見安全。比如說,進行網上銀行交易時,多因子身份驗證 (MFA) 就讓他們覺得安全。
- 想要周全的解決方案,企業必須考慮消費者和企業身份管理兩方面的挑戰。
在企業內部,圍繞消費者身份管理的復雜性也增加了。職責和所有權常分散在多名高管、團隊(市場營銷、銷售、網絡安全等等)和 IT 系統之間,令大型項目協調變得十分困難。德勤《2019網絡未來調查》顯示,企業的目光投向面向客戶和面向供應商的多個不同身份管理計劃中。關注度最高的領域是消費者身份與訪問管理 (28%)、包含 MFA 的高級身份驗證 (27%) 和 GDPR 實現/隱私合規 (25%)。
企業需處理更多東西
隨著業務步伐加快和轉型措施需求的倍增,公司不應忽視企業身份管理。企業面臨的身份相關最大問題,是權限濫用與憑證被盜。惡意黑客和網絡罪犯可以由此入侵網絡。Centrify 最近委托的一份調查囊括了美國和英國的 1,000 名 IT 決策者。調查顯示,公司曾被入侵過的受訪者中,74% 承認涉及特權賬戶訪問。
除了外部威脅,企業還面臨許多內部的企業身份管理問題,包括:
明顯的網絡安全人才短缺仍在繼續,且數字身份通常不能獲得太多關注與預算支出,所以,必要的資源可能非常稀缺。
網絡安全團隊需應對老舊 IT 環境和對遷移至云優先架構的抗拒情緒。很多公司都沒構建基于 API 的協同現代系統,無法與應用便捷集成。
對網絡安全應能輔助數字轉型和創新的期待也在上升。
正如德勤《2019 網絡未來調查》中揭示的,頂級企業身份網絡安全項目是高級身份驗證和特權訪問管理 (PAM)——二者各自為 19% 的受訪者所選擇。
為完全解決這些問題,企業應選用融合了企業和消費用戶共有特性的數字身份管理系統。
五大要訣推進全面數字身份管理解決方案
考慮到企業和消費者身份的深度關聯,公司應以同樣協調的方法對待二者,解鎖對企業和對消費者的種種好處。這不再是二選一的問題——強大全面的數字身份管理方法有助于驅動業務發展,減輕網絡安全團隊的負擔,并為消費者和公司員工提供優越的體驗。
身處無處不網絡的時代,身份管理的運營環境將變得越來越復雜,需滿足更高的業務期待,集成新技術,遵從多個數據隱私管理規定,還需管理不斷增加的人和設備。為把握復雜環境中的正確方向,網絡安全主管可以做好下列五件事,以便將數字身份管理策略、過程和系統更好地集成進業務中:
01、追求全面的身份管理方法
公平對待每個人每件事——無論是消費者還是員工,是一個人、一臺設備,還是一個應用程序。身份生態系統中但凡漏掉了哪個元素,都會影響到公司創新和運營的速度。找尋企業和消費者身份管理系統相得益彰的機會,找到使用傳統功能的新方式。
02、幫助整合、協同和貼合職責
身份、數據隱私和監管合規愈加重合。這意味著技術、網絡安全、法務和業務主管都是有效身份管理的利益相關者,都有各自事關用戶體驗、系統可用性、彈性、風險管理和消費者參與度的困難和愿景。負責身份管理的人處在知會和影響商討與決策的特殊位置上,能夠確保公司更快適應。
03、倡導結果導向的方法
為推動創新工作和數字轉型,不妨將身份作為整個公司的一項服務。識別身份管理能有所幫助的業務成果,比如提高消費者保留度或提升 HR 過程效率。為克服資源限制,支持專注這些更大成果的大型革新性項目。
04、嘗試托管服務
考慮到資源和人才稀缺與網絡安全問題,找人幫忙解決業務需求。如果公司無法投入所需的資源到身份管理中,嘗試三方托管服務,無論是現場還是云端實現的。他們可以提供最新的技術和功能,增加自動化和面向未來的身份系統。這種轉變或許不適合所有人,可能還會有對放棄一些控制的抵觸情緒,但不要漠視這一選項。要解決顧慮,可以考慮采取階段化的方式。
05、準備運用 AI
機器學習等 AI 技術正融入多種身份管理解決方案——從自動化賬戶監管到欺詐檢測。探索采納 AI 技術對公司數字身份功能有何意義。您想要什么結果——是自動化或優化現有過程,還是創建全新的身份驗證和風險評估功能?這將會對您網絡安全團隊的工作方式產生怎樣的影響?需要哪種類型的培訓?
考慮到上述操作的全方位數字身份策略,能夠為消費者、員工、安全團隊和業務主管解鎖重大利益。更重要的是,統一的方法有助于建立信任,確保隱私和安全,從而防止數字身份危機。數字身份系統曾經需要在安全和便利上做選擇,但現在您可同時擁有二者。仔細斟酌您的系統設計方法,以便保護資產和防止為員工和消費者帶來太大負擔。著手數字身份轉型的時候,不妨看看以上建議。
科技、傳媒和電信公司的身份管理
每家公司都面臨不同的數字身份挑戰,擁有獨特的身份管理方法。比如說,科技公司的數字身份策略和系統就非常靈活,可以適應快速變化的市場。媒體和娛樂公司常面對大量瞬時客戶。電信公司的系統非常老舊,難以更新或替換,且不能方便地與現代身份管理解決方案集成。但有一些共同的因素,是這些公司在強化自身數字身份管理功能的時候應該銘記在心的。此處列舉其中一些共同因素:
與其他行業相比,這些行業一直以來受到的監管相對較少。這意味著,在數字身份問題上,他們未必需要做其他公司必須做的一些事情。如果做了,那是因為這些都是為客戶和員工好的正確的事,有助于維持信任和安全。監管壓力的缺乏可能會拖慢數字身份轉型。隨著 GDPR 和 CCPA 等新規定的出現,這一情況開始改變,數字身份經驗較少的行業也需要改變它們的方法了。
這些行業擁有高水平的技術專業知識和經驗。很多科技、傳媒和電信公司都雇有高級工程師和技術人員,可能覺得自己能夠應付遭遇到的任何數字身份問題;能夠從零構建自身所需,然后推進到下一個問題。然而,恰當的數字身份方法綜合了很多復雜系統,需要專業技術和持續的警醒。公司應專注自身核心目標所需高端技術人才,利用現成的成熟身份解決方案。
一旦出錯,這些行業面臨的潛在后果更為嚴重。這些公司創建的很多產品和服務是其他行業的底層支撐。此類公司一旦因管理不善的憑證而發生數據泄露,公眾和市場反應相對于零售商或工業公司發生同類事件要大得多。這就令全面的數字身份策略和方法變得更為重要了。
本文摘選自德勤《企業與消費者數字身份管理戰略》: