随着身份作为新的边界出现,它在支持数字化转型、云采用和分布式劳动力方面的作用并没有被当今的企业忽视。 根据一个 最近的报道 (需要注册),64% 的 IT 利益相关者认为有效管理和保护数字身份是其安全计划的首要任务 (16%) 或前三名 (48%)。 尽管如此,企业仍在努力应对与身份相关的违规行为——84% 的安全和 IT 专业人员报告说,他们的组织在过去一年中遭受了此类违规行为。
获得以身份为中心的安全性 是至关重要的,但为投资网络安全提供理由并不是贩卖 FUD(恐惧、不确定性和怀疑)。 将身份进一步推进战略讨论需要展示商业价值的能力—— 展示基于身份的安全性如何与业务目标保持一致并支持业务目标。
几乎所有参与调查的参与者 (98%) 都表示,他们组织中的身份数量正在增加,常见的原因包括云采用、更多员工使用技术、第三方关系增加以及机器身份数量不断增加。 在这种环境下,许多 今天的企业发现自己承受着巨大的压力 确保在日益分散和复杂的环境中无缝和安全地访问数据和资源。
这种复杂性,再加上积极的攻击者和必须管理的身份数量不断增加,使得 有效的身份管理是实现业务的关键部分 操作。 在过去一年经历过与身份相关的违规事件的组织中,常见的问题是凭据被盗、网络钓鱼和权限管理不善等问题。 违规对业务的直接影响可能很大——42% 的人表示严重干扰了核心业务,44% 的人表示恢复成本,35% 的人表示对组织的声誉造成负面影响。 还报告了收入损失 (29%) 和客户流失 (16%)。
将 IT 需求转化为业务需求
关注身份的理由很明确,但我们如何开始将 IT 需求转化为业务需求? 第一步是将组织的优先事项与以身份为中心的安全性可以适应的地方保持一致。 业务目标往往围绕降低成本、提高生产力和最小化风险展开。 因此,关于基于身份的安全性的对话必须证明该方法如何能够推进部分或全部这些要点。
例如,从生产力的角度来看,严格的身份管理简化了用户配置和访问权限审查。 这意味着员工可以更快地入职,任何离职员工的访问权限都将自动撤销。 消除手动操作可以减少出错的机会,包括拥有过多权限的用户会造成不必要的暴露风险。 围绕身份管理的流程越精简和自动化,业务就越高效,也就越安全。
如前所述,身份增长的一些驱动力包括云采用和机器身份的激增。 机器身份的增长部分与物联网 (IoT) 设备和机器人有关。 物联网和云通常是数字化转型战略的一部分,很容易因为对访问和安全策略的一致性执行的担忧而陷入困境。 这一现实为围绕企业如何在不牺牲合规性和安全性要求的情况下安全地采用这些技术的安全性进行讨论提供了机会。
在违规上下文中构建安全讨论
例如,多因素身份验证 (MFA) 被许多 IT 和安全专业人士引用为一种可以防止或最大限度地减少他们所经历的违规影响的措施。 MFA 对于执行访问控制至关重要,尤其是对于拥有远程工作人员或使用云应用程序和基础架构的企业而言。 不管你喜不喜欢,密码无处不在。 但对于希望访问资源并在您的环境中获得更深立足点的威胁参与者来说,它们也是一个有吸引力(且相对容易)的目标。 除了改善安全状况的其他以身份为中心的最佳实践外,MFA 还提供了另一层防御,可以增强组织的安全性。
除了 MFA 之外,IT 和安全专家通常指出,更及时地审查特权访问和持续发现所有用户访问权限可以防止或减轻违规的影响。 尽管其中许多仍在进行中,但总体而言,组织似乎开始了解这一信息。
当被问及在过去一年中,他们组织的身份计划是否被纳入投资领域,作为任何这些战略举措的一部分——零信任、云采用、数字化转型、网络保险投资和供应商管理——几乎每个人都选择了至少一。 42% 的人表示,身份已作为零信任工作的一部分进行了投资。 XNUMX% 的人表示它是云计划的一部分,XNUMX% 的人表示它是数字化转型的一部分。
开始使用基于身份的安全性不必费力。 但是,它确实需要一个 了解您的环境和业务重点。 通过 专注于以身份为中心的安全方法如何支持业务目标,IT 专业人员可以得到领导层的支持,以实施提高威胁参与者进入门槛的技术和流程。
