調查：身分仍是網路攻擊主因，企業需將身分治理列為資安防禦最前線

身分安全業者 SailPoint 今日公布「2023 年全球身分安全趨勢預測」，提出最需關注的五大關鍵預測；並強調隨著身分數量的不斷增加，企業需要超越傳統的身分治理方法，透過智慧化、全面性、自動化的身分安全方案保護所有應受管理的身分與權限，降低業務成本和網路風險。

第一：以「身分」為攻擊對象的網路威脅，仍將是造成安全漏洞的主要原因。非法使用權限已成為更加普遍的違規行為，在各類漏洞的比例中，已從 2017 年的 37% 上至 2021 年的 48%。

而雲端應用程式和服務的採用更帶來了影子 IT 的指數成長，員工在沒有明確的 IT 核准下使用 IT 系統、裝置、軟體、應用程式和服務，儘管員工認為這是提高工作效率的一種方式，然而當 IT 部門無法確實掌握身分與權限的關係時，也就無法確保其使用的安全性。

第二：為零信任需從身分安全做起，而身分管理將成為企業資安的基本要求。調查解釋，零信任是一種資安架構，以「絕不信任，一律查證」做為基礎原則，在現今資訊安全領域越來越受到歡迎。

有效的零信任計畫應以身分安全做為基石，以實現身分生命週期的自動化，管理身分屬性的完整性，透過動態的存取控制和以角色作為依據的政策達成特權最低化，並確保絕對的職責分離。總之，存取權限需要不斷地被加以監控、分析、評估和調整，善用 AI 和 ML 等先進科技，才能確保嚴格的身分治理，實現存取風險的即時回應。

第三：保護非人類身分是身分和存取權限管理（IAM）是未來趨勢。隨著機器身分為駭客提供了數位攻擊路徑，尤其當組織不採取任何工具進行機器身分的存取控制與授權，並不受到持續性的身分驗證時，機器身分通常會暴露在外帶來高度風險。

為了在 IT 基礎設施中實施有效的集中式身分安全策略，組織需要精心安排以保護各種類型的身分；相較之下，零碎地採用 IAM 工具將為攻擊者開啟通道，成為駭客侵入破壞系統的破口。

第四：雲端的複雜性將推動雲端身分安全龐大需求。為了有效地部署和擴展身分治理計畫，企業組織應考慮採用軟體即服務（SaaS）平台，幫助組織實現靈活性、提高安全性和自動化，同時減少工作中斷並節省成本，達到在更短的時間內創造價值。更重要的是，雲端 SaaS 解決方案可使企業敏捷地進行創新，以滿足快速變化的客戶需求。

第五：AI/ML 驅動的身分安全成為未來大勢。調查說明，企業組織不應冒險在未實施清楚的身分安全控制支援每一個存取點的情況下，就貿然提供能讓他人存取企業組織內部技術資源的權限。藉由 AI/ML 驅動的身分安全能提供 360 度的可視性，達到即時偵測和補救，因此企業可以自信地面對威脅，甚至防範於未然。

（首圖來源：pixabay）