信息化觀察網(wǎng)

公司企業(yè)感知到了云身份管理不斷變化的需求，但對(duì)此反應(yīng)不一。

云服務(wù)正成為企業(yè) IT 新常態(tài)，但這并不意味著可以毫無顧忌地應(yīng)用云服務(wù)。近期一項(xiàng)調(diào)查顯示，近半數(shù)受訪企業(yè)認(rèn)為云應(yīng)用讓自己更容易成為網(wǎng)絡(luò)攻擊的目標(biāo)。高管的遭攻擊可能原因列表上，云高居第三位，僅排在物聯(lián)網(wǎng)設(shè)備 (54%) 和 Web 門戶 (50%) 之類未受保護(hù)的基礎(chǔ)設(shè)施之后。

該調(diào)查報(bào)告題為《2019 Thales 訪問管理指標(biāo)》，是 Thales 資助 Vanson Bourne 進(jìn)行的。調(diào)查收到了 11 個(gè)國家 1,050 位高管的回復(fù)，問題涉及高管的顧慮與當(dāng)前采用的緩解技術(shù)。

Thales 身份驗(yàn)證與訪問管理副總裁 Francois Lasnier 稱：公司企業(yè)如今意識(shí)到自身業(yè)務(wù)運(yùn)營仰賴云資源、云服務(wù)和云應(yīng)用。然而，這種認(rèn)知尚有局限性。

被問到的時(shí)候，大多數(shù) CISO 的第一反應(yīng)都是自己只用到少數(shù)應(yīng)用或云服務(wù)。但真正開始深入挖掘就會(huì)發(fā)現(xiàn)，實(shí)際云采用量有時(shí)候是 CISO 或 IT 管理員認(rèn)知中云應(yīng)用計(jì)數(shù)的 10 倍之多。

但即便缺乏對(duì)自身云暴露面的準(zhǔn)確理解，IT 高管仍舊意識(shí)到了云應(yīng)用面臨的威脅。94% 的受訪高管稱，公司安全策略受到過去一年中消費(fèi)者數(shù)據(jù)泄露事件的影響。高管開始將電子郵件視為攻擊途徑，就是威脅意識(shí)提升的證據(jù)之一。

Lasnier解釋道：只要能黑進(jìn)公司電子郵件系統(tǒng)，就能開始執(zhí)行 ID 盜取動(dòng)作，跟著就是提權(quán)。然后，攻擊者就能創(chuàng)建虛假身份，在公司網(wǎng)絡(luò)里四處游走，造成嚴(yán)重破壞。

調(diào)查顯示，訪問管理正朝著響應(yīng)云應(yīng)用威脅的方向發(fā)展。70% 的受訪公司企業(yè)開始采用雙因子身份驗(yàn)證，53% 運(yùn)用單點(diǎn)登錄 (SSO)，36% 開始使用 “智能” SSO——使用基于策略的單個(gè)應(yīng)用及網(wǎng)段權(quán)限，需提權(quán)時(shí)要求多步身份驗(yàn)證過程。

但高管們對(duì)身份驗(yàn)證和應(yīng)用訪問的理解存在分歧。比如說，近半數(shù)受訪 IT 高管認(rèn)為 SSO (49%) 和生物特征識(shí)別多因子身份驗(yàn)證 (47%) 時(shí)保護(hù)云和 Web 訪問的最佳工具，而只有 24% 將社交身份憑證（用 Facebook、谷歌或推特賬戶進(jìn)行身份驗(yàn)證）視為最佳實(shí)踐。

不過，超半數(shù) (56%) 高管稱允許員工以社交媒體憑證登錄公司資源。

Lasnier 稱，這種理解上的混亂很大程度上是企業(yè)環(huán)境的快速變化導(dǎo)致的，比如云、自帶設(shè)備辦公 (BYOD)、超高員工流動(dòng)性及其他因素的涌現(xiàn)，一時(shí)之間所有這些都要求對(duì)用戶實(shí)施安全身份驗(yàn)證和訪問管理。

訪問決策曾經(jīng)只是非黑即白的二元問題，但現(xiàn)在成了多元變量問題。公司企業(yè)現(xiàn)在考慮的不僅僅是訪問管理這一個(gè)功能，而是捆綁身份以提供安全的應(yīng)用訪問管理，以及強(qiáng)制實(shí)施加密規(guī)則等能進(jìn)一步保護(hù)數(shù)據(jù)資產(chǎn)的服務(wù)。