信息化觀察網(wǎng)

零信任時代數(shù)字身份管理面臨何種挑戰(zhàn)？優(yōu)秀的數(shù)字身份管理有哪些特征？安全主管如何推行全面數(shù)字身份管理方案？

隨著傳統(tǒng)數(shù)字壁壘的消失和消費者期待的上升，企業(yè)一時難以找到有效的數(shù)字身份管理解決方案。成功的訣竅在于：同等對待企業(yè)與消費者身份、探索托管服務(wù)和集成新技術(shù)非常重要。

從蠟封和郵票到護照和指紋，再到生物特征識別和行為分析，人類一直在找尋可靠的方法，來驗證對方真實身份和是否可信。在當(dāng)今對數(shù)據(jù)泄露、欺詐和隱私越來越關(guān)注的時代，信任至為重要。而在我們的數(shù)字社會里，信任是通過數(shù)字身份確定的。所謂數(shù)字身份，即通過獨特的性質(zhì)和使用模式識別個人、物體或組織的一系列數(shù)據(jù)。

對公司的成功而言，有效數(shù)字身份實踐比以往來得更為重要。數(shù)字身份實踐是取信客戶的第一步，是保護敏感數(shù)據(jù)、驅(qū)動安全交易和改進業(yè)務(wù)流程的關(guān)鍵，能夠推動通過社交媒體與消費者互動的新方式，提升企業(yè)內(nèi)部協(xié)作，自動化并簡化網(wǎng)絡(luò)安全操作。

然而，公司面臨的企業(yè)與消費者身份管理挑戰(zhàn)越來越多。原因之一就是傳統(tǒng)數(shù)字壁壘的坍塌，公司內(nèi)部與外部的界限就此模糊。這種轉(zhuǎn)變加之用戶期待改變、新興技術(shù)涌現(xiàn)、云服務(wù)轉(zhuǎn)型、業(yè)務(wù)需求增長和隱私監(jiān)管發(fā)展，引發(fā)了數(shù)字身份危機。

數(shù)字壁壘坍塌、用戶期待改變和新興技術(shù)涌現(xiàn)，引發(fā)了數(shù)字身份危機。

企業(yè)應(yīng)重新審視并快速改進其數(shù)字身份策略——對內(nèi)為企業(yè)，對外為消費者。只有全面審視數(shù)字身份管理，并以同樣的理念處理企業(yè)和消費者身份，企業(yè)才能獲得想要的結(jié)果。本文即為您呈現(xiàn)有助提升公司數(shù)字身份實踐的統(tǒng)一策略。

數(shù)字身份管理：挑戰(zhàn)

有很多新興趨勢和挑戰(zhàn)正在塑造企業(yè)和消費者數(shù)字身份的發(fā)展與管理。以下幾個趨勢與挑戰(zhàn)最為重要：

數(shù)字身份管理可能會被更緊急的問題所蓋過

企業(yè)并非認(rèn)為數(shù)字身份管理不重要，他們可能是在處理其他更緊迫的網(wǎng)絡(luò)安全問題。或者，他們可能需要展現(xiàn)出網(wǎng)絡(luò)安全項目的即時進展和投資回報。但是，實現(xiàn)數(shù)字身份項目需要耐心，這更像是一場馬拉松而非百米沖刺。該挑戰(zhàn)以企業(yè)花在數(shù)字身份項目上的時間與金錢的方式呈現(xiàn)。德勤對負(fù)責(zé)網(wǎng)絡(luò)安全的500名首席級高管做了問卷調(diào)查，發(fā)布了《2019網(wǎng)絡(luò)未來調(diào)查》。調(diào)查中，超過半數(shù)(54%)的受訪者稱花在身份解決方案上的網(wǎng)絡(luò)預(yù)算不高于10%，95%的受訪者表示不高于20%。另外，88%的受訪者花在身份與訪問管理上的時間不多于10%。

在外包身份管理的問題上，企業(yè)態(tài)度不一

大多數(shù)網(wǎng)絡(luò)安全主管對自己的系統(tǒng)持保守態(tài)度，不愿意讓其他人來管理。德勤《2019網(wǎng)絡(luò)未來調(diào)查》顯示，獲得、實現(xiàn)和持續(xù)交付身份功能的最主要方式，是內(nèi)部實施，36%的受訪者都選擇了這個選項。這一現(xiàn)象在首席信息安全官(CISO)身上體現(xiàn)得尤為真實，60%的受訪CISO都傾向于內(nèi)部解決方案。僅有24%的受訪者選擇了基于云的身份即服務(wù)(IDaaS)實現(xiàn)，32%外包身份與訪問管理給第三方。

為什么不愿意呢？一位來自主流電信公司的CISO解釋稱：

我有很多使用了即便沒有幾十年也有挺多年的老舊應(yīng)用，還有大量內(nèi)部自研應(yīng)用，沒有哪家云供應(yīng)商能在不修改自身云基礎(chǔ)設(shè)施的情況下輕松集成。

這種對集成、靈活性和獲得專業(yè)支持的擔(dān)心，以及對可用功能的信心缺失，都是可以理解的，可能會拖住企業(yè)轉(zhuǎn)向IDaaS的腳步。

愈趨嚴(yán)格的全球數(shù)據(jù)隱私監(jiān)管帶來了合規(guī)挑戰(zhàn)。世界各國政府都在探索和實現(xiàn)新的立法與監(jiān)管規(guī)定，想要保護個人數(shù)據(jù)隱私和數(shù)字身份。企業(yè)高管和網(wǎng)絡(luò)安全主管必須應(yīng)付各種強制規(guī)定，比如歐盟的《通用數(shù)據(jù)保護條例》(GDPR)、美國《加州消費者隱私法案》(CCPA)和加拿大更新的《個人信息保護與電子文件法案》(PIPEDA)。其他需要遵守的指南還包括來自美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)的《網(wǎng)絡(luò)安全框架》。因為要對自身消費者更加全面了解，才能遵從法律與審計相關(guān)規(guī)定，網(wǎng)絡(luò)安全主管與公司高管身上的負(fù)擔(dān)更加重了。

向托管服務(wù)和人工智能的平穩(wěn)遷移

盡管面臨諸多挑戰(zhàn)，數(shù)字身份管理方法仍舊開始快速改變。企業(yè)的環(huán)境越來越以云為中心，轉(zhuǎn)向托管服務(wù)與基于消費的模式也是大勢所趨。德勤2018年的調(diào)查，《一切即服務(wù)加速敏捷性》，發(fā)現(xiàn)了這一轉(zhuǎn)變的證據(jù)。71%的企業(yè)報告稱，X即服務(wù)(XaaS)如今占據(jù)了自家企業(yè)IT的半壁江山（其他的是不基于服務(wù)的傳統(tǒng)IT）。

有些公司將自己的身份技術(shù)棧挪到了云端，其他公司則引入身份即服務(wù)。

作為這種轉(zhuǎn)變的一部分，有些公司將自己的身份技術(shù)棧挪到了云端，其他公司則引入身份即服務(wù)。Gartner表示，到2022年，全球40%的中型和大型企業(yè)將使用身份與訪問管理即服務(wù)(IDaaS)功能，滿足自身絕大多數(shù)身份與訪問管理(IAM)需求，而當(dāng)下這么做的企業(yè)僅占5%。原因之一就是云供應(yīng)商和第三方云運營商擁有的功能可能比公司內(nèi)部的高級得多，令公司不需要再對軟件和基礎(chǔ)設(shè)施做更新與升級。而且，很多公司面臨網(wǎng)絡(luò)安全技術(shù)人才短缺的情況，采用托管服務(wù)有助于免除吸引、培訓(xùn)和留住這些人才的需求。

很多企業(yè)還在實驗和集成許多新技術(shù)，用以改善自身數(shù)字身份能力。他們摒棄簡單的登錄和密碼，不斷引入高級身份驗證方法，比如將實體生物特征識別和行為監(jiān)視用作數(shù)字身份管理標(biāo)準(zhǔn)操作。在當(dāng)今“零信任”環(huán)境中，企業(yè)持續(xù)監(jiān)視和驗證用戶身份——基于用戶的角色、所訪問的資產(chǎn)和訪問時間與地點，不斷確定他們的風(fēng)險級別。為方便做到這一點，企業(yè)逐漸轉(zhuǎn)向人工智能(AI)技術(shù)，以此自動化檢測異常和識別不符合特定模式的行為。德勤《2019網(wǎng)絡(luò)未來調(diào)查》顯示，20%的受訪者將AI驅(qū)動的威脅識別與評估作為數(shù)字身份管理的革命性功能。

當(dāng)今“零信任”環(huán)境中，公司需持續(xù)監(jiān)視和驗證用戶身份，確定他們的風(fēng)險級別。

不過，對于AI在身份管理中的使用和成熟度，受訪者觀點不一。美國網(wǎng)絡(luò)安全與風(fēng)險咨詢公司National Cybersecurity Society的首席執(zhí)行官Alex Beigelman表示的對AI表示樂觀。

AI或機器學(xué)習(xí)將成為與風(fēng)險評估相關(guān)的功能，不僅僅識別用戶，還識別設(shè)備與設(shè)備健康，評估是否被黑。必須不止ID和身份驗證。而從更講求實際的方面出發(fā)，真正的東西還處在早期發(fā)展階段。雖然在用，但僅以有限的方式，且只有少數(shù)具備足夠資源的公司才能嘗試和承擔(dān)一些風(fēng)險。

硬幣的兩面：消費者與企業(yè)身份管理

重新審視自身數(shù)字身份管理策略時，企業(yè)應(yīng)思考消費者和企業(yè)身份管理兩方面的挑戰(zhàn)，了解自己可以在創(chuàng)建周全方法上做些什么。這兩方面的業(yè)務(wù)需求、技術(shù)方法和面臨的難點都不一樣，但有些明智的基本操作是雙方都適用的。我們不妨先看看各自的獨特挑戰(zhàn)：

消費者預(yù)期更高

隨著消費者與企業(yè)之間數(shù)字互動深度與復(fù)雜性的增加，投向消費者身份管理的關(guān)注度也相應(yīng)增加。企業(yè)想要確保登錄的人是所聲稱的身份，且能夠擁有良好的使用體驗。個中原因很多，包括：

消費者期待更高；他們想只登錄一次，就能快速在自己需要的時候獲得自己所需的東西。

消費者聯(lián)網(wǎng)程度更甚從前，想要跨多個渠道獲得一致的體驗——客服中心、移動端、Web、聊天機器人和虛擬助手等。

消費者越來越了解與關(guān)注隱私問題，不愿意共享太多個人信息；他們想要個性化、便捷、靈活的互動體驗。

消費者期待享有一定程度的可見安全。比如說，進行網(wǎng)上銀行交易時，多因子身份驗證(MFA)就讓他們覺得安全。

想要周全的解決方案，企業(yè)必須考慮消費者和企業(yè)身份管理兩方面的挑戰(zhàn)。

在企業(yè)內(nèi)部，圍繞消費者身份管理的復(fù)雜性也增加了。職責(zé)和所有權(quán)常分散在多名高管、團隊（市場營銷、銷售、網(wǎng)絡(luò)安全等等）和IT系統(tǒng)之間，令大型項目協(xié)調(diào)變得十分困難。德勤《2019網(wǎng)絡(luò)未來調(diào)查》顯示，企業(yè)的目光投向面向客戶和面向供應(yīng)商的多個不同身份管理計劃中。關(guān)注度最高的領(lǐng)域是消費者身份與訪問管理(28%)、包含MFA的高級身份驗證(27%)和GDPR實現(xiàn)/隱私合規(guī)(25%)。

企業(yè)需處理更多東西

隨著業(yè)務(wù)步伐加快和轉(zhuǎn)型措施需求的倍增，公司不應(yīng)忽視企業(yè)身份管理。企業(yè)面臨的身份相關(guān)最大問題，是權(quán)限濫用與憑證被盜。惡意黑客和網(wǎng)絡(luò)罪犯可以由此入侵網(wǎng)絡(luò)。Centrify最近委托的一份調(diào)查囊括了美國和英國的1,000名IT決策者。調(diào)查顯示，公司曾被入侵過的受訪者中，74%承認(rèn)涉及特權(quán)賬戶訪問。

除了外部威脅，企業(yè)還面臨許多內(nèi)部的企業(yè)身份管理問題，包括：

明顯的網(wǎng)絡(luò)安全人才短缺仍在繼續(xù)，且數(shù)字身份通常不能獲得太多關(guān)注與預(yù)算支出，所以，必要的資源可能非常稀缺。

網(wǎng)絡(luò)安全團隊需應(yīng)對老舊IT環(huán)境和對遷移至云優(yōu)先架構(gòu)的抗拒情緒。很多公司都沒構(gòu)建基于API的協(xié)同現(xiàn)代系統(tǒng)，無法與應(yīng)用便捷集成。

對網(wǎng)絡(luò)安全應(yīng)能輔助數(shù)字轉(zhuǎn)型和創(chuàng)新的期待也在上升。

正如德勤《2019網(wǎng)絡(luò)未來調(diào)查》中揭示的，頂級企業(yè)身份網(wǎng)絡(luò)安全項目是高級身份驗證和特權(quán)訪問管理(PAM)——二者各自為19%的受訪者所選擇。

為完全解決這些問題，企業(yè)應(yīng)選用融合了企業(yè)和消費用戶共有特性的數(shù)字身份管理系統(tǒng)。

五大要訣推進全面數(shù)字身份管理解決方案

考慮到企業(yè)和消費者身份的深度關(guān)聯(lián)，公司應(yīng)以同樣協(xié)調(diào)的方法對待二者，解鎖對企業(yè)和對消費者的種種好處。這不再是二選一的問題——強大全面的數(shù)字身份管理方法有助于驅(qū)動業(yè)務(wù)發(fā)展，減輕網(wǎng)絡(luò)安全團隊的負(fù)擔(dān)，并為消費者和公司員工提供優(yōu)越的體驗。

身處無處不網(wǎng)絡(luò)的時代，身份管理的運營環(huán)境將變得越來越復(fù)雜，需滿足更高的業(yè)務(wù)期待，集成新技術(shù)，遵從多個數(shù)據(jù)隱私管理規(guī)定，還需管理不斷增加的人和設(shè)備。為把握復(fù)雜環(huán)境中的正確方向，網(wǎng)絡(luò)安全主管可以做好下列五件事，以便將數(shù)字身份管理策略、過程和系統(tǒng)更好地集成進業(yè)務(wù)中：

01、追求全面的身份管理方法

公平對待每個人每件事——無論是消費者還是員工，是一個人、一臺設(shè)備，還是一個應(yīng)用程序。身份生態(tài)系統(tǒng)中但凡漏掉了哪個元素，都會影響到公司創(chuàng)新和運營的速度。找尋企業(yè)和消費者身份管理系統(tǒng)相得益彰的機會，找到使用傳統(tǒng)功能的新方式。

02、幫助整合、協(xié)同和貼合職責(zé)

身份、數(shù)據(jù)隱私和監(jiān)管合規(guī)愈加重合。這意味著技術(shù)、網(wǎng)絡(luò)安全、法務(wù)和業(yè)務(wù)主管都是有效身份管理的利益相關(guān)者，都有各自事關(guān)用戶體驗、系統(tǒng)可用性、彈性、風(fēng)險管理和消費者參與度的困難和愿景。負(fù)責(zé)身份管理的人處在知會和影響商討與決策的特殊位置上，能夠確保公司更快適應(yīng)。

03、倡導(dǎo)結(jié)果導(dǎo)向的方法

為推動創(chuàng)新工作和數(shù)字轉(zhuǎn)型，不妨將身份作為整個公司的一項服務(wù)。識別身份管理能有所幫助的業(yè)務(wù)成果，比如提高消費者保留度或提升HR過程效率。為克服資源限制，支持專注這些更大成果的大型革新性項目。

04、嘗試托管服務(wù)

考慮到資源和人才稀缺與網(wǎng)絡(luò)安全問題，找人幫忙解決業(yè)務(wù)需求。如果公司無法投入所需的資源到身份管理中，嘗試三方托管服務(wù)，無論是現(xiàn)場還是云端實現(xiàn)的。他們可以提供最新的技術(shù)和功能，增加自動化和面向未來的身份系統(tǒng)。這種轉(zhuǎn)變或許不適合所有人，可能還會有對放棄一些控制的抵觸情緒，但不要漠視這一選項。要解決顧慮，可以考慮采取階段化的方式。

05、準(zhǔn)備運用AI

機器學(xué)習(xí)等AI技術(shù)正融入多種身份管理解決方案——從自動化賬戶監(jiān)管到欺詐檢測。探索采納AI技術(shù)對公司數(shù)字身份功能有何意義。您想要什么結(jié)果——是自動化或優(yōu)化現(xiàn)有過程，還是創(chuàng)建全新的身份驗證和風(fēng)險評估功能？這將會對您網(wǎng)絡(luò)安全團隊的工作方式產(chǎn)生怎樣的影響？需要哪種類型的培訓(xùn)？

考慮到上述操作的全方位數(shù)字身份策略，能夠為消費者、員工、安全團隊和業(yè)務(wù)主管解鎖重大利益。更重要的是，統(tǒng)一的方法有助于建立信任，確保隱私和安全，從而防止數(shù)字身份危機。數(shù)字身份系統(tǒng)曾經(jīng)需要在安全和便利上做選擇，但現(xiàn)在您可同時擁有二者。仔細(xì)斟酌您的系統(tǒng)設(shè)計方法，以便保護資產(chǎn)和防止為員工和消費者帶來太大負(fù)擔(dān)。著手?jǐn)?shù)字身份轉(zhuǎn)型的時候，不妨看看以上建議。

科技、傳媒和電信公司的身份管理

每家公司都面臨不同的數(shù)字身份挑戰(zhàn)，擁有獨特的身份管理方法。比如說，科技公司的數(shù)字身份策略和系統(tǒng)就非常靈活，可以適應(yīng)快速變化的市場。媒體和娛樂公司常面對大量瞬時客戶。電信公司的系統(tǒng)非常老舊，難以更新或替換，且不能方便地與現(xiàn)代身份管理解決方案集成。但有一些共同的因素，是這些公司在強化自身數(shù)字身份管理功能的時候應(yīng)該銘記在心的。此處列舉其中一些共同因素：

與其他行業(yè)相比，這些行業(yè)一直以來受到的監(jiān)管相對較少。這意味著，在數(shù)字身份問題上，他們未必需要做其他公司必須做的一些事情。如果做了，那是因為這些都是為客戶和員工好的正確的事，有助于維持信任和安全。監(jiān)管壓力的缺乏可能會拖慢數(shù)字身份轉(zhuǎn)型。隨著GDPR和CCPA等新規(guī)定的出現(xiàn)，這一情況開始改變，數(shù)字身份經(jīng)驗較少的行業(yè)也需要改變它們的方法了。

這些行業(yè)擁有高水平的技術(shù)專業(yè)知識和經(jīng)驗。很多科技、傳媒和電信公司都雇有高級工程師和技術(shù)人員，可能覺得自己能夠應(yīng)付遭遇到的任何數(shù)字身份問題；能夠從零構(gòu)建自身所需，然后推進到下一個問題。然而，恰當(dāng)?shù)臄?shù)字身份方法綜合了很多復(fù)雜系統(tǒng)，需要專業(yè)技術(shù)和持續(xù)的警醒。公司應(yīng)專注自身核心目標(biāo)所需高端技術(shù)人才，利用現(xiàn)成的成熟身份解決方案。

一旦出錯，這些行業(yè)面臨的潛在后果更為嚴(yán)重。這些公司創(chuàng)建的很多產(chǎn)品和服務(wù)是其他行業(yè)的底層支撐。此類公司一旦因管理不善的憑證而發(fā)生數(shù)據(jù)泄露，公眾和市場反應(yīng)相對于零售商或工業(yè)公司發(fā)生同類事件要大得多。這就令全面的數(shù)字身份策略和方法變得更為重要了。

本文摘選自德勤《企業(yè)與消費者數(shù)字身份管理戰(zhàn)略》：https://www2.deloitte.com/us/en/insights/industry/technology/consumer-enterprise-digital-identity-management-strategies.html