身份和访问管理是任何公司网络安全战略的重要组成部分。Simeio公司解决方案和咨询总监James Quick表示,要避免这些常见错误,否则就会面临数据泄露的风险。
61%的数据泄露归因于证书被盗。根据威瑞森公司的2022年调查报告,82%的已确认的数据泄露涉及所谓的“人为因素”,包括社交攻击、错误和针对个人的一般滥用,从而造成人为错误。威胁行为者通常以个人为目标,制造一种令人困惑的场景,即个人愿意在不知道后果的情况下授予访问权限。
但这并不是威胁行为者发现安全漏洞的唯一方法,这就是为什么企业必须避免最常见的身份和访问管理(IAM)错误。
最常见的IAM错误:
(1)糟糕的或部分的IAM实现使您的业务容易受到攻击,并使您的安全团队成为同谋。
(2)没有明确的IAM治理会导致缺乏全面的策略和易于理解的策略。
(3)所示。没有行政领导团队“支持”或为员工提供明确的指导。
(4)所示。缺少熟练的网络安全专家:IAM工程师、架构师和管理人员。
(5)多个不一致的身份授权来源,这意味着存在多个具有重复身份凭证的记录系统。
(6)关于数据和应用程序所有权或责任的政治内讧。
(7)缺乏组织变革管理流程来解决问题,并领先于黑客的最新策略。
(8)制度上的“分析瘫痪”导致对降低复杂性的厌恶和对自动化的恐惧,从而导致对有风险的、耗时的手动过程的依赖。
(9)未清理的数据被移除并转移到新的IAM系统中。
(10)不切实际的IAM推出方法对赞助商和用户无效。
理解为什么它很重要
解决任何IAM问题的第一步是理解它。IAM是一种信息技术安全策略框架,它确保正确的用户(员工、客户和合作伙伴)能够适当地访问他们做好工作所需的资源。它需要管理用户身份的生命周期和路线图,管理他们的访问,并通过身份分析适当地监视他们的身份和凭证的使用。有效的IAM确保有适当的控制来控制用户与他们需要“特权”访问的关键系统交互的能力,这是特权访问管理(PAM)的基础。
例如,许多公司在实施这些计划时需要更适当的治理,这通常源于缺乏在整个组织内沟通的战略愿景。因此,员工在没有审查的情况下获得并保持对系统的访问权的时间过长,并且当系统碎片化时,不容易看到这种情况可能发生在哪里。
当使用多个不同的网络安全系统时,就会出现信息孤岛。然而,这对许多企业来说是司空见惯的。必须尽快通过统一系统的实施来解决这个问题,否则可利用的漏洞将继续使您的业务容易受到数据泄露的影响。随着监管机构表明他们愿意对无效的网络安全战略和缺乏透明度进行定罪,如今网络安全专家做出改变以保护员工和客户数据或面临法律诉讼的风险比以往任何时候都更重要。
接触IAM的正确方法
许多公司在推出IAM战略时犯的主要错误是未能获得公司执行领导团队的支持、可见性和赞助,包括首席执行官、首席财务官和首席运营官。身份安全永远不应该依靠CISO或CIO来管理和沟通。所有的业务领导者必须在IAM方面拥有相同的战略愿景,并在组织内部推动其取得成功。
但要知道你的安全系统是否容易受到攻击,唯一的方法就是聘请网络安全专家并不断地进行测试。如果您不进行测试和不断改进,您怎么可能知道您的数据是受保护的呢?威胁行为者每天都在改进他们的方法,以发现安全系统中的新漏洞。你的适应速度比他们快吗?
确保安全团队有明确的责任和所有权制度,并定期与员工沟通更新的方法是至关重要的。无论员工是否承认,他们都站在对抗黑客、恶意软件和勒索软件的第一线,因此任何企业都需要定期发布通讯或交流关键安全变化的方法。如果更新是复杂的,适当地提高员工的技能,同时确保访问管理过程尽可能简单和直观。
要有这样做的基础,可以雇佣具有这方面专业知识的新员工,或者打破常规,聘用那些基础扎实、学习能力强的人。拥有精通IAM和机构变更管理流程的网络安全专家可以极大地帮助您实施和管理战略。不过,这一领域仍存在人才短缺,因此可能有必要引入第三方专家。
此外,机构分析瘫痪和对自动化的恐惧可能导致IAM实现失败。手动流程和“这是我们一直做的方式”的心态对任何网络安全计划都是危险的,因为更新是消除漏洞差距和促进更好的用户体验所固有的。
聚焦融合
当您在多个身份管理系统中分布和复制身份时,冗余会造成混乱,并导致一些用户访问敏感信息的时间远远超过他们应该访问的时间。确保您组织的数据在被提升和转移到新的IAM系统之前得到了清理。通过直接征求资源、赞助商和用户的反馈,确认您的推出方法对他们有效。
检查当前的冗余工具,这可以帮助您节省大量资金,同时降低风险。最近,对于一个客户来说,发现了可以退役的冗余IAM工具(其中一些仍然是货架软件),这使得每年可以节省20%的许可成本。网络安全工具的授权成本降低20%会为您节省多少?
如何确定IAM策略是否有效
获得正确的IAM策略将需要持续的时间和精力,即使是在已建立的系统上工作的经验丰富的网络安全团队。当组织使用来自不同供应商的各种解决方案和产品,而没有身份编排(IO)平台时,情况尤其如此,IO平台将多个系统聚合到单个编程视图中,并允许采用更主动的方法进行威胁检测和解决。
如果你不确定当前安全系统的有效性,定期测试它们。全面的IAM评估可以诊断出您在哪些方面做得好,哪些方面需要改进,以及您未来需要做些什么来实现真正的身份安全。一个成功的IAM计划依赖于透明的文化。除非领导已经就目标达成一致,在团队中共享,并且欢迎公开的反馈,否则您无法识别系统中的差距。
很明显,IAM是一家全球战略投资企业,每年都在变得越来越有价值。BusinessInsights公司最近的一份报告预测,IAM全球市场将从2021年的134.1亿美元增长到2028年的345.2亿美元。不要等到太晚了才修复IAM策略中的问题。一旦数据泄露发生,要将其全部清除是一项挑战。
