近年来,基于身份的攻击和未授权访问已经成为企业最为头疼的安全威胁之一,从Okta、Xfinity到微软,无数知名企业因脆弱的IAM系统被犯罪分子利用,遭受了影响广泛、损失惨重的网络攻击。
根据网络风险联盟(CRA)的一项新调查,网络安全行业中四分之三的受访者表示,与12个月前相比,现在更加担心未授权访问。58%的受访者还表示,最近的数据泄露事件促使他们的企业加大对IAM解决方案的投资,以阻止此类攻击。
尽管IAM日益受到重视且采用率逐年上升,但至少三分之一的受访者(35%)仍未实施IAM。即使是那些已经实施IAM的企业也大多表示面临很多挑战和阻碍。
根据CRA的调查,企业成功实施IAM主要面临以下七大挑战(附企业安全主管的真实反馈):
一、成本
- “缺乏真正有效的解决方案的(充足)预算。”
- “我理解IAM的重要性,但价格通常非常高。”
- “我们的困难在于没有足够的预算来支付外部顾问的费用。”
二、平衡安全性与用户效率
- “找到安全和生产力之间的界限对我们来说是一个挑战,比如让员工以最小的风险高效工作。”
- “安全性和便利性之间的平衡。重点是教育员工,任何给他们带来的不便,如果没有经过细致的解释,可能会导致项目遭投诉被撤销。”
三、与已有技术集成
- “最大的挑战之一是确保IAM与相关系统和应用程序的集成。这是一个复杂且耗时的过程,特别是对于拥有许多不同系统和应用程序的大型组织而言。”
- “定制IAM的实施和维护可能会很复杂且繁琐,并且可能会扰乱正常的业务运营。”
- “如何将IAM与其他基础设施集成并集成遗留应用程序?我们还没搞明白。”
- “我们对IAM的最大挑战是与公司所有移动部分的集成,并非所有内容在支持方面都是最新的,并且一些内部系统需要重写来支持它。”
四、说服怀疑者
- “很难让每个人都达成共识来实施。”
- “缺乏对明确需求的支持,最高管理层缺乏执行意愿。”
- “如果没有企业各级(领导)的支持,IAM实施可能会面临延迟和障碍。”
- “企业用户对IAM的接受度是实施IAM的最大挑战。”
五、缺乏合格的专家
- “寻找具备适当IAM技能的员工。”
- “缺乏IAM产品实施的内部员工和经验。”
- “大多数IAM功能都需要专家来设置,并且在使用中需要进一步帮助。用户采用的时间长短、产品的复杂性与最终用户的兴趣成反比。谁愿意花几个小时来了解一个不能提高工作效率和业绩的产品?”
六、正确配置IAM
- “实施PAM和PIM是我们目前面临的巨大挑战,它很令人困惑,而且没有共享具体信息。”
- “我们面临的挑战是让所有合作伙伴采用SSO/SAML,以便我们可以针对AD进行联合身份验证。”
- “缺乏专门的支持来帮助关键管理员进行配置。功能已经有了,但需要大量的时间和规划。如能提供用于常见和最佳实践配置的开发套件会很有帮助。”
七、打击影子IT和根深蒂固的用户习惯
- “我们拥有庞大的用户群,但IT人员相对较少。我们在实施IAM时面临的最大挑战是员工对影子IT的使用。我们的很多员工都在个人电脑和智能手机上工作,这违反了我们公司的政策。”
- “我们大部分的时间都用于打击影子IT和纠正用户的不安全行为。”