CyberArk公佈一份針對身分安全導入趨勢以及企業在採行相關策略的相對成熟度調查報告。調查結果顯示,只有9%的組織採取了敏捷、全面和成熟的方法,保護其混合和多雲環境中的身分安全。該報告提出了一個身分安全成熟度模型,以協助資安主管評估其當前策略,察覺風險並採取行動以強化資安韌性。
身分安全是達成資安韌性的必經途徑
「全面身分安全成熟度模型:提高資安韌性的標準」(The Holistic Identity Security Maturity Model: Raising the Bar for Cyber Resilience)報告收集了CyberArk和Enterprise Strategy Group(ESG)對1,500名資安專業人員(包括台灣在內)的調查結果。根據此份全球調查,由資料驅動的模型識別出其中9%的公司擁有最成熟和全面的身分安全策略。這些變革性組織(Transformative organization)在部署身分安全工具時具備全面眼光,不但擁有敏捷體質,更表現出一種“錯了就改,學得更快”的特性,甚至經歷過多次成功的資安攻擊事件依然如此。然而,有42%的受訪單位的身分安全計劃都僅處於成熟度模型的最初階段,缺乏基礎工具和整合來快速應對身分安全相關風險。逐漸擴大的身分攻擊面、IT複雜性和一些組織上的障礙導致了這樣普遍的身分安全缺失。一些值得注意的發現包括:
- 策略和成果之間的差距:69%的高階管理人員(台灣:71%)相信他們在身分安全相關決策上做出了正確的決定,而其他人員(技術決策者和實作者)認為如此的比例則為52%。這個差距凸顯了一個迷思,以為只要進行對的技術投資,就可以達到整體安全。但這只是故事的一部分,能與現有環境共同整合運作、打破各自為政模式以及強化訓練,同時兼顧這些面向才能在戰略上發揮最大投資效益。
- 分離的端點資料:92%的受訪者(台灣:97%)認為端點安全或設備信任和身分管理是健全「零信任」策略的基本功,65%(台灣:82%,是所有國家中最高的)認為具備連結資料的能力對於有效保護端點最為關鍵。
- 力量分散:58%的公司有兩個團隊分別負責雲端和地端身分安全防護,且依賴許多單一解決方案,讓掌握即資安態勢變得極為困難。
Enterprise Strategy Group(ESG)的資深分析師Jack Poller表示:「這份研究揭示了健全的身分安全策略和優異企業表現之間的關聯性。更頻繁和及時的成熟度評估可以協助確保對的使用者可以存取對的資料,同時公司可以在威脅將影響企業運作前迅速採取行動。」
同儕評估框架(Peer-Based Framework)讓資安專家可建立成熟的全面性身分安全策略
藉由對於這些同儕資料的深度分析,全面身分安全成熟度模型(Holistic Identity Security Maturity Model)框架可協助企業評估其在身分安全四個面向的成熟度:
- 工具採購涵蓋管理、特權控制、治理、身分驗證和授權,以確保所有身分和身分類型的存取安全。
- 與公司既有IT和資安解決方案整合,以確保對所有企業資產和環境的存取安全。
- 自動化以確保持續遵循政策、行業標準和法規,並能對於大量例行工作或異常事件進行快速反應。
- 基於對身分行為和公司政策的深刻理解,建立持續的威脅偵測和反應能力。
CyberArk思惟領導行銷總監Amita Potnis表示:「雖然63%的公司承認曾經遭受過基於身分的攻擊,但考量攻擊者持續大規模鎖定身分進行攻擊,這個百分比可能更高。」她說:「對於希望採用成熟的全面身分安全策略的公司而言,主要的重點是透過打破各自為政和採用整合和自動化的身分安全措施,確保所有身分(人和機器)可以安全地存取。我們的研究表明,許多公司已經開始在這領域進行投資,其中24%的公司今年將有超過總資安預算的10%投入身分安全專案。」
佔所有受訪單位9%,已經達到成熟度頂端的變革性組織(Transformative organization),採用統合的身分安全策略。CyberArk身分安全平台實現了這種方法,對人和機器等所有身分運用智慧特權控制擴師,並在整個身分生命週期中持續偵測和預防威脅。CyberArk協助企業實現零信任和最小特權,並確保每個身分都可以安全地存取位於任何地方、來自任何地方的任何資源。