由於90%的網路安全漏洞與身分相關,而身分生態系統日益複雜,是資安威脅者首選的攻擊向量。因此對於組織而言,身分安全是所有資安領域中最需要慎重處理的面向。SailPoint發表2023 年度研究報告《The Horizons of Identity Security》結果顯示,44%的公司仍處於身分管理旅程的起步階段。而且令人擔憂的是,即使是身分安全措施成熟的公司也僅透過基礎治理功能涵蓋了組織中不到 70% 的身分。
此外受訪者也指出,與管理高層溝通身分安全的商業價值是一項關鍵挑戰。這凸顯了倡導身分安全者需要根據受眾在策略上的優先順序和價值驅動的思維方式,量身打造企業高階管理者容易採納的商業案例。
有77%的受訪者表示「高層主管有限的支持或關注」是進行身分安全投資的主要障礙,僅次於預算限制(91%)。然而今年的調查結果也清楚顯示,強大的身分安全計劃可以推動業務敏捷性和創新、風險緩解、效率提升和技術計劃的進步。舉例來說,更快速地整合身分、應用、資料和基礎架構,可使組織變革的速度加快高達30%。
科技產業、 銀行、證券身分安全較為成熟度
以產業類別做劃分,科技業的身分安全計畫最為成熟,73%受訪對象的身分安全管理已進入第三階段*以上;銀行保險業以及公用事業公司分別有71%與67%受訪對象進入第三階段以上,部分原因是需要應對嚴格的監管環境。製造業緊隨其後,如同公用事業,製造業需要透過先進的 IAM (identity access management ) 功能來管理其身分生態系統日益複雜的情況,以及橫跨 IT 和 OT 環境的大型攻擊面。 研究中也發現,具全球規模的企業重度依賴供應鏈中的承包商和其他第三方單位,使得這些企業必須維持一個廣大的身份和基礎設施網路。
亞太區仍處起步階段
亞太區60%的受訪對象依然停留在起步階段。不過,亞太地區對身分安全的關注存在兩極化。這種差異可能歸因於不同的監管環境。 在亞太地區中,相較澳洲、日本、新加坡等國家在身分和資料安全已奠定完善且相對成熟的監管框架,該地區的部分國家才正開始採用或首次頒布相關法規。
SailPoint台灣區總經理傅孝淇表示:「隨著與身分相關的威脅不斷增加,各行各業的安全團隊都必須採用支援AI的全面性身分安全管理方法,自動化控管存取權限並確實執行,避免未經授權的存取造成的風險。」
根據調查結果,組織中平均有超過30%的身分沒有獲得適當的身分解決方案管理,尤其在第三方身分、機器身分和資料方面都有顯著的落差。為了避免外洩,將這些身分納入強大的身分管理程序的保護傘下便相當關鍵。基礎的安全功能可加快事件回應速度,防止惡意行為者獲得授權進入內部系統,限制員工有過度的存取權限,這也是本次調查中受訪者認為最常導致外洩的安全缺陷。
AI助力企業加速身分管理進程 奠定數位轉型基礎
今年的報告顯示有越來越多的組織正在探索使用AI的動態信任模型,藉此根據使用者行為調整存取權限。調查結果還顯示,利用SaaS、AI和自動化的公司,擴充的速度顯著提高10-30%,並且能透過提高功能利用率使公司的安全投資獲得更多價值。更明確地說,和沒有 AI 支援的公司相比,利用自動化和 AI 的身分平台的公司擴充與身分相關功能的速度快了 37%。
SailPoint推出一種新的採納評估工具,幫助組織評估當前的能力以及與同儕相比的結果。這項工具可以幫助企業辨識出目前加強身分安全的最大障礙,以及如何透過投資身分管理產生更大的業務價值。