什么是身份安全？

随着企业采用云服务、支持远程办公并管理多元终端与应用，网络边界日益模糊，基于边界的防御逐渐失效。数字身份——即系统中代表用户、设备或应用的专属档案——已成为维护数据安全的核心要素。

根据 IBM® 数据泄露成本报告，被盗或被泄露的凭据是数据泄露的常见初始攻击媒介，占 10%。当黑客获得用户凭据时，他们会使用这些凭据接管有效帐户并滥用其权限。 

身份安全确保仅授权用户可访问特定资源，同时降低基于身份与凭证的攻击风险。

有了有效的身份安全，组织可以减少漏洞，提高运营效率，防范网络威胁，如网络钓鱼攻击和数据泄露。

在过去，组织通过建立受防火墙、虚拟专用网络 (VPN) 和防病毒软件等工具保护的安全网络边界来保护其系统和数据。这种“数字围栏”假设公司网络内部部署的一切都是值得信赖的，而外部的所有内容都必须被阻止。

但随着数字化转型，这种清晰的边界消失了。随着组织采用远程工作、混合和多云环境以及第三方软件即服务 (SaaS) 工具，企业网络变得过于分散，无法实现基于边界的安全。

安全策略也从确保网络资产安全转向确保访问安全，将数字身份置于网络安全的中心。问题不再是“你在哪个网络中？”，而变为“你是谁？你应该访问这个吗？”

攻击者也同步进化。他们不再强攻防火墙，转而通过钓鱼攻击、凭证窃取和会话劫持等手段直接瞄准身份，实施权限提升。据 IBM X-Force Threat Intelligence Index 显示，合法账户滥用已成为黑客入侵企业网络的主要途径（占网络攻击的 30%）。

在此背景下，身份安全作为独立的安全领域应运而生，专注于保护数字身份及其访问权限免遭窃取、滥用和恶意利用。 

身份安全以身份与访问管理 (IAM) 为基础——该框架负责管理用户身份并控制系统与数据访问权限。新增针对数字身份的保护、检测与响应能力。

换句话说，身份安全并不能取代 IAM，而是通过持续监控、情境访问执行和对可疑活动的自动响应等能力对其进行了扩展。IAM 决定谁获得访问权限，而身份安全有助于确保访问保持安全。

身份安全与 IAM 共同构成现代身份安全解决方案的基石，助力企业保障数字身份安全、管理用户权限并抵御基于身份的网络威胁。

作为整合多类工具与实践的体系化方案，身份安全为数字身份全生命周期提供全面防护。这种全面的安全框架使企业在简化访问管理的同时保持强大的数据保护能力。

身份安全的关键要素包括：

• 数字身份
• 身份验证机制
• 访问控制
• 身份治理和管理 (IGA)
• 身份威胁检测和响应 (ITDR)

数字身份是身份安全的基石。它们代表企业系统中的用户、设备和应用程序。

身份安全可保护这些数字实体免遭未经授权的访问，以便恶意行为者无法滥用其权限来窃取数据、危害资产或造成其他损害。

常见身份类型包括：

• 用户身份：人类用户的数字映射，包含姓名、角色、部门及访问权限等属性。

• 机器身份：附加到应用程序、服务和 IoT 设备等实体的身份。

• 服务帐户：应用程序专用的系统交互账户。例如灾难恢复解决方案可能使用服务账户夜间从数据库获取备份。  

随着企业广泛采用云服务并深化自动化应用，机器身份与服务账户数量已超越人类账户。据估算，典型企业中非人类身份与人类身份比例达 10:1。¹生成式 AI 与 AI 智能体的发展将助推此趋势。 

身份安全在此扩张的生态中维持可视性与管控力，既保障合法用户安全访问，亦缩减企业攻击面。

身份验证可以验证用户是否是所宣称的身份，这是身份安全的第一个关键检查点。稳妥的身份验证对于降低未经授权访问用户帐户和敏感数据的风险至关重要。

核心认证方法包括：

• 多重身份验证 (MFA)：要求用户提供两个或多个验证因素来证明其身份。此要求使黑客更难冒充用户，因为他们需要窃取或伪造多个因素才能访问帐户。

• 生物识别身份验证：使用独特的身体特征（如指纹或面部识别）来验证用户。生物特征因素比密码更难被窃取。

• 无密码认证：以加密密钥或生物特征等更安全因子替代传统密码漏洞。

• 单点登录 (SSO)：用户一次身份验证即可访问多应用程序。SSO 不仅能改善用户体验，更能通过缓解密码疲劳、降低弱密码/复用密码风险、集中管控访问权限来强化身份安全。 

• 自适应认证：根据位置、设备安全状态及用户行为模式等情境风险因素，动态调整认证要求。例如，用户使用常用设备登录时可能仅需输入密码。如果同一用户使用全新设备登录，则可能需要同时输入密码并扫描指纹以验证身份。

访问控制决定已经过身份验证的用户在系统中可访问的内容以及允许执行的操作。

身份安全框架推崇基于最小权限原则制定严格的访问策略。即用户仅拥有完成工作职能所必需的访问权限——不多也不少。

常见的访问控制方法包括：

• 基于角色的访问控制 (RBAC)：根据组织角色向用户分配权限。例如，财务角色可授权用户进行采购，而人力资源角色可授权用户查看人事档案。

• 基于属性的访问控制 (ABAC)：根据用户、资源、操作和环境的属性分配访问权限。例如，如果首席财务官（用户）想要访问支付系统（资源）来批准付款（行动），ABAC 将综合分析这些因素并授权该活动。

• 基于策略的访问控制 (PBAC)：依据可融合情境的集中式动态策略执行用户访问决策。例如，仅当用户的安全状态符合公司终端防护标准且身处指定地理区域时，才允许其访问客户数据库。 

• 即时权限分配 (JIT)：仅在必要时且限定期限内授予用户提升的权限，消除授予用户长期有效权限带来的风险。例如，若用户需对生产服务器执行计划维护，JIT 可授予其临时的管理员访问权限，并在维护窗口结束后立即撤销。

• 特权访问管理 (PAM)：PAM 工具专注于保护特权账户（如管理员账户）和特权操作（如处理敏感数据）。常见的 PAM 功能包括凭证保险库、会话监控、即时权限分配和凭证自动轮换。

IGA 有助于确保数字身份拥有恰当的访问权限级别，并对访问行为进行跟踪以满足内部和法规要求。 

IAM 解决方案控制谁可以访问系统和数据，而 IGA 则侧重于确保这些访问权限是否适当、合理并受到持续监控。IGA 为管理身份生命周期和访问权限提供了一个操作框架，可降低访问相关风险并强制执行安全策略。

IGA 也是遵守《健康保险流通与责任法案》（HIPAA）、萨班斯-奥克斯利 (SOX) 法案和通用数据保护条例 (GDPR) 等监管标准的重要组成部分。它可以帮助组织证明对敏感系统和数据的访问权限已正确分配并定期审核。它还生成审计跟踪来支持内部审核和外部审计。

IGA 的关键功能包括：

• 提供和取消提供数字身份：在整个身份生命周期内管理访问权限，以简化入职流程并降低离职风险。例如，如果员工改变角色，IGA 工具可以自动撤销过时的权限，或根据其最新的职责分配新权限。

• 访问权限审查：定期审核用户权限，以识别并修正过度或不恰当的访问级别。定期审查有助于 企业执行最小权限原则，降低权限滥用风险。 

• 安全策略执行与报告：持续应用安全策略（如职责分离 (SoD) 和最小权限原则），并识别违规行为。例如，若某用户试图同时访问支付系统和审批系统（违反 SoD 规则），身份治理工具可标记或阻止该操作。  

ITDR 通过先进的能力增强身份安全，以保护身份基础设施并应对基于身份的攻击。虽然标准身份安全解决方案中并不总是包含 ITDR，但随着组织寻求强有力的安全措施来应对日益增长的基于身份的攻击威胁，ITDR 也变得越来越普遍。

ITDR 的主要能力包括：

• 持续监控：实时监控身份活动（包括身份验证尝试、访问请求和权限升级），以检测可疑活动。例如，ITDR 可以标记从新位置登录或尝试访问他们通常不使用的敏感信息的用户。

• 行为模式分析：通过先进算法建立用户正常行为基线，标记可能预示潜在安全威胁（如黑客劫持合法账户）的异常行为。

• 自动响应：自适应安全控制措施，在检测到威胁时立即采取行动以最小化潜在损害。例如，若用户出现凭证滥用迹象，ITDR 可撤销其会话、强制重新进行认证或临时阻止其访问敏感数据。
  

身份安全增强核心 IAM 控制，提供以下关键优势：

• 增强安全状况

• 法规一致性

• 运营效率

身份安全可以帮助降低账户劫持、凭证窃取、未授权访问及其他基于身份的攻击的可能性和影响。

身份安全工具可以帮助企业维护并证明其符合相关法规要求。

身份安全系统有助于简化企业的日常运营。

人工智能 (AI) 的进步对身份安全既是威胁，也是机遇。

作为威胁，生成式 AI 能帮助攻击者发动更多、更高效的身份攻击。根据 X-Force Threat Intelligence Index，X-Force 分析师观察到黑客利用生成式 AI 生成深度伪造音频和视频、编写逼真的钓鱼电子邮件，甚至创作恶意代码。

作为一个机遇，人工智能驱动的身份威胁检测和预防工具正变得越来越普遍，使组织能够更快地检测和阻止攻击。例如，通过使用机器学习，ITDR 解决方案可以创建正常用户行为的基线模型，并使用该模型来识别可能构成威胁的可疑偏差。