身份安全：数位防卫的新前线

关键要点

• 随着远程工作的普及，企业的安全边界已经消失，身份安全的重要性急剧上升。
• 74%的网络攻击以人为目标，强调了企业必须关注身份安全。
• 非标准应用程序对企业的网络安全造成了重大挑战，93%的企业应用超出了常规身份边界。
• 在应对这些挑战时，采用 “自始至终的安全设计”（Secure By Design/Secure by Default, SBD2）原则变得至关重要。

随着应用程序转向云计算并远程工作成为常态，我们对重要数据和基础设施的保护边界早已消失。这一围绕边界的崩塌，使身份安全的重要性意外上升，而大多数企业对此反应迟缓。根据，有74%的网络攻击是针对人的。安全专业人员需要开始将组织的注意力转向这一新现实时，采取以身份为优先的混合方式，遵循“自始至终的安全设计”原则。

“身份是新的边界”这一说法常常被人们过度使用，但这并不意味着它不准确。身份一直在安全中扮演着重要角色，但在过去五年中，随着云计算的共享责任模型及应用程序的迅猛增长，这一重要性急剧上升。因此，网络安全基础设施安全局（CISA）提出的””（SBD2）指令不仅具有时效性，更是至关重要的。

然而，尽管有网络安全意识月的庆祝活动，但实现SBD2目标和将身份视为边界仍面临巨大障碍。其中一个影响所有企业的障碍是非标准应用程序，这些应用不支持通用身份和安全标准，如API和SAML。虽然“影子IT”通常指的是未获得IT和安全批准即使用的SaaS，但非标准应用程序，包括本地应用程序、OT、遗留和云应用，跨越了IT基础设施和系统的广泛范围。

研究数据 | 结果
—|—
来自Okta和Netskope的研究 | 高达97%的企业应用超出常规身份边界。
Ponemon研究所的发现 | 52%的组织经历了由非标准应用程序导致的网络安全事件。

向以身份为中心的世界转型需要将非标准应用程序纳入组织的身份提供者控制之下，例如Okta、Azure AD（EntraID）和SailPoint。然而，没有创建身份提供者与非标准应用程序之间完全连接的身份网，这一转变是不可能实现的。过去，组织通过企业密码管理器尝试解决这一问题，但由于缺乏与身份提供者的自动化和集成，这已不再有效。

在网络安全格局中，导航需要与SBD2原则、非标准应用程序和身份作为新边界的概念进行复杂的协调。这三者相辅相成，构成了现代数字防御的关键框架。SBD2内在地促进了预防的姿态，在从创建到部署的整个过程中，无缝地集成安全协议，为应对威胁提供了坚实的基础。但非标准应用程序的普遍性则带来了挑战，由于缺乏对标准的支持，这些应用程序本质上抵制与身份提供者的顺畅集成。因此，战略需要转向将身份作为我们数字交互的前沿，在传统边界消散的地方加强安全，特别是在复杂的非标准应用程序范围内。一个融合了SBD2内在安全性和完全连接的身份网的协调方法，以Okta、AzureAD和SailPoint为中心，成为了最佳前进路线。

回顾网络安全意识月的第20个年头及身份作为新边界的出现，安全专业人员需要关注以下三个领域：

• 过程重于产品： 虽然至关重要，但多因素身份验证（MFA）、强密码和密码管理器并非万灵药。它们是我们向完全连接的身份网和像FIDO2这样的标准迈进过程中的短期解决方案。
• 控制无法管理的事情： 非标准应用程序的风险已经变得紧迫，值得立即和集体关注。这个问题影响每