对于企业来说,公司内部员工的数字身份管理成为近年来的重要议题。
根据安全公司CyberArk近期发布的一份报告显示,有高达79%的资深安全专家表示,在过去的一年间,安全已被各式数字商业计划所取代而退居次要位置。企业内拥有动辄数十万计的人类和机器身份,正导致“安全债”不断累计,使公司组织面临更大的安全风险。
为何“身份”在近期成了企业内部的头痛问题?CyberArk分析,每个IT或数字转型计划都会增加人员、应用系统和作业程序间更多的联动,因而创造出大量的数字身份,如果这些数字身份缺乏适当管理且存在安全隐忧,将形成巨大安全风险。
CyberArk进一步指出,有68%的非人类或机器人(bots)可访问机密敏感资料和资产;平均每个员工拥有30个以上数字身份;机器身份数量如今平均是人类身份的45倍;87%的组织将秘密资讯存放于DevOps环境的各个地方,且80%受访者表示开发者通常会拥有更多比正常所需要的权限。
事实上,安全专家们同意其最近加速部署的数字转型计划需要扛起“安全债”代价。也就是说,安全规划和安全工具跟不上公司强化运营支持所采行的措施。所谓“安全债”是由于没有对机密敏感资料和资产的访问进行适当的管控,且缺乏身份安全管控导致风险升高而产生不良后果。
而最近的地缘政治紧张局势对于关键基础设施直接产生冲击,加剧了“安全债”的严重性,公司组织更应该正视网络攻击对于实体设施可能造成的伤害。
那么在面对“安全债”时,企业能够做些什么?CyberArk认为,应该要强化透明度导入管理机密敏感访问(Manage Sensitive Access)策略,以及将身份安全管控视为推动零信任原则的首要工作。
(首图来源:pixabay)