六个身份和访问管理（IAM）策失败的迹象以及如何解决

​数十年来，很多企业一直在开发和执行身份和访问管理(IAM)策略。IDC公司产品项目总监Jayretzmann说，“它始于大型机时间共享，所以没有什么新鲜事，”尽管有这么长的经验，但仍然存在犯错的机会，尤其是当公司将其IAM平台升级到能够更好地处理现代IT部署的平台时。

这里有六种方法可以判断公司的IAM策略是否失败。

1.用户无法访问他们的应用程序，但犯罪分子可以

IAM平台的主要目标是允许合法用户访问他们需要的资源，同时阻止坏人。如果发生相反的情况，则说明有问题。根据最新的Verizon数据泄露事件报告，被盗凭据是去年最常见的攻击方法，涉及一半的泄露事件和超过80%的Web应用程序泄露事件。

Bretzmann说，公司通常会尝试做的第一件事是摆脱简单的用户名和密码组合，并添加短信一次性密码。他说，这并没有多大帮助，而且会加重用户的启动情绪。“做得对，IAM不仅仅是单点登录和多因素身份验证，”他说。“这是关于了解请求访问IT系统并解决他们的连接问题的用户的多样性。”

根据Forrester公司分析师Andras Cser的说法，企业IAM系统范围内的用户包括员工、业务合作伙伴和最终客户。所有这些都需要不同的方法。对于员工而言，企业通常会求助于身份即服务提供商，例如Okta、AzureActiveDirectory或本地IAM系统，他说，这些系统仍然比基于云的选项更强大、功能更丰富。对于客户来说，一些公司开始从用户名和密码转向谷歌和Facebook等社交登录。

最后一个IAM访问类别是机器身份。根据Pulse和KeyFactor去年秋天发布的一项调查，机器身份的优先级低于用户身份，但95%的CIO表示他们的IAM策略可以保护机器身份免受攻击。

企业还需要注意这样一个事实，即他们必须在各种环境（本地、云、SaaS、移动和在家工作）中保护所有这些不同类型的用户。

2.孤立的身份和访问管理平台

Gartner分析师Henrique Teixeira表示，许多组织使用不同的解决方案进行访问管理、身份治理和管理以及特权访问管理。他说，孤岛创造了额外的工作。“而且攻击者可以利用的每个解决方案之间经常存在差距。”

Teixeira说，“供应商开始转向统一系统来解决这个问题。例如，Okta和微软已经开始提供更加融合的平台。”Gartner估计，到2025年，70%的IAM采用将通过这些融合的IAM平台实现。

Teixeira说，“面向客户的IAM更加落后。大多数组织都在使用定制的本土应用程序。在解决新的隐私法规要求和保护基础设施免受更现代类型的攻击时，这是有问题的。”

3.过于激进的IAM推出计划

很容易认为IAM平台会一次性完成所有工作。Cser说，高管们很容易对解决方案过于热情，而供应商也会过度承诺。“这对很多组织来说都是个问题，”他说。“如果您尝试安装访问管理解决方案，并且必须在一天内让所有300个应用程序全部上线，那将是失败的。”

Cser建议改为分阶段推出。试图一口气完成所有事情是不现实的。例如，尽管供应商做出了承诺，但公司通常必须做更多的定制和编排工作才能集成他们的应用程序。如果IAM的现代方法需要重新设计内部流程，则尤其如此。他建议进行IAM更新的公司利用这个机会首先简化和合理化流程。“而且不执行现有的烂摊子。这就像搬家一样。当你从一个地方搬到另一个地方时，你想先把东西扔掉，而不是把它们搬到新的地方。”

4、认证与授权分离

“IAM是任何安全和IT计划的基石，”搜索技术公司Yext的首席信息安全官RohitParchuri说。他说，没有它，其他安全控制的商业价值就会降低，并且无法充分发挥其潜力。“您需要先了解您的投资组合中存在哪些用户和资产，然后才能开始保护它们。IAM提供了访问环境的可见性，同时还启用了控制该访问的功能。”

在之前的职位上，Parchuri在部署IAM时遇到了几个问题。他说，“当我们最初冒险执行IAM时，我们错过了在我们的成功标准中添加一些东西，第一个问题是授权被视为独立于身份验证的实体。使用单独的授权服务器，我们必须在两个不同系统的身份验证和授权实践之间来回切换。”这增加了总拥有成本，并给管理两个独立实体的团队带来了额外负担。

5.认证覆盖盲点

Parchuri面临的另一个问题是一些内部系统没有被编目并且仍然依赖于本地身份验证。“在我们的内部系统上进行本地身份验证，在会话管理和用户入职和离职实践方面缺乏可见性，”他说。这些任务应该由IAM工具处理，但没有。

该公司在对其资产管理计划进行覆盖练习时发现了这个错误。Parchuri说，“我们发现在我们的配置管理数据库中记录的应用程序没有在IAM工具中捕获，”一旦我们确定了这些应用程序，我们还注意到IAM工具将授权验证外包给本地部署的本地系统，尽管它们作为一个实体存在于IAM工具中。”

要解决这个问题，最难的部分是弄清楚是否可以使用安全断言标记语言(SAML)或跨域身份管理(SCIM)来集成IAM工具和内部工具。Parchuri说，“一旦我们能够做到这一点，剩下的就是执行和永久管理。”

6.多个IAM系统导致可见性问题

专注于监管、风险和合规问题的全球咨询公司StoneTurn的合伙人Luke Tenery表示，公司有时会在集成不同的IAM平台时遇到挑战。他说，“如果他们有太多的身份管理系统，就很难找到安全异常之间的关系，这就是痛苦的地方。”

例如，许多网络攻击都涉及某种形式的电子邮件泄露。例如，如果相同的身份也用于访问公司的Salesforce系统，那么在发现第二个攻击向量之前可能会有很大的延迟。“如果它是相同的用户名和密码，但以分散的方式管理，他们可能不会看到Salesforce中发生的妥协，”Tenery说，“如果停留时间更长，对组织产生影响的风险就会增加。癌症在体内的时间越长，威胁造成损害的时间就越长。”

Tenery说，他看到了一个案例，威胁参与者能够进入Salesforce数据库以执行全球酒店供应商的忠诚度计划，从而访问数百万客户记录。解决方案是创建整个企业的身份和访问管理的整体视图。“将结缔组织整合在一起可能是一个艰苦的过程，”他说，“但有一些平台可以帮助组织整合其IAM功能。”

如果直接集成不是一种选择，Tenery说，有一些先进的工具可以利用机器学习和人工智能来创建自动化来建立这些联系。对于Salesforce和Office365，可以直接集成。他说，“还有第三方工具，比如我们使用的Obsidian Security。这是一个利用不同形式的自动化和机器学习来识别身份链接以检测安全异常和管理身份风险的平台。”​