疫情后的身份安全-走向零信任

Ping Identity公司最近对全球高级管理人员进行了一项关于“疫情如何重塑其 IT 资源和战略”的调查。结果显示，许多人希望他们的一部分员工能够长期远程工作。近一半（47%）的高管预计，到2022年，他们的大部分员工每周将离开办公室工作三天甚至三天以上。

这一转变促使企业迫切需要投资于身份和访问安全功能，以寻求为分散的员工队伍和扩大的在线客户群实施零信任安全模型。零信任（“从不信任，始终认证”）方法将每个访问视为潜在威胁，并在认证之前阻止对数据和资源的访问。企业领导者相信，这种转型将解决围绕安全和合规性的新挑战，并提高员工的工作效率。他们的目标是为员工和客户提供卓越的在线体验，无论工作是在哪里完成的。

这些安全问题有多严重？报告中列出了这些支出估算：

•“85%的受访高管表示，对身份安全的投资对公司的移动和整体用户体验至关重要。”

•“71%的高管认为他们公司对零信任的投资将在明年增加。”

•“自疫情开始以来，55%已投资于新的身份安全功能。

•“由于远程工作，60%增加了与身份相关的战略投资支出，69%的高管预计在未来一年将增加对IAM功能的投资。”

这些投资是有依据的。当公司经历了远程工作员工的陡然增加，并且几乎没有应急计划，来保护其安全基础设施。随着员工办公和客户使用转向线上，IT部门被迫对安全和业务绩效承担更多责任。

近一半（44%）的IT部门发现他们在大量地为员工的家庭路由器和Wi-Fi网络提供新的、更安全的口令（44%），或帮助绑定移动电话以进行备份访问（42%）并提供额外的路径（30%）。受疫情影响，多因素身份认证（MFA）的使用几乎翻了一番。

调查发现，这些举措是向采用零信任而非持续依赖公司网络的安全战略的重大转变的一部分。公司必须快速评估远程访问公司资源的员工是否会使他们的身份管理系统不堪重负。长期使用虚拟专用网络（VPN）为员工提供远程访问已远远不够，因为公司无法信任员工身份。事实上，Zscaler的2021年VPN风险报告发现，大多数组织（72%）计划彻底放弃VPN。

转向全面的零信任结构需要组织对网络上的人员、设备、应用程序、交易和其他活动进行身份认证方式的重大改变。首先，最重要的是如何智能地对每个用户进行身份认证。个人需要用多个证据证明自己的身份，也称为多因素认证。这些因素的组合通常会分解为用户所知（如口令）、用户所有（如智能手机）以及用户所是（如面部识别或指纹）。不同级别的活动和安全风险可能需要采用不同级别的多因素身份认证。

但对用户进行身份认证并不足以实现零信任。即使经过适当身份认证的用户也可能成为使用受损设备的牺牲品。对设备进行身份认证同样重要，因为可以利用受损设备获取企业数据和口令等信息。对设备进行身份认证可确保用户使用的是经过认证的可信硬件。

即使该设备已被证明未被篡改，它也可能缺少安全补丁。例如，恶意软件可以欺骗个人使用冒名顶替者的应用程序。这就是为什么对设备上运行的应用程序进行身份认证也很重要的原因。

最后，如果交易正在发生，它也必须得到授权。采用中央授权引擎的安全系统通常会确定是否允许用户进行交易，在建立足够的身份认证之前，默认设置为“否”。利用使用加权变量（包括行为生物特征、连续身份认证、时间或位置）的风险评分系统来确定交易是否恶意。

随着数字化转型的加速，相信身份和零信任将逐渐成为所有重大业务决策的核心，提供现代员工和客户所期望的客户体验水平。