本文来自微信公众号“安全牛”。
2023年度Gartner安全和风险管理峰会于6月初在美国马里兰州成功举办,该会议向来是网络安全行业发现技术创新和应用趋势的盛会,今年也不例外。在今年的峰会上,与会专家和参会嘉宾广泛讨论了如何在快速变化的数字环境中,有效应对身份带来的安全风险与挑战。而特权账号由于是企业最核心的身份资产,其访问安全性将直接关系到企业最在意的数据安全和业务安全,因此成为了本次峰会研讨时的焦点议题。
01
推动PAM应用落地的“巧克力”是什么?
在峰会开幕演讲中,Gartner副总裁、高级分析师Leigh McMullen表示:如今许多企业组织的CISO和安全团队感到精疲力竭,他们已经为企业安全建设工作付出了最大的努力,却没有获得符合预期的回报,一些错误的认知阻碍了企业充分发挥网络安全的价值。对PAM技术而言,能够真正推动其有效应用落地的“巧克力”是什么?
在回答这个问题时,McMullen重点强调了人们习惯于选择简单和易于使用的方法,而非最先进的技术,因此需要简化安全性才能获得最终用户的采用。鉴于各种安全工具泛滥成灾、网络安全专业人员严重匮乏,McMullen呼吁将最低有效洞察力作为衡量PAM安全计划是否成功的重要指标,并倡导使用最低有效工具集以实现预期结果。McMullen特别指出,PAM安全服务商需要实现最低有效摩擦才能提高用户的实际采用率,其理念是让执行正确的操作变得更简单,而不是有意绕过安全指南。
02
在网络安全网格中的应用
在今年峰会上,重点研讨了PAM技术在新一代网络安全网格(cybersecurity mesh)方案体系中的作用。Gartner认为,网络安全网格可以使任何人都能更安全地访问任何数字资产,无论资产或人员位于何处。它通过云交付模型解除策略执行与策略决策之间的关联,并使身份验证成为新的安全边界。到2025年,网络安全网格将支持超过一半的数字访问控制请求。在此背景下,企业的网络安全建设需要从基于网络基础设施的边界向基于数字身份的边界转变,将会进一步突出了PAM在现代企业网络安全战略中的重要作用,企业要从全新的身份安全视角进行特权访问管理技术的建设与应用。
03
融入到零信任体系架构
今年峰会的一个关键话题是PAM技术和零信任体系的应用交集。随着零信任体系架构的不断应用落地,PAM也被Gartner认为是显著降低现代企业数字化风险的最关键部分。峰会强调了PAM对于实现成功零信任策略的重要性,因为它有助于执行最小特权原则,仅为用户提供执行其工作所需的最低权限。从长期看,企业的PAM建设应该有效融合到完整的零信任体系建设的范畴中,无论是用户、设备、应用程序还是请求网络访问的API,在被有效验证身份和真实性之前,拒绝其对资源的访问将是默认选项。
04
跨多云环境的统一管理
随着越来越多的组织将应用程序和数据存储在云端,Gartner认为PAM技术未来在保护企业的云应用和数据方面也将变得越来越重要。在今年的峰会上,多位演讲者在分享时指出企业不仅需要能够管理人类用户的特权访问,还需要管理越来越多的非人类实体(比如机器人程序、软件账户和API应用)的特权访问。随着企业数字化身份数量急剧增加,以及多云和混合云应用的普及,企业将迫切需要实现跨多云环境的统一化特权身份安全防护,包括跨云扩展授权管理、即时特权控制和一致的特权身份审计。
05
拥抱人工智能和自动化
人工智能和自动化技术的应用趋势已经不可阻挡,如何利用这些技术增强传统PAM的功能也成为今年峰会的讨论热点。鉴于现代企业的IT环境日益复杂,手动管理访问特权已经不能满足用户的应用需求,利用人工智能和自动化有助于快速识别潜在的访问风险,实施一致的访问控制,并简化安全审计过程。Gartner分析师强调了这些技术在PAM应用发展中将会更多应用,并成为一种主流的趋势。但企业同时也需要认识到,虽然自动化可以减少人为错误的风险并提高效率,但应该辅以明确定义的流程和控制,才能真正减小潜在风险。PAM技术对人工智能和自动化技术的需求以及与之相关的风险可能是个长期存在的热门话题。
06
PAM的发展与演变
展望未来,峰会讨论提到了PAM领域的持续演变。随着工作环境日益混合,组织需要对PAM采取一种更全面、更灵活的方法,这种方法可以有效地管理各种系统和环境(云和本地)的权限。Gartner的分析师还预测,下一代PAM解决方案可能会整合更高级的功能,比如行为分析和预测风险评分,从而进一步提高特权账户的安全性。多位安全专家在峰会强调,在数字环境快速变化的形势下,实施有效PAM的价值毋庸置疑,组织需要优先考虑PAM以保护其数字资产,并防范将来日益复杂的网络威胁。