企业的身份信息管不好,有内、外两方面的原因。在内部,企业普遍存在三大问题:
1.部分企业对身份安全的重视程度不高。在网络安全建设上,企业往往重点关注网络防御和外部威胁,对身份安全不够重视,没有意识到身份安全是网络安全的基础,一旦攻击者获取合法用户的身份凭证,他们可以绕过外部防御,“登入”内部网络。
2.对身份的管理难以满足安全需求。即使企业重视身份安全的防护,但是随着信息化建设的不断加强,信息系统数量不断增加,身份信息分散各个信息系统中,管理费时费力,且容易发生纰漏。由于没有相应的安全管控和认证手段,协同不同系统之间身份安全策略和控制需要,极易导致安全事件发生。
3.企业IT环境越发复杂。现在企业往往拥有复杂多样的IT环境,包括云端和本地的系统、移动设备、第三方应用等,这些多样性给身份安全管理带来了挑战。
在企业外部,日益严重的个人信息泄露也给企业身份安全带来了挑战:
1.员工身份凭证可能被泄露。近年来,大规模个人信息泄露事件频频发生,其中不乏身份凭证被直接泄露的情况。即使员工的个人账户信息被泄露,企业也可能因此遭受撞库攻击。
2.个人信息泄露为钓鱼攻击提供了便利。借助员工的个人信息,攻击者更容易获取企业员工的信任,降低实施钓鱼攻击的难度。
IAM,企业构筑身份安全防线的必由之路
想要防范愈演愈烈的身份安全危机,能够一站式为企业提供身份信息统一管理、多因素认证、最小化授权、单点登录等功能,更适应复杂IT环境的用户身份和访问管理平台(IAM),成为了企业的最佳选择。