2024年身份治理现状报告

内容 223456重要发现 1新IGA购物清单7执行摘要1方法论与人口统计9调查观察好消息与坏消息：关于身份网络安全的威胁IGA复古很重要过度访问是个问题远程工作持续增长顶级优质平台竞技游戏 执行摘要 超过95%的高级IT和安全领导者对与身份相关的威胁表示严重担忧。 数字化转型与混合工作团队的融合为身份和访问管理程序带来了大量复杂性。这些因素已成为身份治理现代化的主要催化剂。因此，身份及其相关权限的管理已演变成网络安全策略的关键组成部分。然而，成功的身份治理方法必须取得平衡：在终端用户工作流程的背景下，在提高组织安全的同时，也促进业务敏捷性。 身份治理对于提高可见性和简化供应流程，同时不影响员工生产力至关重要。这凸显了采用现代身份治理和行政（IGA）方法的重要性。但什么是现代IGA方法？现代身份治理解决方案采用基于SaaS的模式以实现可扩展性，并利用分析和自动化来提升效率和安全性。它们自动化了精细粒度的访问控制供应，以及识别和解决过度供应和利用率低下的身份。它们提供与更广泛身份框架和商业应用的无缝连接，并能够轻松为所有企业身份创建身份工作流。 为了揭示身份治理的复杂世界，我们进行了一项全面调查，涉及美国567家企业，员工总数超过1000人，包括IT和业务领导者的观点。我们调查了负责身份治理和访问管理、合规性、网络安全以及一般IT行政和管理的人员。 主要发现 CISO/CSO/CIOs对与身份相关的威胁以及过度授权的账户访问问题高度关注。 超过95%的资深IT和安全领导者表示对与身份相关的威胁感到严重担忧，这可能是由于对系统和应用程序的权限过度授权。事实上，72%的受访者同意用户拥有不必要的访问权限和过于宽容的账户。与使用现代身份治理和访问管理（IGA）的组织相比，使用传统IGA的组织对与身份相关的威胁担忧程度高出20%。 企业正在加快利用基于SaaS的IGA与生成式AI、快速导入、适应性和高级连接性相结合的计划。 当被问及哪些能力最重要时，超过61%的人将“适应组织需求的能力”列为前五名。在受访者中，53%选择了生成式人工智能。超过42%的人优先考虑处理复杂身份工作流程的能力。近56%的人寻找支持任何应用和基础设施的连接框架，41%的人将与其他IAM工具的互操作性和数据共享列为优先能力。此外，47%的人寻找基于SaaS的身份治理解决方案，具有更快的数据摄取速度，而超过40%的人将快速同步到应用程序的能力，以便用户能在几分钟内获得访问权限列为优先能力。 最佳独立杂货店胜过平台策略 为了达到更高的性能水平，绝大多数受访者（86%）认为，他们的组织更有可能选择一种最佳的标识和访问管理（IAM）解决方案，而不是那种可能无法全面提供强大功能的单一供应商。这正是为什么超过一半的受访者将适应性和连接性视为关键的IGA解决方案特性非常可能的原因。 调查观察 好坏消息：关于身份网络安全的威胁 组织对网络安全威胁有多关心？这取决于你问的是谁以及你问了什么。 当被问及关于安全卫生实践时，93%的受访者同意他们组织使用强有力的身份验证；92%表示他们可以迅速识别异常行为并关闭可疑账户。而且，91%表示他们可以轻松满足新的业务要求，而89%表示他们可以轻松制作符合法规的报告。 考虑到受访者在安全卫生习惯方面的极端自信，人们可能会认为他们对与身份相关的威胁的总体担忧相当低。但结果出乎意料：超过90%的受访者担心与身份相关的网络安全威胁的风险。 然而，对问题的关注程度因个人在组织中的角色而有所不同。总体而言，超过95%的高级经理（CISO、CSO和CIO）表示他们“非常关注”；然而，只有87%的合规性、身份和访问管理人员以及91%的网络安全工程师、分析师和管理人员有同样的紧迫感和担忧。 IGA复古很重要 对网络安全威胁的担忧在采用旧版IGA解决方案的组织中更高。当被问及具体的身份相关威胁时，使用旧版和内部构建的IGA的受访者表示整体上担忧程度显著更高。在谈及对组织风险水平方面，受访者将恶意软件、身份安全漏洞和漏洞利用列为最关心的威胁。 在这些担忧之后，是对用户受侵害账户、特权账户和远程用户访问权限的担忧。 但颇具说明性的是，那些采用现代IGA解决方案的组织在关注程度上的差异。根据具体威胁，组织应对方式的差异在9%到21%之间。请参阅下表，以获取与身份相关威胁关注度的详细分解。 过度访问是个问题 不必要的系统与应用访问以及过度宽松的账户是普遍关注的问题。在这种情况下，理应存在强有力的控制和流程来确保只有需要访问应用程序和数据的人才能获得，并且在不再需要时取消访问权限。然而，这仅仅停留在理论层面，并非现实情况。 几乎四分之三的受访者（72%）认为，他们所在组织的人可以访问他们无需访问的系统和应用，或者拥有过于宽泛的账户，这导致了不必要的风险。当用户可以访问他们不再需要访问的系统和应用，或者他们的访问权限超出了他们的角色，这些用户身份受到的影响水平就会比如果他们的访问得到适当管理时无谓地更高。因此，许多人对身份相关威胁感到非常关注，也就不足为奇了。 一些组织内部人员有权访问他们不需要的系统和应用程序，并且/或者拥有权限过大的账户，这导致了不必要的风险。 远程工作持续增长 大多数组织自COVID-19开始以来一直苦苦挣扎于管理更加分散的员工身份以及第三方身份。组织的员工身份增加了52%，已知第三方比以下数量多的员工身份：合作伙伴（46%），咨询顾问（47%），承包商（39%）和临时/季节性员工（35%）。 这一重大变化为各行业IT团队带来了安全和身份挑战。对这些不同用户如何处理的不确定性可能增加账户被破坏和因疏忽、恶意内部威胁、钓鱼及其他社会工程学手段导致的不授权访问的风险。 顶级优质平台竞技游戏 超过76%的组织选择行业最佳IAM解决方案，而不是平台。一种作为更大身份框架一部分，能够与其他行业最佳身份和访问管理（IAM）解决方案连接的IGA解决方案，使组织能够确保他们在整个体系中使用最动态的技术。 单一供应商作为平台的一部分提供多种身份访问管理（IAM）解决方案；例如，可能在他们的身份平台的一部分提供不错的选择，但在其他方面则可能不尽如人意。这可能有几个原因，从收购平台部分后的人才流失，到技术在其类别中不是领先者，再到未能完全集成到供应商提供的平台套件中。此外，因为这些供应商在一个产品下提供许多解决方案，它们往往缺乏与其他IAM解决方案连接的能力，迫使客户使用次优技术，仅仅为了获得他们需要的身份编织的一个部分。 我的组织倾向于选择业内最佳的身份和访问管理解决方案（例如，IGA、PAM、CIEM、DAG、ITDR等），而不是选择由单一供应商提供多个解决方案的平台产品。 组织希望获得基于SaaS的提供生成式AI、快速数据导入、可定制性、连接框架以及自动化且安全生态友好的IGA。 从众多受访者对新的IGA解决方案的期望来看，最突出的特点就是“适应我组织特定需求的能力”。考虑到IGA解决方案必须应对来自不断增长的商业应用、复杂的身份流程、基于角色的提供和日益增长的合规性要求的繁重工作量，以及IGA对企业身份架构的重要性，这并不令人意外。 另一个受访者强烈倾向于选择的领域是生成式AI。我们已经看到许多例子，说明了这种变革性技术如何提高效率和取得更好的成果。IGA也不例外。借助生成式AI，决策可以更快地发生，移除繁琐的过程和额外步骤。一个例子是认证。通过利用技术显著减少认证疲劳并提高IGA系统中认证质量，组织可以从减少常规认证和再认证的噪音中获益。这不仅能够确保合规，还能减少过度授权账户的数量和这些账户被损害时可能的数据泄露风险。受访者还希望寻找的其他特性包括“支持任何应用程序和基础设施的连接框架”、“处理复杂身份工作流程的能力”和“基于SaaS的交付服务”。 组织希望获取基于SaaS的IGA，它能提供生成式AI、快速数据导入、适应性、连接性框架，以及自动化，并且与安全生态系统兼容。 方法论和人口统计学 我们所进行的研究采用了涵盖美国567家企业（员工人数超过1000人）的全面问卷调查，涵盖了IT和商务领导者的观点。受访者涵盖了广泛的年龄层，性别比例大致均衡（男性占60%，女性占40%），他们负责组织中的身份治理和访问管理、合规性、网络安全或一般IT行政和管理。涉及的机构覆盖了美国每个地区的多种行业。 奥马达，作为全球身份治理与管理（IGA）市场的领导者，提供了一款功能齐全、企业级、原生云的IGA解决方案，使组织能够实现合规、降低风险并最大化效率。成立于2000年，奥马达基于我们验证的最佳实践流程框架和部署方法，为复杂的混合环境提供创新的身份管理服务。