Gartner:關(guān)于特權(quán)訪問(wèn)管理(PAM)應(yīng)用發(fā)展的六大看點(diǎn)
2023年度Gartner安全和風(fēng)險(xiǎn)管理峰會(huì)于6月初在美國(guó)馬里蘭州成功舉辦,該會(huì)議向來(lái)是網(wǎng)絡(luò)安全行業(yè)發(fā)現(xiàn)技術(shù)創(chuàng)新和應(yīng)用趨勢(shì)的盛會(huì),今年也不例外。在今年的峰會(huì)上,與會(huì)專家和參會(huì)嘉賓廣泛討論了如何在快速變化的數(shù)字環(huán)境中,有效應(yīng)對(duì)身份帶來(lái)的安全風(fēng)險(xiǎn)與挑戰(zhàn)。而特權(quán)賬號(hào)由于是企業(yè)最核心的身份資產(chǎn),其訪問(wèn)安全性將直接關(guān)系到企業(yè)最在意的數(shù)據(jù)安全和業(yè)務(wù)安全,因此成為了本次峰會(huì)研討時(shí)的焦點(diǎn)議題。
01、推動(dòng)PAM應(yīng)用落地的“巧克力”是什么?
在峰會(huì)開(kāi)幕演講中,Gartner副總裁、高級(jí)分析師Leigh McMullen表示:如今許多企業(yè)組織的CISO和安全團(tuán)隊(duì)感到精疲力竭,他們已經(jīng)為企業(yè)安全建設(shè)工作付出了最大的努力,卻沒(méi)有獲得符合預(yù)期的回報(bào),一些錯(cuò)誤的認(rèn)知阻礙了企業(yè)充分發(fā)揮網(wǎng)絡(luò)安全的價(jià)值。對(duì)PAM技術(shù)而言,能夠真正推動(dòng)其有效應(yīng)用落地的“巧克力”是什么?
在回答這個(gè)問(wèn)題時(shí), McMullen重點(diǎn)強(qiáng)調(diào)了人們習(xí)慣于選擇簡(jiǎn)單和易于使用的方法,而非最先進(jìn)的技術(shù),因此需要簡(jiǎn)化安全性才能獲得最終用戶的采用。鑒于各種安全工具泛濫成災(zāi)、網(wǎng)絡(luò)安全專業(yè)人員嚴(yán)重匱乏,McMullen呼吁將最低有效洞察力作為衡量PAM安全計(jì)劃是否成功的重要指標(biāo),并倡導(dǎo)使用最低有效工具集以實(shí)現(xiàn)預(yù)期結(jié)果。McMullen特別指出,PAM安全服務(wù)商需要實(shí)現(xiàn)最低有效摩擦才能提高用戶的實(shí)際采用率,其理念是讓執(zhí)行正確的操作變得更簡(jiǎn)單,而不是有意繞過(guò)安全指南。
02、在網(wǎng)絡(luò)安全網(wǎng)格中的應(yīng)用
在今年峰會(huì)上,重點(diǎn)研討了PAM技術(shù)在新一代網(wǎng)絡(luò)安全網(wǎng)格(cybersecurity mesh)方案體系中的作用。Gartner認(rèn)為,網(wǎng)絡(luò)安全網(wǎng)格可以使任何人都能更安全地訪問(wèn)任何數(shù)字資產(chǎn),無(wú)論資產(chǎn)或人員位于何處。它通過(guò)云交付模型解除策略執(zhí)行與策略決策之間的關(guān)聯(lián),并使身份驗(yàn)證成為新的安全邊界。到2025年,網(wǎng)絡(luò)安全網(wǎng)格將支持超過(guò)一半的數(shù)字訪問(wèn)控制請(qǐng)求。在此背景下,企業(yè)的網(wǎng)絡(luò)安全建設(shè)需要從基于網(wǎng)絡(luò)基礎(chǔ)設(shè)施的邊界向基于數(shù)字身份的邊界轉(zhuǎn)變,將會(huì)進(jìn)一步突出了PAM在現(xiàn)代企業(yè)網(wǎng)絡(luò)安全戰(zhàn)略中的重要作用,企業(yè)要從全新的身份安全視角進(jìn)行特權(quán)訪問(wèn)管理技術(shù)的建設(shè)與應(yīng)用。
03、融入到零信任體系架構(gòu)
今年峰會(huì)的一個(gè)關(guān)鍵話題是PAM技術(shù)和零信任體系的應(yīng)用交集。隨著零信任體系架構(gòu)的不斷應(yīng)用落地,PAM也被Gartner認(rèn)為是顯著降低現(xiàn)代企業(yè)數(shù)字化風(fēng)險(xiǎn)的最關(guān)鍵部分。峰會(huì)強(qiáng)調(diào)了PAM對(duì)于實(shí)現(xiàn)成功零信任策略的重要性,因?yàn)樗兄趫?zhí)行最小特權(quán)原則,僅為用戶提供執(zhí)行其工作所需的最低權(quán)限。從長(zhǎng)期看,企業(yè)的PAM 建設(shè)應(yīng)該有效融合到完整的零信任體系建設(shè)的范疇中,無(wú)論是用戶、設(shè)備、應(yīng)用程序還是請(qǐng)求網(wǎng)絡(luò)訪問(wèn)的API,在被有效驗(yàn)證身份和真實(shí)性之前,拒絕其對(duì)資源的訪問(wèn)將是默認(rèn)選項(xiàng)。
04、跨多云環(huán)境的統(tǒng)一管理
隨著越來(lái)越多的組織將應(yīng)用程序和數(shù)據(jù)存儲(chǔ)在云端,Gartner認(rèn)為PAM技術(shù)未來(lái)在保護(hù)企業(yè)的云應(yīng)用和數(shù)據(jù)方面也將變得越來(lái)越重要。在今年的峰會(huì)上,多位演講者在分享時(shí)指出企業(yè)不僅需要能夠管理人類用戶的特權(quán)訪問(wèn),還需要管理越來(lái)越多的非人類實(shí)體(比如機(jī)器人程序、軟件賬戶和API應(yīng)用)的特權(quán)訪問(wèn)。隨著企業(yè)數(shù)字化身份數(shù)量急劇增加,以及多云和混合云應(yīng)用的普及,企業(yè)將迫切需要實(shí)現(xiàn)跨多云環(huán)境的統(tǒng)一化特權(quán)身份安全防護(hù),包括跨云擴(kuò)展授權(quán)管理、即時(shí)特權(quán)控制和一致的特權(quán)身份審計(jì)。
05、擁抱人工智能和自動(dòng)化
人工智能和自動(dòng)化技術(shù)的應(yīng)用趨勢(shì)已經(jīng)不可阻擋,如何利用這些技術(shù)增強(qiáng)傳統(tǒng)PAM的功能也成為今年峰會(huì)的討論熱點(diǎn)。鑒于現(xiàn)代企業(yè)的IT環(huán)境日益復(fù)雜,手動(dòng)管理訪問(wèn)特權(quán)已經(jīng)不能滿足用戶的應(yīng)用需求,利用人工智能和自動(dòng)化有助于快速識(shí)別潛在的訪問(wèn)風(fēng)險(xiǎn),實(shí)施一致的訪問(wèn)控制,并簡(jiǎn)化安全審計(jì)過(guò)程。Gartner分析師強(qiáng)調(diào)了這些技術(shù)在PAM應(yīng)用發(fā)展中將會(huì)更多應(yīng)用,并成為一種主流的趨勢(shì)。但企業(yè)同時(shí)也需要認(rèn)識(shí)到,雖然自動(dòng)化可以減少人為錯(cuò)誤的風(fēng)險(xiǎn)并提高效率,但應(yīng)該輔以明確定義的流程和控制,才能真正減小潛在風(fēng)險(xiǎn)。PAM技術(shù)對(duì)人工智能和自動(dòng)化技術(shù)的需求以及與之相關(guān)的風(fēng)險(xiǎn)可能是個(gè)長(zhǎng)期存在的熱門(mén)話題。
06、PAM的發(fā)展與演變
展望未來(lái),峰會(huì)討論提到了PAM領(lǐng)域的持續(xù)演變。隨著工作環(huán)境日益混合,組織需要對(duì)PAM采取一種更全面、更靈活的方法,這種方法可以有效地管理各種系統(tǒng)和環(huán)境(云和本地)的權(quán)限。Gartner的分析師還預(yù)測(cè),下一代PAM解決方案可能會(huì)整合更高級(jí)的功能,比如行為分析和預(yù)測(cè)風(fēng)險(xiǎn)評(píng)分,從而進(jìn)一步提高特權(quán)賬戶的安全性。多位安全專家在峰會(huì)強(qiáng)調(diào),在數(shù)字環(huán)境快速變化的形勢(shì)下,實(shí)施有效PAM的價(jià)值毋庸置疑,組織需要優(yōu)先考慮PAM以保護(hù)其數(shù)字資產(chǎn),并防范將來(lái)日益復(fù)雜的網(wǎng)絡(luò)威脅。
參考鏈接:
