統(tǒng)一身份和訪問(wèn)管理（Identity and access management，IAM）是一套體系化的身份安全解決方案，涵蓋了技術(shù)、策略和流程，主要用于管理用戶身份并控制用戶對(duì)企業(yè)資源的合規(guī)訪問(wèn)。在當(dāng)今“數(shù)字優(yōu)先”的世界中，IAM技術(shù)對(duì)組織變得越來(lái)越重要，因?yàn)榻M織內(nèi)的員工需要在任何設(shè)備（服務(wù)）上實(shí)現(xiàn)“work-from-anywhere“的訪問(wèn)模式，這就需要比以往更加安全地賦予和驗(yàn)證數(shù)字身份，以實(shí)現(xiàn)安全的數(shù)字連接。在此背景下，基于先進(jìn)AI技術(shù)構(gòu)建的新一代IAM解決方案應(yīng)運(yùn)而生。

傳統(tǒng)IAM的應(yīng)用挑戰(zhàn)

早期的IAM技術(shù)是建立在傳統(tǒng)IT架構(gòu)平臺(tái)上的，主要負(fù)責(zé)管理人的身份。而隨著數(shù)字化業(yè)務(wù)系統(tǒng)和物聯(lián)網(wǎng)應(yīng)用的快速發(fā)展，IAM系統(tǒng)不僅需要給數(shù)量龐大的“機(jī)器”和業(yè)務(wù)系統(tǒng)賦予身份并實(shí)現(xiàn)有效管理，還需要從組織數(shù)字化業(yè)務(wù)開(kāi)展的整體視角，統(tǒng)一制定出各種數(shù)字資源的訪問(wèn)規(guī)則和策略。這給傳統(tǒng)IAM方案的身份管理和認(rèn)證能力提出巨大挑戰(zhàn)。 

此外，IAM最初主要是為了幫助用戶滿足監(jiān)管要求和確保身份安全性。用戶體驗(yàn)和業(yè)務(wù)支持的需求是后續(xù)隨著數(shù)字化應(yīng)用發(fā)展而產(chǎn)生的。鑒于IAM系統(tǒng)的關(guān)鍵特質(zhì)，它已經(jīng)成為組織新一代網(wǎng)絡(luò)安全能力體系構(gòu)建的基礎(chǔ)要求和重要組成部分。在穩(wěn)定有效的組織網(wǎng)絡(luò)安全體系中，更完善的IAM策略配置與管理能力是不可或缺的，需要讓所有身份都使用一致的策略和工具進(jìn)行管理，因此需要更加關(guān)注系統(tǒng)應(yīng)用的便捷性和用戶體驗(yàn)，并將這些視為新一代IAM方案的核心技術(shù)要求。 

盡管IAM的建設(shè)和應(yīng)用通常由企業(yè)IT或安全部門發(fā)起，但I(xiàn)AM應(yīng)用幾乎涉及與組織業(yè)務(wù)相關(guān)的各個(gè)部門和環(huán)節(jié)，甚至還包括了外部合作伙伴和客戶。由于IAM涉及了多方利益相關(guān)者的日常工作，因此，它的應(yīng)用往往被認(rèn)為是復(fù)雜的、困難的并且會(huì)帶來(lái)較大成本性投入的。這種情況也需要積極的變化，身份安全應(yīng)該被視為基礎(chǔ)性的保障因素，讓越來(lái)越多的業(yè)務(wù)人員開(kāi)始認(rèn)同IAM的價(jià)值。

新型AI IAM的主要特點(diǎn)

不斷發(fā)展的ＡＩ技術(shù)正在深刻影響著新型網(wǎng)絡(luò)安全能力發(fā)展，也正在創(chuàng)建一個(gè)更強(qiáng)大、更主動(dòng)的新型IAM系統(tǒng)，它從復(fù)雜的數(shù)字身份環(huán)境中不斷的自主學(xué)習(xí)，識(shí)別和管控企業(yè)中有威脅的身份賬號(hào)及其行為，從而降低組織數(shù)據(jù)泄漏等風(fēng)險(xiǎn)。

AI IAM解決方案仍然是由身份管理、身份驗(yàn)證、授權(quán)以及審計(jì)等核心功能組件構(gòu)成，但相比傳統(tǒng)的IAM方案，其更加的智能化，有著更低的誤報(bào)率、更自動(dòng)化的訪問(wèn)控制和更好的用戶應(yīng)用體驗(yàn)，這就是AI IAM解決方案的最大特點(diǎn)。 

圖片

結(jié)合上圖和其他相關(guān)資料，可以AI技術(shù)已經(jīng)開(kāi)始被充分整合到新一代IAM解決方案的各個(gè)方面，并形成以下應(yīng)用特點(diǎn)：

1. 改善的身份管理與驗(yàn)證（Improved Authentication and Verification）

AI技術(shù)為IAM系統(tǒng)提供了一種更強(qiáng)大、用戶友好的身份認(rèn)證方法。為了實(shí)現(xiàn)這種變革轉(zhuǎn)變，新一代IAM方案可以利用生物識(shí)別技術(shù)進(jìn)行創(chuàng)新的身份驗(yàn)證，最大限度地減少與傳統(tǒng)基于密碼的系統(tǒng)相關(guān)的安全性漏洞，還可以簡(jiǎn)化用戶交互，培養(yǎng)無(wú)摩擦的身份認(rèn)證體驗(yàn)，同時(shí)增強(qiáng)應(yīng)對(duì)網(wǎng)絡(luò)威脅變化的整體彈性。

此外，AI技術(shù)可以幫助組織使用隨機(jī)森林、支持向量機(jī)（SVMs）和梯度提升等AI算法分析用戶的打字速度、鼠標(biāo)移動(dòng)等行為特征，并通過(guò)檢測(cè)行為異常的遞歸神經(jīng)網(wǎng)絡(luò)（RNN）等技術(shù)進(jìn)一步實(shí)現(xiàn)持續(xù)監(jiān)控。這將有助于組織實(shí)施強(qiáng)大的身份驗(yàn)證機(jī)制。

2.自動(dòng)化的策略設(shè)置與管理（Automated Provisioning and De-provisioning）

AI技術(shù)可以通過(guò)預(yù)測(cè)分析和機(jī)器學(xué)習(xí)算法來(lái)簡(jiǎn)化IAM系統(tǒng)的策略配置和管理優(yōu)化的過(guò)程。常見(jiàn)的技術(shù)包括:

• 基于角色的訪問(wèn)控制（RBAC）：基于員工的角色、部門和行為模式，機(jī)器學(xué)習(xí)模型（如聚類算法和分類算法）可以分析每個(gè)用戶的歷史訪問(wèn)數(shù)據(jù)以分配合適的訪問(wèn)權(quán)限；
•  賬戶生命周期管理：AI技術(shù)能夠簡(jiǎn)化跨各種企業(yè)應(yīng)用程序（包括 Office 365、Salesforce 或 AWS等）的賬戶生命周期管理，自動(dòng)化進(jìn)行配置、調(diào)整和取消的流程，維護(hù)企業(yè)的管理標(biāo)準(zhǔn)和監(jiān)管合規(guī)要求；
• 自動(dòng)化工具：通過(guò)將AI技術(shù)與機(jī)器人流程自動(dòng)化 （RPA）和 IT 服務(wù)管理 （ITSM） 工具相結(jié)合，就可以實(shí)現(xiàn)端到端自動(dòng)化配置任務(wù)，減少管理中的手動(dòng)操作，最大程度降低人為錯(cuò)誤。

3. 智能化的威脅檢測(cè)與預(yù)防（Anomaly Detection and Threat Prevention）

AI技術(shù)能夠持續(xù)監(jiān)控人類和非人類的各種身份，包括 API、應(yīng)用服務(wù)和其他物聯(lián)網(wǎng)設(shè)備。傳統(tǒng)的監(jiān)控系統(tǒng)通常會(huì)忽略一些設(shè)備交互中細(xì)微的異常情況，但人工智能的分析能力完全可以發(fā)現(xiàn)大多數(shù)安全威脅的早期征兆。通過(guò)為每個(gè)身份建立 “正常 ”行為基線，人工智能可以快速標(biāo)記偏差，從而對(duì)潛在威脅做出快速反應(yīng)。

4. 自適應(yīng)的訪問(wèn)控制能力（Adaptive Access Controls）

自適應(yīng)訪問(wèn)控制是AI IAM系統(tǒng)的重要支柱能力。通過(guò)持續(xù)評(píng)估風(fēng)險(xiǎn)并相應(yīng)地調(diào)整訪問(wèn)權(quán)限，AI賦能的新型IAM系統(tǒng)能夠?qū)崿F(xiàn)情境感知的訪問(wèn)控制與管理。

在風(fēng)險(xiǎn)自適應(yīng)訪問(wèn)控制（RAAC）方面，AI 技術(shù)通過(guò)使用機(jī)器學(xué)習(xí)算法，如貝葉斯網(wǎng)絡(luò)和決策樹(shù)，組織可以評(píng)估異常訪問(wèn)時(shí)間和不熟悉設(shè)備之類的風(fēng)險(xiǎn)因素。基于實(shí)時(shí)數(shù)據(jù)和歷史訪問(wèn)模式，這些模型生成風(fēng)險(xiǎn)評(píng)分，并以此自動(dòng)調(diào)整用戶權(quán)限，而無(wú)需任何手動(dòng)干預(yù)。

AI技術(shù)還能夠通過(guò)實(shí)現(xiàn)持續(xù)的身份驗(yàn)證和授權(quán)機(jī)制來(lái)支持零信任模型。為了實(shí)時(shí)驗(yàn)證用戶身份和訪問(wèn)請(qǐng)求，組織可以使用身份行為分析（IBA）和用戶行為分析（UEBA）等技術(shù)。AI驅(qū)動(dòng)的微分段和預(yù)測(cè)性訪問(wèn)控制通過(guò)基于行為洞察和上下文數(shù)據(jù)限制訪問(wèn)來(lái)增強(qiáng)安全性。

5. 更好的用戶體驗(yàn)（Enhanced User Experience）

AI IAM方案能夠有效平衡應(yīng)用中的安全性和可用性，從而帶來(lái)更好的用戶體驗(yàn)。基于ＡＩ的IAM系統(tǒng)可以通過(guò)動(dòng)態(tài)評(píng)估上下文數(shù)據(jù)（如設(shè)備指紋識(shí)別、地理位置和歷史登錄模式）來(lái)動(dòng)態(tài)調(diào)整身份驗(yàn)證流程，并動(dòng)態(tài)計(jì)算身份驗(yàn)證可信度的分值。這將允許采用自適應(yīng)的身份驗(yàn)證方法，進(jìn)一步減少低風(fēng)險(xiǎn)場(chǎng)景中的摩擦，并在必要時(shí)執(zhí)行更嚴(yán)格的管理措施。系統(tǒng)還可以根據(jù)工作職能動(dòng)態(tài)分配角色，從而使流程更加順暢高效。

6. 動(dòng)態(tài)再認(rèn)證與合規(guī)管理（Automated Recertification and Compliance Management） 

AI IAM可以改進(jìn)組織的再認(rèn)證流程和合規(guī)管理水平，這對(duì)于保持合規(guī)性和降低安全風(fēng)險(xiǎn)非常重要。在動(dòng)態(tài)再認(rèn)證流程中，組織可以通過(guò)機(jī)器學(xué)習(xí)算法，如異常檢測(cè)和預(yù)測(cè)分析，以根據(jù)用戶行為、角色變更和歷史數(shù)據(jù)評(píng)估訪問(wèn)權(quán)限。這些技術(shù)可以通過(guò)分析訪問(wèn)模式并檢測(cè)異常行為，自動(dòng)觸發(fā)再認(rèn)證工作流程。

同時(shí)，AI風(fēng)險(xiǎn)評(píng)估模型包括了加權(quán)風(fēng)險(xiǎn)評(píng)分（WRS）方法和貝葉斯推斷模型等算法，可以根據(jù)系統(tǒng)的關(guān)鍵程度和所涉及的數(shù)據(jù)，對(duì)高風(fēng)險(xiǎn)用戶賬戶的重新認(rèn)證工作流程并更頻繁地進(jìn)行監(jiān)控。

組織還可以通過(guò)API和數(shù)據(jù)連接器將AI IAM系統(tǒng)與GRC風(fēng)險(xiǎn)管理工具集成。AI可以通過(guò)分析用戶訪問(wèn)日志、應(yīng)用自然語(yǔ)言處理（NLP）來(lái)識(shí)別不符合規(guī)定的訪問(wèn)模式，并使用基于規(guī)則的引擎結(jié)合機(jī)器學(xué)習(xí)來(lái)建議糾正措施，從而自動(dòng)生成審計(jì)跟蹤，形成一個(gè)自適應(yīng)的合規(guī)監(jiān)測(cè)系統(tǒng)，確保持續(xù)遵守法規(guī)。

AI IAM應(yīng)用的挑戰(zhàn)

AI為IAM帶來(lái)了新的智能化、自動(dòng)化和適應(yīng)性。借助AI技術(shù)，新型IAM系統(tǒng)不僅可以被動(dòng)式安全防御，還可以主動(dòng)預(yù)測(cè)和適應(yīng)不斷變化的身份威脅，為組織提供新的方法來(lái)應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)安全環(huán)境變化。

不過(guò)，要實(shí)現(xiàn)AI IAM的全部潛力，組織還需要深思熟慮地處理數(shù)據(jù)隱私、算法公平性和系統(tǒng)集成等問(wèn)題，以確保其人工智能驅(qū)動(dòng)的身份和訪問(wèn)管理解決方案是可信、安全和可持續(xù)的。

研究人員認(rèn)為，AI IAM解決方案應(yīng)用的主要挑戰(zhàn)包括：

• 數(shù)據(jù)隱私問(wèn)題： AI模型需要大量的數(shù)據(jù)集進(jìn)行訓(xùn)練，這引發(fā)了人們對(duì)數(shù)據(jù)安全和監(jiān)管法規(guī)遵從的擔(dān)憂。數(shù)據(jù)匿名化和差分隱私等技術(shù)可以幫助降低ＡＩ IAM應(yīng)用中的部分風(fēng)險(xiǎn)。
• 算法偏見(jiàn)問(wèn)題： 如果 AI 模型不是基于多樣化的數(shù)據(jù)進(jìn)行訓(xùn)練的，它們可能會(huì)導(dǎo)致在推薦結(jié)果和處置策略中產(chǎn)生算法偏見(jiàn)。組織可以使用偏見(jiàn)檢測(cè)工具并減少偏見(jiàn)。
•  技術(shù)融合問(wèn)題： 將先進(jìn)的AI技術(shù)與IAM平臺(tái)整合需要涉及API連接和數(shù)據(jù)規(guī)范化等問(wèn)題，這就需要采用合適的中間件來(lái)彌合技術(shù)整合差距。這對(duì)組織來(lái)說(shuō)可能帶來(lái)額外的費(fèi)用成本和技術(shù)挑戰(zhàn)。
• 性能和可擴(kuò)展性問(wèn)題： 可擴(kuò)展架構(gòu)對(duì)于AI IAM系統(tǒng)非常重要，像Apache Kafka和TensorFlow這樣的技術(shù)可以通過(guò)數(shù)據(jù)流和高效的模型部署來(lái)提高AI IAM的應(yīng)用性能。

參考鏈接：https://dzone.com/articles/the-role-of-artificial-intelligence-ai-in-identity