Identity Defined Security Alliance(IDSA)的研究數據,84% 企業組織曾發生與身分相關的數據安全事故,但同時高達96% 組織都認為身分安全相關事故是可以避免的。
隨著各種前瞻創新技術突飛猛進,推動全球企業機構的蓬勃發展,成熟可靠的身分安全計畫已成為企業大規模保護和啟用數位力的重要關鍵。全球領先的企業身分安全治理解決方案公司 SailPoint 在最新發表的研究報告《The Horizons of Identity》中,向全球超過300名網路安全高階主管進行調查訪問。調查數據反映出身分安全產業的發展現況,並可作為評估企業身分措施成熟程度的衡量指標。
企業忽略身分安全將付出更高代價
根據Identity Defined Security Alliance(IDSA)的研究數據,84% 企業組織曾發生與身分相關的數據安全事故,但同時高達96% 組織都認為身分安全相關事故是可以避免的。除了事故本身造成的損失之外,違反資安相關法規也可能導致高昂的罰款。雖然為了維持合規性必須付出可觀的成本,但因違規而付出的代價可能會高出許多倍。例如,因違反歐盟《一般資料保護規則》(General Data Protection Regulation,GDPR)而產生的罰款,佔全球所有罰款收入高達4%。
身分安全涵蓋範圍複雜性日俱增
越來越多的身分透過越來越複雜的方式相互作用,凸顯了企業組織對於強大的身分管理計畫的需求。身分遠不只是用戶憑證,現今企業需要保護機器、客戶、員工、約聘和臨時員工,甚至合作夥伴等多種身分。 SailPoint 研究報告《The Horizons of Identity》調查顯示,機器身分佔一般企業身分總數的 43%,其次為客戶 (31%) 和員工 (16%),預計在未來 3至5 年內,機器和客戶將成為成長速度最快的身分類型。 同時,預計各種身分的總數將增加 14%。
整合性、自動化與智慧化的身分安全平台
SailPoint 全球市場營運總裁 Matt Mills 表示:「雖然幾乎所有企業都意識到身分安全是一大挑戰,但仍有許多企業不清楚身分安全治理應該從何著手。SailPoint希望透過建立一個讓供應商及採購端均可參考的成熟度模型,為企業創造一個共同的基礎,幫助企業更快速地達到最高的資安成熟度,而無需像前人一般耗費心力摸索碰壁。《The Horizons of Identity》報告顯示45% 的企業在身分安全治理仍處於起步階段,這意味著他們有機會利用最新技術,從根本開始構建一個支援人工智慧的全面身分安全策略;隨著企業的身分安全需求已超越人力所能負荷,運用人工智慧的身分安全治理方法已迅速受到企業採納。不僅如此,身分安全更已躍身成為保護當今企業安全的首要關鍵。」
根據《The Horizons of Identity》調查結果,高科技企業擁有最成熟的身分安全措施,其次是銀行和證券產業;而媒體、娛樂和交通產業的成長空間最大。在身分安全成熟度最高的企業當中,71% 為大型企業,並且64% 位於北美地區,位於歐洲和亞太地區的企業則分別佔21% 和 14% 。
SailPoint亞太區身分安全資深技術副總裁顧志鋒表示:「在亞太地區,各種規模的企業組織在身分安全成熟度方面都遠遠落後於其他歐美地區。有鑑於網路攻擊可能導致業務中斷、商譽受損和財務損失,因此企業必須確保以身分安全作為其網路安全戰略的基礎。隨著現今數位身分和連接設備的爆炸性成長,組織亟需尋求一個兼具整合性、自動化與智慧化的身分安全平台,以自動地發現、管理和控制所有用戶存取權限,並在正確的時間為用戶提供正確的資源。自動化的身分安全解決方案不僅簡化身分驗證流程,還可以根據公司的政策和對所有數據、應用、系統和雲端資源的存取控制,支援高效的跨組織工作流程,協助企業在身分相關的網路風險管理保持領先。」
人工智慧及機器學習能力具成長空間
隨著數位身分環境越趨複雜,人工智慧 (AI) 及機器學習 (ML) 的出現有助推動身分成熟程度。調查指出,逾 50% 受訪者表示已經實施或計劃在未來兩年內實施 AI /ML 資安模型,以提升身分安全治理能力。然而,僅21% 受訪者表示對於自身組織的AI能力具備信心,反映出AI未來龐大的增長空間。此外,更多人意識到整合式身分模型大大有助於減少整體攻擊面,50% 受訪者表示希望擁有一個以身分為中心的安全平台,當中各種身分可互相連結以覆蓋機器、雲端、軟體即服務(SaaS)及應用程式介面(API)等多個範疇,因而成為最為熱門的平台選項。
身分相關支出與企業資安成熟度或投資回報率不成正比
研究報告也發現,隨著企業身分安全越趨成熟,組織亦能夠更有效而熟練地使用安全工具。在身分安全成熟度處於起步階段的企業中,逾四分之一的公司表示將超過 15% 的網路安全預算用於身分驗證。相反地,71%身分安全成熟度更高的企業表示,在身分安全方面投入的資源較少,但能收獲更大的回報。這意味著28%成熟度最低的企業在身分相關的支出過高,卻未能充分發揮安全性。因此,企業組織需要將身分安全視為持續進行的項目,並且與業務同步並進,而非在某時某刻「完成」的解決方案。進一步《The Horizons of Identity 》報告指出強大的身分安全計畫越趨成為企業必要投資項目,以及身分安全將成為組織創新的驅動力。報告同時概述了企業在採用身分安全方法並提升其成熟度時,將會經歷的五個發展階段。
研究方法
研究人員在2022 年 6 月訪問了北美洲、拉丁美洲、亞洲和歐洲近 350 名網路安全高階主管,並且與具有身分管理經驗的專家進行訪談,作為這份《The Horizons of Identity 》報告的研究基礎。