SaaS蔓延和AI威胁时代 如何守护企业身份安全

首页 / 业界 / 资讯 /  正文
作者:安全419
来源:安全419
发布于:8小时前
随着SaaS解决方案的广泛采用和AI工具的激增,组织管理的应用程序数量呈指数级增长,攻击面也随之扩大,身份泄露风险加剧。
 
事实上,现代企业平均使用超过1000个SaaS应用程序,每个员工在这些平台上平均拥有35个身份。这种现象现在通常被称为“访问蔓延”。
 
黑客迅速利用了这种蔓延态势以及新边界上强访问控制的缺失。2024年最新研究显示,超过半数的入侵事件源于身份凭证滥用。攻击者使用有效凭证获取初始访问权限。
 
这导致IT与安全团队面临双重压力:持续扩大的攻击面与人工智能技术普及带来的新型威胁。传统访问控制方案已难以应对当下挑战,既缺乏扩展性,也无法抵御现代威胁。而轻量级IGA(身份治理)或现代IGA解决方案正在填补这一关键空白,使团队能在资源受限的情况下有效提升防御能力。
 



 
一.横向移动与扩展攻击面的叠加威胁
 
黑客已从技术攻击转向凭证登录,风险往往潜伏在单点登录体系之外的薄弱环节。正如Zygon公司CEO Thomas Lejars 所说:“黑客不再需要‘黑’系统,他们直接登录,真正的风险并不在于公司单点登录(SSO)后面那30到50个安全性良好的应用。我们的客户报告称,入侵和渗透尝试往往通过安全性较低的依赖项发生。最近的公开案例,例如Oktapus事件,突显了黑客采用横向移动(lateral movement) 技术的有效性。”
 
员工测试新工具并非增加公司攻击面的唯一因素。服务账户、API密钥乃至用于访问云资源的角色,也是需要适当管控的访问途径。这些被称为机器身份或非人类身份(Non-Human Identities, NHIs),它们与“真实”身份一样存在被泄露的风险。

 
二.技术挑战和遗留IAM阻碍了身份治理的实现
 
有效身份治理远不止于映射身份和发现影子IT,更需落地执行措施,但多重障碍制约治理成效。
 
首先,SSO OpenID/SAML等认证标准虽成熟,却未被软件供应商普遍采纳。
 
其次,SCIM等配置标准实施常残缺不全——多数应用不支持注销功能,甚至缺乏基础供应接口。
 
更严峻的是,供应商常对SSO/SCIM功能额外收费,导致约30个核心应用(中型企业必备)难以启用安全管控。例如,200人规模企业启用Slack的SAML认证和自动配置需额外支付22,700美元。
 
同时,传统IAM系统依赖人工工单操作,效率低下,假设千人企业员工平均拥有30个应用,叠加15%人员流动率与10%内部调岗率,全年身份配置、变更、注销任务超万次。即便单任务仅耗时数分钟,也需耗费两名全职人力处理这些非技术性但关键的基础运维。

 
三.组织如何才能有效地管理身份生命周期
 
对于 IT 团队而言,能够自动化身份生命周期,并在几分钟内证明合规性堪称理想目标。然而,现实是尚无 AI 代理或尖端 IAM 平台能完全替代全职员工。
 
这正是轻身份治理的价值所在,它倡导“立即行动,完成胜过完美”的理念转变。这一新兴的 Gartner 类别承诺在数天内落地见效,而传统 IAM 项目往往耗时数年才能启动。
 
轻身份治理与管理(IGA)的核心承诺在于:通过单一控制面板,提供最精准的访问全景视图,覆盖影子 IT、非人类身份(NHI)乃至代理 AI,并在此基础上,为 IT 团队自动化及委派大部分常规身份生命周期任务,比如:
 
1.连续列出所有由员工创建的帐户(无论是正式还是非正式的);
2.在所有兼容的应用程序上启动自动预配置;
3.将员工帐户的手动关闭批量委托给应用程序经理;
4.让管理人员和/或应用程序所有者定期审查和确认用户角色和权限;
5.由管理员和/或应用程序管理员定期重新确认用户的角色和权限;
6.监控应用程序帐户的使用,以识别和删除不必要的访问;
 
借助轻量级IGA,IT和安全从业者可以逐步减轻服务台的压力,同时在合规相关操作上节省宝贵时间。

 
结语:
 
在当前 SaaS 应用激增与AI威胁加剧的背景下,轻量级身份治理与管理(IGA)解决方案持续管理人类与非人类身份的访问权限,不仅能有效减轻帮助台的压力,更能显著降低合规负担。
 
此外,由于身份管理的集中化,访问审查和审计报告等常见任务平均耗时减少80%。这种方法覆盖的应用范围也远超过大多数合规框架的预期。
 
因此,无论您的环境如何——本地部署、全云端还是混合托管环境,也无论您当前的身份提供商或监管环境如何,都可将轻量级身份治理与管控(Lightweight IGA)作为SaaS蔓延和AI威胁时代保障身份安全的一种方法。

 
参考链接:https://cybermagazine.com/news/securing-identities-in-the-age-of-saas-sprawl-and-ai-threats