摘要:统一身份和访问管理(Identity and access management,IAM)是一套体系化的身份安全解决方案,涵盖了技术、策略和流程,主要用于管理用户身份并控制用户对企业资源的合规访问。在当今“数字优先”的世界中,IAM技术对组织变得越来越重要,因
统一身份和访问管理(Identity and access management,IAM)是一套体系化的身份安全解决方案,涵盖了技术、策略和流程,主要用于管理用户身份并控制用户对企业资源的合规访问。在当今“数字优先”的世界中,IAM技术对组织变得越来越重要,因为组织内的员工需要在任何设备(服务)上实现“work-from-anywhere“的访问模式,这就需要比以往更加安全地赋予和验证数字身份,以实现安全的数字连接。在此背景下,基于先进AI技术构建的新一代IAM解决方案应运而生。
传统IAM的应用挑战
早期的IAM技术是建立在传统IT架构平台上的,主要负责管理人的身份。而随着数字化业务系统和物联网应用的快速发展,IAM系统不仅需要给数量庞大的“机器”和业务系统赋予身份并实现有效管理,还需要从组织数字化业务开展的整体视角,统一制定出各种数字资源的访问规则和策略。这给传统IAM方案的身份管理和认证能力提出巨大挑战。
此外,IAM最初主要是为了帮助用户满足监管要求和确保身份安全性。用户体验和业务支持的需求是后续随着数字化应用发展而产生的。鉴于IAM系统的关键特质,它已经成为组织新一代网络安全能力体系构建的基础要求和重要组成部分。在稳定有效的组织网络安全体系中,更完善的IAM策略配置与管理能力是不可或缺的,需要让所有身份都使用一致的策略和工具进行管理,因此需要更加关注系统应用的便捷性和用户体验,并将这些视为新一代IAM方案的核心技术要求。
尽管IAM的建设和应用通常由企业IT或安全部门发起,但IAM应用几乎涉及与组织业务相关的各个部门和环节,甚至还包括了外部合作伙伴和客户。由于IAM涉及了多方利益相关者的日常工作,因此,它的应用往往被认为是复杂的、困难的并且会带来较大成本性投入的。这种情况也需要积极的变化,身份安全应该被视为基础性的保障因素,让越来越多的业务人员开始认同IAM的价值。
新型AI IAM的主要特点
不断发展的AI技术正在深刻影响着新型网络安全能力发展,也正在创建一个更强大、更主动的新型IAM系统,它从复杂的数字身份环境中不断的自主学习,识别和管控企业中有威胁的身份账号及其行为,从而降低组织数据泄漏等风险。
AI IAM解决方案仍然是由身份管理、身份验证、授权以及审计等核心功能组件构成,但相比传统的IAM方案,其更加的智能化,有着更低的误报率、更自动化的访问控制和更好的用户应用体验,这就是AI IAM解决方案的最大特点。
结合上图和其他相关资料,可以AI技术已经开始被充分整合到新一代IAM解决方案的各个方面,并形成以下应用特点:
1. 改善的身份管理与验证(Improved Authentication and Verification)
AI技术为IAM系统提供了一种更强大、用户友好的身份认证方法。为了实现这种变革转变,新一代IAM方案可以利用生物识别技术进行创新的身份验证,最大限度地减少与传统基于密码的系统相关的安全性漏洞,还可以简化用户交互,培养无摩擦的身份认证体验,同时增强应对网络威胁变化的整体弹性。
此外,AI技术可以帮助组织使用随机森林、支持向量机(SVMs)和梯度提升等AI算法分析用户的打字速度、鼠标移动等行为特征,并通过检测行为异常的递归神经网络(RNN)等技术进一步实现持续监控。这将有助于组织实施强大的身份验证机制。
2.自动化的策略设置与管理(Automated Provisioning and De-provisioning)
AI技术可以通过预测分析和机器学习算法来简化IAM系统的策略配置和管理优化的过程。常见的技术包括:
基于角色的访问控制(RBAC):基于员工的角色、部门和行为模式,机器学习模型(如聚类算法和分类算法)可以分析每个用户的历史访问数据以分配合适的访问权限;
账户生命周期管理:AI技术能够简化跨各种企业应用程序(包括 Office 365、Salesforce 或 AWS等)的账户生命周期管理,自动化进行配置、调整和取消的流程,维护企业的管理标准和监管合规要求;
自动化工具:通过将AI技术与机器人流程自动化 (RPA)和 IT 服务管理 (ITSM) 工具相结合,就可以实现端到端自动化配置任务,减少管理中的手动操作,最大程度降低人为错误。
3. 智能化的威胁检测与预防(Anomaly Detection and Threat Prevention)
AI技术能够持续监控人类和非人类的各种身份,包括 API、应用服务和其他物联网设备。传统的监控系统通常会忽略一些设备交互中细微的异常情况,但人工智能的分析能力完全可以发现大多数安全威胁的早期征兆。通过为每个身份建立 “正常 ”行为基线,人工智能可以快速标记偏差,从而对潜在威胁做出快速反应。
4. 自适应的访问控制能力(Adaptive Access Controls)
自适应访问控制是AI IAM系统的重要支柱能力。通过持续评估风险并相应地调整访问权限,AI赋能的新型IAM系统能够实现情境感知的访问控制与管理。
在风险自适应访问控制(RAAC)方面,AI 技术通过使用机器学习算法,如贝叶斯网络和决策树,组织可以评估异常访问时间和不熟悉设备之类的风险因素。基于实时数据和历史访问模式,这些模型生成风险评分,并以此自动调整用户权限,而无需任何手动干预。
AI技术还能够通过实现持续的身份验证和授权机制来支持零信任模型。为了实时验证用户身份和访问请求,组织可以使用身份行为分析(IBA)和用户行为分析(UEBA)等技术。AI驱动的微分段和预测性访问控制通过基于行为洞察和上下文数据限制访问来增强安全性。
5. 更好的用户体验(Enhanced User Experience)
AI IAM方案能够有效平衡应用中的安全性和可用性,从而带来更好的用户体验。基于AI的IAM系统可以通过动态评估上下文数据(如设备指纹识别、地理位置和历史登录模式)来动态调整身份验证流程,并动态计算身份验证可信度的分值。这将允许采用自适应的身份验证方法,进一步减少低风险场景中的摩擦,并在必要时执行更严格的管理措施。系统还可以根据工作职能动态分配角色,从而使流程更加顺畅高效。
6. 动态再认证与合规管理(Automated Recertification and Compliance Management)
AI IAM可以改进组织的再认证流程和合规管理水平,这对于保持合规性和降低安全风险非常重要。在动态再认证流程中,组织可以通过机器学习算法,如异常检测和预测分析,以根据用户行为、角色变更和历史数据评估访问权限。这些技术可以通过分析访问模式并检测异常行为,自动触发再认证工作流程。
同时,AI风险评估模型包括了加权风险评分(WRS)方法和贝叶斯推断模型等算法,可以根据系统的关键程度和所涉及的数据,对高风险用户账户的重新认证工作流程并更频繁地进行监控。
组织还可以通过API和数据连接器将AI IAM系统与GRC风险管理工具集成。AI可以通过分析用户访问日志、应用自然语言处理(NLP)来识别不符合规定的访问模式,并使用基于规则的引擎结合机器学习来建议纠正措施,从而自动生成审计跟踪,形成一个自适应的合规监测系统,确保持续遵守法规。
AI IAM应用的挑战
AI为IAM带来了新的智能化、自动化和适应性。借助AI技术,新型IAM系统不仅可以被动式安全防御,还可以主动预测和适应不断变化的身份威胁,为组织提供新的方法来应对日益复杂的网络安全环境变化。
不过,要实现AI IAM的全部潜力,组织还需要深思熟虑地处理数据隐私、算法公平性和系统集成等问题,以确保其人工智能驱动的身份和访问管理解决方案是可信、安全和可持续的。
研究人员认为,AI IAM解决方案应用的主要挑战包括:
数据隐私问题: AI模型需要大量的数据集进行训练,这引发了人们对数据安全和监管法规遵从的担忧。数据匿名化和差分隐私等技术可以帮助降低AI IAM应用中的部分风险。
算法偏见问题: 如果 AI 模型不是基于多样化的数据进行训练的,它们可能会导致在推荐结果和处置策略中产生算法偏见。组织可以使用偏见检测工具并减少偏见。
技术融合问题: 将先进的AI技术与IAM平台整合需要涉及API连接和数据规范化等问题,这就需要采用合适的中间件来弥合技术整合差距。这对组织来说可能带来额外的费用成本和技术挑战。
性能和可扩展性问题: 可扩展架构对于AI IAM系统非常重要,像Apache Kafka和TensorFlow这样的技术可以通过数据流和高效的模型部署来提高AI IAM的应用性能。
来源:科技天下事
