1. 首頁 > 生活百科 > >

身份暗物質威脅企業網絡安全的新挑戰

貴州浙江省算力長江經濟帶

身份暗物質威脅企業網絡安全的新挑戰

身份暗物質是什么
身份管理過去集中在單一位置——LDAP目錄、HR系統或單一身份管理門戶 。 然而現在 , 身份信息分散在SaaS、本地部署、基礎設施即服務、平臺即服務、自主開發和影子應用程序中 。 每個環境都有自己的賬戶、權限和身份驗證流程 。
傳統的身份訪問管理和身份治理工具只能管理已完全接入、集成和映射的用戶和應用程序 , 約占整個身份環境的一半 。 其余部分仍然不可見:未驗證、非人類、未受保護的大量身份 , 我們稱之為身份暗物質 。
每個新應用或現代化應用都需要接入工作——連接器、模式映射、權限目錄和角色建模等 , 這些工作消耗大量時間、資金和專業知識 。 許多應用程序從未完成這個過程 , 導致身份碎片化:未管理的身份和權限在企業治理之外運行 。
在人類身份層之外 , 還有更大的挑戰——非人類身份實體 。 API、機器人、服務賬戶和智能體流程在基礎設施中進行身份驗證、通信和操作 , 但它們通常無法追蹤 , 在創建后被遺忘 , 缺乏所有權、監督或生命周期控制 。 這些無治理實體構成了身份暗物質最深層、最不可見的部分 , 而傳統身份管理工具從未被設計來管理這些實體 。
身份暗物質的風險類別
隨著組織現代化 , 身份環境碎片化為幾個高風險類別:
未管理的影子應用程序:由于傳統接入的時間和成本問題 , 這些應用程序在企業治理之外運行 。
非人類身份實體:快速擴展的層級 , 包括在無監督情況下運行的API、機器人和服務賬戶 。
孤立和過時賬戶:44%的組織報告擁有超過1000個孤立賬戶 , 26%的賬戶被認為是過時的(超過90天未使用) 。
智能體實體:獨立執行任務和授予訪問權限的自主智能體 , 打破了傳統身份模型 。
這些無治理實體的增長創造了網絡風險滋生的重要\"盲點\" 。 2024年 , 27%的云端安全事件涉及濫用休眠憑據 , 包括孤立和本地賬戶 。
主要風險包括:
憑據濫用:22%的安全事件歸因于憑據利用 。
可見性缺口:企業無法評估看不到的內容 , 導致\"控制錯覺\"而風險不斷增長 。
合規和響應失敗:未管理的身份處于審計范圍之外 , 減慢事件響應時間 。
隱藏威脅:暗物質掩蓋了橫向移動、內部威脅和權限提升 。
解決方案:身份可觀測性
要消除身份暗物質 , 組織必須從基于配置的身份管理轉向基于證據的治理 。 這通過身份可觀測性實現 , 提供對每個身份的持續可見性 。
根據Orchid觀點 , 網絡韌性的未來需要三支柱方法:
全面觀察:直接從每個應用程序收集遙測數據 , 而不僅僅是標準身份管理連接器 。
全面驗證:建立統一的審計軌跡 , 顯示誰在何時、為何訪問了什么 。
全面治理:將控制擴展到受管理、未管理和智能體身份 。
通過統一遙測、審計和編排 , 企業可以將身份暗物質轉化為可操作、可衡量的事實 。
在Orchid Security , 我們相信網絡韌性的未來在于像合規和安全可觀測性一樣運行的身份基礎設施:觀察身份如何編碼、如何使用以及如何表現 。 通過統一遙測、審計和編排 , Orchid使企業能夠將隱藏的身份數據轉化為可操作的事實 , 確保治理不是聲稱的 , 而是被證明的 。
Q&A
Q1:身份暗物質是什么?為什么會出現?
A:身份暗物質是指分散在各種應用環境中未被傳統身份管理工具覆蓋的身份信息 , 包括未驗證、非人類、未受保護的大量身份 。 它的出現是因為現代企業的身份信息分散在SaaS、本地部署、云服務等多個環境中 , 而傳統工具只能管理已完全接入的部分 。
Q2:非人類身份實體有哪些安全風險?
A:非人類身份實體包括API、機器人、服務賬戶和智能體等 , 它們通常無法追蹤 , 缺乏所有權、監督或生命周期控制 。 主要風險包括憑據濫用(占22%的安全事件)、可見性缺口導致的控制錯覺、以及成為橫向移動和權限提升的隱藏威脅 。
Q3:如何解決身份暗物質問題?
A:解決方案是采用身份可觀測性方法 , 從基于配置的身份管理轉向基于證據的治理 。 具體包括三個方面:全面觀察每個應用程序的遙測數據、建立統一審計軌跡證明訪問行為、將治理控制擴展到所有類型的身份實體 。
【身份暗物質威脅企業網絡安全的新挑戰】

    推薦閱讀