IAM+AI新探索，数字身份安全将会迎来怎样的新变化？

你好，我是茆正华。欢迎来到派拉软件“数字安全前沿栏目”之解读《新一代身份和访问控制管理》的第四讲：AI技术如何与IAM技术融合创新，智能化赋能企业数字化身份安全管控？

AI，一种试图用机器对人类智能的模拟技术。2023年ChatGPT的横空出世，人工智能发展再一次迈入关键时期，以生成式人工智能为代表的新技术、新应用不断打破人们对人工智能的固有认知。

当人工智能可以通过人类最严格的考试、同时执行多种工作命令、具备一定的推理规划能力、生成代码、生成以假乱真的照片、模仿人类与人聊天不被发现时，我们发现AI正在代替人做的事情越来越多了。

与此同时，我们也第一次切实感受到了AI的强大，有关“AI到底是减弱人的价值还是增强人的价值”的讨论愈演愈烈。

我的观点是，这取决于你怎么用它！

以身份治理与身份安全管理为例，看看在IAM技术的未来发展中可以怎样融合AI强大的机器学习和分析能力，利用海量用户行为数据分析，为现实世界进入数字世界的大门站好第一道岗。

在本栏目解读的前几讲中，我曾说过，IAM是链接现实世界和数字世界的纽带，把现实世界中的人或实体一比一映射到数字世界，从而在数字世界里给彼此间的认识、交流、互动建立基础。

在这个基础上，现实世界中的主体要想进入数字世界访问相应的客体资源，首先需要建立安全可信的身份认证。只有在身份核验认证通过后，现实世界的主体才能进入数字世界。

但哪些客体资源可以访问，又需要有对应的权限管控。在整个访问控制过程中，还需要通过审计能力，记录监控这一切。

也就是说，在全面数字化的世界里，一个现实世界主体进入数字世界，并在数字世界安全地工作、生活过程中，需要借助IAM的身份、认证、访问权限管控、风险审计4大基础安全能力。

1.

无感化认证：极致化登录体验

当你在数字世界入口前，AI就开始对你的身份、行为全方位扫描、分析，利用无监督学习，学习用户特定行为（如登录时间、习惯，设备，生物特征等），发现合法账号是否被非法使用；

或通过图表征学习与聚类算法相结合挖掘黑产用户账号，并配合MFA的打击能力，对黑产的源头进行精准打击，有效的避免非法的人持有合法账号的非法行为。

在这样的安全认证保障下，AI还可以基于海量数据形成的个人画像，在你进入数字世界入口时，设计出符合个人习惯、特性的独特身份认证方式，实现基于多因素的自适应身份验证，甚至是无感化认证，在保障提升认证准确性、安全性的同时，提升你的认证登录体验。

2.

访问即权力：智能化最小权限

进入数字世界后，你开始根据自己的工作需求以及所拥有的权限访问各个客体，获取相应的资源。

此时，如果你是一个全新用户，在没有管理员授权前提下，你会处处碰壁，无法在这个数字世界生存。而如果管理员把你的权限设置过大，又会滋生权限滥用等风险。

而对于一个中大型组织企业而言，所有的应用系统中的权限项可能突破百万级，权限如何精准设置是个精细活。

传统的依靠管理员进行人工配置所有人的权限项手段越来越不可靠。那这种具备工作量大、容易出错且要求精准等特征的工作是否可以通过AI来解决呢？

答案是可以的！

AI 技术的三大核心要素，即算法、算力、数据。其中算法是 AI 的“大脑”，目前算法应用主要区分为决策式和生成式。前者是根据已有数据进行分析、判断、预测；后者是基于已有数据进行模仿式创作，生成全新的内容。

在IAM的权限治理层面， AI可以利用其天生具备的强大数据收集、深度学习分析能力，结合生成式算法，通过对全域、全组织内、全工作过程中对业务系统的细粒度权限项的使用知识学习，快速地为一个新用户需要处理的工作的最小权限进行智能推荐。

即使这个新用户在公司就职过程中，存在职责或人事变动，AI也会即时做出调整，并智能推荐相应权限。

与此同时，在管理系统中进行自动化、智能化分配，加大权限的细粒度精准管控，也减少人工干预的错误和操作的滞后性，提升系统访问控制权限的灵活性、精确性以及安全性，让你感受到“访问即权力”的真谛。

3.

全过程监控：精准化风险管控

而在你从进入数字世界前到生活在数字世界全程中，引入AI能力的IAM会不眠不休地监测你的行为、全程监督。

例如，针对用户有意识或是无意识的风险操作，AI都可以根据统计规则的正态分布规律进行探索发现，及时监测出是机器人操作还是合法人的恶意操作等。

此外，通过广泛的数据收集与深度学习能力，结合不同场景，分析用户和实体行为，更准确地检测出用户操作行为的细微变化，配合专家知识库，分析你在访问过程中潜在的威胁行为，如异常登录尝试、大规模数据下载等可疑活动；

以极高的准确率命中异常事件，并及时、自动化地做出反应，有效防止企业核心数据泄漏、员工违规操作、账号盗用等安全问题，同时能为安全事件调查提供更加精准的依据输出。

4.

新技术风险：动态化网络安全

以上，我从IAM四大基础能力，即身份、认证、访问权限管控、风险审计，并结合用户进入数字世界生活、工作的全过程，试图为大家讲清楚AI如何赋能IAM管控全过程。

当然，AI赋能IAM的地方绝不仅此，以上只是抛砖引玉，提供一个思考方向。企业可以根据实际在身份和访问控制管理的薄弱环节，尝试将AI技术融入其中。

但在这个过程中，我们也不能忽略AI可能带来的潜在安全威胁。

例如，AI模型本身可能就存在漏洞，即新技术的内生安全。ChatGPT发布后爆出的各种安全事件也证实了这个观点；

其次，新技术在安全领域的赋能，既可以赋能于防御，也可能赋能于攻击。所以，AI技术也会被恶意利用，使得不法分子的攻击能力增强；

再者，新技术自身缺陷可能并不影响新技术系统自身的运行，但这种缺陷却给其他领域带来了问题，导致其他领域变得不安全，即新技术的衍生安全问题。

例如，由于AI技术依赖大量用户数据进行学习，数据滥用和隐私问题可能会成为安全隐患……

所以，我们要认识到，网络安全始终是动态的，没有百分百的安全防护解决方案。一个安全问题解决了，另一个安全问题又会冒出来。新技术更是导致网络空间安全具有动态特征的主要因素之一。

要做好网络安全，就注定要在这条永无止境的路上，不断前行！这也是为什么派拉软件15年来，始终坚持在数字身份安全领域持续深耕的原因。

以上就是本期全部内容，我们下期内容再见，也欢迎你在文末留言，对本期内容进行探讨。