回顾2024年,身份与访问控制安全仍是企业安全重灾区。
据Verizon《2024年数据泄露调查报告》显示,约68%的安全事件涉及非恶意的人为因素。一半的数据泄露归因于糟糕的身份和访问管理。窃取凭证依然是数据泄露中最常见的攻击手段。
此外,生成式人工智能技术的快速普及也带来了更加复杂的身份与访问风险......面对身份威胁的持续演变,防御措施也在不断变化。
那么,2025年身份安全将会呈现出哪些发展趋势?
01
身份安全对企业的重要性日益增加
过去三十年,身份访问管理通常被视为IT和网络组织的一项资源消耗。因为随着业务增长,企业需要增加管理员,增加了运营成本,却未带来显著的业务价值。
然而,如今,由于大多数网络安全事件都涉及凭证泄露,企业面临的内部威胁也日益严峻。企业必须采用先进的技术和策略,重点加强以身份为核心的防御与监测。身份已被企业视为核心安全功能,而不仅是IT功能。
根据身份定义安全联盟(IDSA)发布的《2024年身份安全趋势报告》,73%的受访者表示,有效管理和保护数字身份是其三大优先事项之一,高于2023年的61%。
此外,过去主要由严格法规推动的身份治理和管理需求,如今逐渐转向价值驱动。企业不仅需要提高合规性和安全性,还要提高效率。
通过简化操作、减少手动工作量,企业能为业务带来更大的附加价值。人工智能将在简化用户交互中发挥关键作用,提升使用率,进而改善质量和合规性。
02
身份将为更多跨域攻击打开大门
2024年,基于身份的攻击持续增加——75%的初始访问攻击没有使用恶意软件。随着攻击者越来越擅长利用被盗凭证,他们将更加聚焦于企业架构中的互联域——身份、云、端点、数据和AI模型。
这些攻击通常难以被察觉,因为它们在各个领域留下的痕迹最小,看起来像是孤立事件,难以拼凑成完整的攻击模式。但一旦拼接起来,便形成了一张完整的攻击图谱,可能给企业带来致命打击。
因此,到2025年,企业必须整合全域数字资产(包括人员、设备、API、内嵌账号、机器等)的身份统一可见性,实施零信任原则,进行跨域威胁搜寻,及时发现并阻断异常行为,防止漏洞发生。
03
AI将进一步应用于IAM系统
人工智能有潜力成为安全团队的得力助手,接管一些繁琐的IAM任务,如权限审核等。AI的应用能够加快这些任务的完成速度和频率,提高效率,确保用户权限得当。
例如,通过与流行的AI框架集成,企业能够持续监控和分析用户行为,实时调整访问控制。AI增强的IAM系统能够检测异常,并根据实时上下文动态调整权限,降低未经授权访问的风险。
这一转变将使身份管理更加灵活,能够及时响应用户行为和需求的变化,同时提供更加严密的安全管控。
04
AI威胁真实存在,且就在眼前
然而,随着AI技术逐步融入企业的业务和安全运营,身份安全漏洞也在呈指数级增长。
以Wiz CEO事件为例,攻击者利用AI技术完美复制高管的声音,通过授权欺诈性转账,绕过传统安全措施。这只是AI增强网络攻击和网络钓鱼的冰山一角。
如果企业没有实施全面的监控机制,也没有强大的可见性解决方案来实时检测异常活动——如不寻常的路线更新、配置更改或可疑的账户活动——那么组织就会处于极大风险中。
这不是一个“是否发生”的问题,更是一个“何时发生”的问题。
IAM厂商在应用AI模型时,应定期使用不同数据集审查和训练AI大模型,增强AI模型的可解释性和可监控性,并结合MFA等传统安全措施,打造多层次的身份与访问控制防御体系。
05
无密码技术势头继续加速
关于无密码认证的讨论已持续多年,近年来,包括微软在内的多家公司纷纷宣布将彻底消除密码,转向更安全的身份验证方式。
越来越多的企业认识到,无密码身份验证(如生物识别、硬件安全密钥等)比传统密码更加安全且用户友好。
据调查,65%的企业在2024年集成了生物识别身份验证,显示出无密码方案在各行业中的逐步普及。
预计到2025年,无密码认证解决方案(如生物识别和硬件安全密钥)的采用率将继续增加,并结合AI驱动的威胁检测,进一步简化用户体验并提升安全性。
这样,企业能够在不增加用户体验摩擦的情况下,实施更加细致的跨设备安全策略控制。
06
B2B身份,尤其是供应链访问安全
随着企业与第三方合作的增多——从供应商到承包商再到客户——第三方身份的数量已经超过了内部员工身份的数量,比例高达3:1。同时,供应链攻击事件频发,许多案例都源于跨客户的第三方攻击。
例如,2022年,供应商“小岛冲压工业株式会社”遭遇网络攻击,导致丰田在日本国内14家工厂全部停工。2024年,供应链攻击事件再次发生,攻击者利用供应链中的硬件或软件漏洞实施破坏和袭击活动......
因此,2025年,企业将更加重视B2B身份管理,特别是在数字化流程中加强对外部身份的监督。细粒度的访问管理、对特权账户的可见性、加强对第三方工具与企业系统之间交互的审查,将是保护B2B身份安全的关键措施。
07
非人类身份成为IAM领域关注焦点
Gartner分析师指出:“许多违规行为并非源于人类账户被盗,而是机器账户被盗。”
多年来,人类身份管理一直是关注重点,但非人类身份(如设备、虚拟机、工作负载、API、应用程序、内嵌账号等)的快速增长带来了新的安全漏洞。
据统计,每个用户账户背后大约有40个非人类账户。这些账户通常使用长期不变的访问密钥,权限管理缺乏有效监管,成为企业潜在的攻击面。
为了应对这些风险,2025年,非人类身份将成为IAM领域的主流话题,成为一项关键的安全挑战。新一代IAM工具将提供对机器身份的全面可见性,包括大规模创建、使用和撤销非人类身份的能力。
例如,派拉软件最近推出的PAM平台,便增加了对内嵌账号的全生命周期管理。
08
2025年,防范云漏洞需采用混合方法
过去一年,云安全事件增加了75%,保护云环境的重要性比以往任何时候都更为紧迫。然而,仅靠云保护工具已不足以应对当前的威胁。
攻击者越来越多地在云平台和本地环境之间横向移动,利用混合环境的复杂性和断开连接的单点产品造成的安全漏洞。
为了在2025年重新获得控制权,企业必须通过一个统一的控制台,全面了解公有云、私有云、本地网络和API的安全状况。通过统一集成的身份、API、数据安全管理控制平台,有效防范复杂威胁。
以上这些趋势表明:2025年,企业不仅要应对日益复杂的攻击手段,还需为更高效、智能的身份与访问管理策略做好准备。
面对这些挑战,身份安全不再是单纯的IT任务,而是企业数字信任、业务弹性和创新的核心要素。