浅析身份和访问管理趋势（二）

编辑：小星

多一份网络防护技能

多一份信息安全保障

之前给大家整理了几个关于身份和访问管理安全的控制条件，今天我们看还有哪些条件也在控制着身份管理的安全。

7. 提权攻击

作为针对性攻击的必备要素——提权攻击，甚至于不那么针对性的攻击也会经常使用的提权方法。我们可以特权内部人的访问及活动进行严密控制，就可以达到控制的效果，毕竟有了凭证之后，就可以基本确认攻击者是个内部人了。

8. 非结构化数据问题

非结构化数据就是指不规则或不完整的数据结构，数据模型没有预定义，且不方便用数据库的二维逻辑表来进行表现的数据。IAM行业在很大程度上关注的重点都是对应用的访问，但是文件系统的暴露面过大，数据的非结构化也在不断增多，若将重点放在应用访问上绝对不是什么好方法。

9. 风险验证

随着生物特征识别的广泛应用，越来越多的组织都在使用行为生物特征识别，来解决合法登录后可能会发生的攻击问题。有些组织会应用其来防止会话被劫持，和对抗在线欺诈。有些组织利用其进行内部用户的异常行为检测，来阻抗攻击者在攻克后对内部网络进行横向移动。

根据多年的二级感染的证据来看，事件响应一直没什么用处，所以动态自适应的身份验证才是真正可以解决问题的方案。用户的设备和网络都应该满足部分异常的响应来从生物学上识别用户的身份，比如拍张挖鼻孔的自拍……

有的自适应产品会使用多个源验证来保证身份的准确性，并提供持续的身份验证，比如在检测到风险时会弹出验证挑战，要求用户响应。

有的组织会将包含用户生物特征行为的数据一起建立的用户资料中，但并不是用户身份。在检测出异常的行为时，在欺诈转账发生之前就叫停僵尸主机或攻击者。

这些风险的自适应“步进式”身份验证工具，一般只要没有检测到风险，用户就可以实现“零登陆”。

10. IoT扩展

IoT即物联网，全称为Internet of Things，而当身份管理遇上了IoT就有极大滑铁卢的风险。

物联网对管理的机器身份数量进行了扩张，使普通消费者也具备了设置、管理和保护这些机器身份，并可以监管机器间相互通信方式的责任。随着越来越多的设备都接入了互联网，以用户的智能手机为中心点向周边辐射，致使一部手机想要解锁所有设备的方式是无法扩展的。

计算机、机器人和IoT设备等等都是需要访问计算和数据资源的，都属于身份治理的范畴。

11. 数字身份

区块链的分布式账本平台逐渐的被广泛的应用在提供数字身份上。商业方面，分别出现了基于IBM区块链上专为受监管行业而设的数字身份网络，和基于区块链的企业级IAM、单点登录(SSO)的解决方案。

而埃森哲和微软联手利用基于区块链的身份基础设施，帮助联合国为没有官方身份证件的人提供合法有效的身份证明，比如难民。

12. 身份管理职业

身份管理职业成立于2017年6月，这是一种非营利性专业的会员组织，专属于身份和访问管理的人员。

该组织旨在构建IAM知识体系，支持从业者，确保身份及访问管理被大众了解知悉，并且认为是隐私及信息安全的重要性，最终可以发展出一套认证机制。

以上为个人观点，仅供参考。

欢迎关注小星（ID：DBXSJ01）