- 超過四成的公司仍處於身分安全之旅的早期階段。
- 安全專業人士正在努力傳達身分安全的商業價值。
- 即使是成熟的公司,組織身分管理的涵蓋程度仍低於70%。
- 亞太地區過半數企業仍處於身分安全管理的起步階段
- 利用 SaaS、AI/機器學習和自動化的公司擴充速度比其他快10-30%。
2023年11月13日,台北- 企業身分安全治理解決方案的領導公司 SailPoint今日發表2023 年的年度研究報告《The Horizons of Identity Security》。這份研究報告由SailPoint與全球頂尖的專業服務公司埃森哲合作,報告內容以訪問美洲、歐洲和亞洲超過375名全球網路安全高層的見解為基礎,目的是檢視身分安全市場的現狀和未來方向。
由於90%的網路安全漏洞與身分相關,因此對於組織而言,身分安全是所有資安領域中最需要慎重處理的面向。然而《The Horizons of Identity Security》報告的調查結果顯示,44%的公司仍處於身分管理旅程的起步階段。而且令人擔憂的是,即使是身分安全措施成熟的公司也僅透過基礎治理功能涵蓋了組織中不到 70% 的身分。此外受訪者也指出,與管理高層溝通身分安全的商業價值是一項關鍵挑戰。這凸顯了倡導身分安全者需要根據受眾在策略上的優先順序和價值驅動的思維方式,量身打造企業高階管理者容易採納的商業案例。
令人憂心的是,有77%的受訪者表示「高層主管有限的支持或關注」是進行身分安全投資的主要障礙,僅次於預算限制(91%)。然而今年的調查結果也清楚顯示,強大的身分安全計劃可以推動業務敏捷性和創新、風險緩解、效率提升和技術計劃的進步。舉例來說,更快速地整合身分、應用、資料和基礎架構,可使組織變革的速度加快高達30%。
科技產業位居領先地位 銀行、證券因應嚴格監管要求身分安全成熟度居次
以產業類別做劃分,科技業的身分安全計畫最為成熟,73%受訪對象的身分安全管理已進入第三階段*以上;銀行保險業以及公用事業公司分別有71%與67%受訪對象進入第三階段以上,部分原因是需要應對嚴格的監管環境。製造業緊隨其後,如同公用事業,製造業需要透過先進的 IAM (identity access management ) 功能來管理其身分生態系統日益複雜的情況,以及橫跨 IT 和 OT 環境的大型攻擊面。 研究中也發現,具全球規模的企業重度依賴供應鏈中的承包商和其他第三方單位,使得這些企業必須維持一個廣大的身份和基礎設施網路。
北美與歐洲企業的身分安全成熟度領先 亞太區仍處於起步階段
在全球各區域中,總部位於北美和歐洲的企業在身分管理成熟度方面領先。 尤其是歐洲,必須跟上廣泛的資料法規,這成為歐洲企業升級身分安全計畫的驅動力。相較之下,亞太區60%的受訪對象依然停留在起步階段。有趣的是,亞太地區中各個區域市場的成熟度存在顯著差異,顯示該地區對身分安全的關注存在兩極化。這種差異可能歸因於不同的監管環境。 在亞太地區中,相較澳洲、日本、新加坡等國家在身分和資料安全已奠定完善且相對成熟的監管框架,該地區的部分國家才正開始採用或首次頒布相關法規。
SailPoint台灣區總經理傅孝淇表示:「亞太地區大多數的組織仍處於身分安全之旅的起步階段,由於組織暴露在威脅的範圍正隨著數位身分的激增而擴大,亞太地區的企業必須專注於加速身分成熟度,並實施強大的身分安全計劃,這麼一來不僅可以防止資料外洩,還可以提高效率,產生業務價值。隨著與身分相關的威脅不斷增加,各行各業的安全團隊都必須採用支援AI的全面性身分安全管理方法,自動化控管存取權限並確實執行,避免未經授權的存取造成的風險。」
身分生態系統日益複雜,是資安威脅者首選的攻擊向量。根據調查結果,組織中平均有超過30%的身分沒有獲得適當的身分解決方案管理,尤其在第三方身分、機器身分和資料方面都有顯著的落差。為了避免外洩,將這些身分納入強大的身分管理程序的保護傘下便相當關鍵。基礎的安全功能可加快事件回應速度,防止惡意行為者獲得授權進入內部系統,限制員工有過度的存取權限,這也是本次調查中受訪者認為最常導致外洩的安全缺陷。
AI助力企業加速身分管理進程 奠定數位轉型基礎
報告中還有其他值得注意的發現,其中之一是基於AI的解決方案已被證明是強大的加速器,可幫助企業增加先進的新功能並提高敏捷性。令人感到振奮的是,今年的報告顯示有越來越多的組織正在探索使用AI的動態信任模型,藉此根據使用者行為調整存取權限。調查結果還顯示,利用SaaS、AI和自動化的公司,擴充的速度顯著提高10-30%,並且能透過提高功能利用率使公司的安全投資獲得更多價值。更明確地說,和沒有 AI 支援的公司相比,利用自動化和 AI 的身分平台的公司擴充與身分相關功能的速度快了 37%。
埃森哲全球安全數位身分負責人Damon McDougald表示:「組織在管理複雜的身分環境和大量數據集方面正面臨前所未有的挑戰,雖然AI和生成式AI等先進技術能更容易地加速、管理和擴充身分安全方案,但許多組織目前仍處於旅程的初期階段。組織應將把握當前的機會,加速身分成熟度的進程,為安全的數位轉型奠定基礎。」
採納評估工具
SailPoint推出一種新的採納評估工具,幫助組織評估當前的能力以及與同儕相比的結果。這項工具可以幫助企業辨識出目前加強身分安全的最大障礙,以及如何透過投資身分管理產生更大的業務價值。欲使用此採納評估工具,請點選此處。
2023《The Horizons of Identity Security》報告相關資源
- 下載 2023 年《The Horizons of Identity Security》。
- 更多關於本報告的主要發現,請參考SailPoint部落格。
- 關於本報告的重點整理,請點選此處。
- 參考2022 年《The Horizons of Identity》報告或進行成熟度評估,請點選此處。
註:《The Horizons of Identity Security》報告中將企業身分安全旅程劃為5階段:
第一階段:企業內部僅有不完整的身分管理經驗
第二階段:已著手進行身分管理,但大部分仍採用手動操作
第三階段:將具規模的身分管理數位化
第四階段:採取進階的數位工具,以及可預測的使用案例
第五階段:採取延伸且整合的身分管理
# # #
關於SailPoint
SailPoint 是現代企業身分安全治理的領導廠商。企業安全管理範圍從身分存取開始至結束,現單憑人力已無法協助企業有效治理和保護身分安全。SailPoint身分安全治理平台以人工智慧與機器學習為基礎,協助企業於適當的時機向對的身分和技術資源開放必要的存取權限,以滿足當今以雲端發展為主的企業對規模調度、速度與環保等各方面的需求。SailPoint智慧、自主與整合的解決方案以身分安全治理作為管理數位業務的核心,支持全球組織架構複雜的企業打造以身分安全治理為基準的策略,以應對現今嚴峻的安全威脅。