Gartner：關于特權訪問管理（PAM）應用發展的6大看點

2023年度Gartner安全和風險管理峰會于6月初在美國馬里蘭州成功舉辦，該會議向來是網絡安全行業發現技術創新和應用趨勢的盛會，今年也不例外。在今年的峰會上，與會專家和參會嘉賓廣泛討論了如何在快速變化的數字環境中，有效應對身份帶來的安全風險與挑戰。而特權賬號由于是企業最核心的身份資產，其訪問安全性將直接關系到企業最在意的數據安全和業務安全，因此成為了本次峰會研討時的焦點議題。

推動PAM應用落地的“巧克力”是什么？

在峰會開幕演講中，Gartner副總裁、高級分析師Leigh McMullen表示：如今許多企業組織的CISO和安全團隊感到精疲力竭，他們已經為企業安全建設工作付出了最大的努力，卻沒有獲得符合預期的回報，一些錯誤的認知阻礙了企業充分發揮網絡安全的價值。對PAM技術而言，能夠真正推動其有效應用落地的“巧克力”是什么？

在回答這個問題時， McMullen重點強調了人們習慣于選擇簡單和易于使用的方法，而非最先進的技術，因此需要簡化安全性才能獲得最終用戶的采用。鑒于各種安全工具泛濫成災、網絡安全專業人員嚴重匱乏，McMullen呼吁將最低有效洞察力作為衡量PAM安全計劃是否成功的重要指標，并倡導使用最低有效工具集以實現預期結果。McMullen特別指出，PAM安全服務商需要實現最低有效摩擦才能提高用戶的實際采用率，其理念是讓執行正確的操作變得更簡單，而不是有意繞過安全指南。

在網絡安全網格中的應用

在今年峰會上，重點研討了PAM技術在新一代網絡安全網格（cybersecurity mesh）方案體系中的作用。Gartner認為，網絡安全網格可以使任何人都能更安全地訪問任何數字資產，無論資產或人員位于何處。它通過云交付模型解除策略執行與策略決策之間的關聯，并使身份驗證成為新的安全邊界。到2025年，網絡安全網格將支持超過一半的數字訪問控制請求。在此背景下，企業的網絡安全建設需要從基于網絡基礎設施的邊界向基于數字身份的邊界轉變，將會進一步突出了PAM在現代企業網絡安全戰略中的重要作用，企業要從全新的身份安全視角進行特權訪問管理技術的建設與應用。

融入到零信任體系架構

今年峰會的一個關鍵話題是PAM技術和零信任體系的應用交集。隨著零信任體系架構的不斷應用落地，PAM也被Gartner認為是顯著降低現代企業數字化風險的最關鍵部分。峰會強調了PAM對于實現成功零信任策略的重要性，因為它有助于執行最小特權原則，僅為用戶提供執行其工作所需的最低權限。從長期看，企業的PAM 建設應該有效融合到完整的零信任體系建設的范疇中，無論是用戶、設備、應用程序還是請求網絡訪問的API，在被有效驗證身份和真實性之前，拒絕其對資源的訪問將是默認選項。

跨多云環境的統一管理

隨著越來越多的組織將應用程序和數據存儲在云端，Gartner認為PAM技術未來在保護企業的云應用和數據方面也將變得越來越重要。在今年的峰會上，多位演講者在分享時指出企業不僅需要能夠管理人類用戶的特權訪問，還需要管理越來越多的非人類實體（比如機器人程序、軟件賬戶和API應用）的特權訪問。隨著企業數字化身份數量急劇增加，以及多云和混合云應用的普及，企業將迫切需要實現跨多云環境的統一化特權身份安全防護，包括跨云擴展授權管理、即時特權控制和一致的特權身份審計。

擁抱人工智能和自動化

人工智能和自動化技術的應用趨勢已經不可阻擋，如何利用這些技術增強傳統PAM的功能也成為今年峰會的討論熱點。鑒于現代企業的IT環境日益復雜，手動管理訪問特權已經不能滿足用戶的應用需求，利用人工智能和自動化有助于快速識別潛在的訪問風險，實施一致的訪問控制，并簡化安全審計過程。Gartner分析師強調了這些技術在PAM應用發展中將會更多應用，并成為一種主流的趨勢。但企業同時也需要認識到，雖然自動化可以減少人為錯誤的風險并提高效率，但應該輔以明確定義的流程和控制，才能真正減小潛在風險。PAM技術對人工智能和自動化技術的需求以及與之相關的風險可能是個長期存在的熱門話題。

PAM的發展與演變

展望未來，峰會討論提到了PAM領域的持續演變。隨著工作環境日益混合，組織需要對PAM采取一種更全面、更靈活的方法，這種方法可以有效地管理各種系統和環境（云和本地）的權限。Gartner的分析師還預測，下一代PAM解決方案可能會整合更高級的功能，比如行為分析和預測風險評分，從而進一步提高特權賬戶的安全性。多位安全專家在峰會強調，在數字環境快速變化的形勢下，實施有效PAM的價值毋庸置疑，組織需要優先考慮PAM以保護其數字資產，并防范將來日益復雜的網絡威脅。