2021年80%的公司遭遇身份相關數據泄露

研究人員表示，飛速增長的員工身份、第三方合作伙伴和機器節點令公司爭相保護憑證信息、軟件秘密和云身份。

6月22日，Dimensional Research發布了一項針對IT和身份專業人員的調查，結果顯示，在不斷增加的云采用、第三方合作伙伴和機器身份的推動下，幾乎每家企業（98%）需要管理的身份數量都在快速增長。而且，須管理身份數量的暴增還導致了數據泄露事件的增長，84%的公司在過去一年里經歷了身份相關的數據泄露，而此前一項覆蓋兩年時間的調查研究中這一比例還只是79%。

資助該調查的身份定義安全聯盟（IDSA）執行董事Julie Smith表示，數據泄露事件增多并不令人驚訝。

“企業必須管理和保護好各種身份，而這些身份的數量和復雜性正在增加。”她說道，“身份數量增加時，只要沒有恰當的管理和保護，與身份相關的數據泄露風險就會相應增加，而且隨著攻擊面的指數級增長，多個方面都可能曝出此類安全事件。”

《2022年數字身份保護趨勢》白皮書就是根據此項調查的數據編撰的，白皮書中寫道，在大多數情況下，企業關注員工身份，其中70%的受訪企業認為員工身份最有可能遭到泄露，58%認為員工身份泄露的影響最大。但是，第三方合作伙伴和企業客戶也是重大風險來源，分別有35%和25%的受訪者認為二者是主要的數據泄露源頭。

去年企業遭遇身份相關數據泄露的類型分布

IDSA建議公司關注身份相關的安全成果，用以降低數據泄露的風險和影響。幾乎所有受訪者（96%）都認為，實現重在身份的安全控制措施，例如多因素身份驗證（MFA），可以防止或最大限度地減少數據泄露。

“以實現有效身份治理、訪問和行為檢測為中心，這些安全成果為IT環境添加了一層防護。多因素身份驗證作為一種緩解策略，亦因此一躍成為首選數據泄露防止措施。”

MFA可減少身份相關數據泄露

調查顯示，受訪者認為，有三大對策可以緩解數據泄露的影響：MFA、及時審查特權訪問，以及持續發現和監控特權訪問權限。IDSA執行董事Smith表示，這三種安全控制措施也可能在來年獲得最多的投資。

“我們未必希望應對措施和計劃100%匹配，因為這可能表明公司只是在追著自己的尾巴跑，在需要應對未來潛在數據泄露的前瞻性戰略和愿景時僅僅關注了上一次泄露事件。”

機器身份，例如系統憑證、軟件秘密和物聯網（IoT）密碼，是43%的企業中推升身份數量的主要因素。盡管如此，只有18%的公司認為機器身份是數據泄露的主要源頭。

“如果沒有適當的緩解和安全策略，人員身份和機器身份都很容易受到攻擊。”Smith稱，“而鑒于機器身份有可能比人員身份增加得更快，如果機器身份沒有得到適當保護，那么管理這個機器身份網絡可能很快就會帶來重大風險。”

與此同時，微軟身份部門負責項目管理的公司副總裁Alex Simons在3月份表示，云工作負載的不斷增長意味著，供軟件使用API進行通信和與其他軟件互通的憑證，也是個不斷擴大的攻擊面。

根據IDSA的白皮書，如果公司高管重視身份安全，那么公司就更有可能降低數據泄露的風險。雖然只有30%的受訪者認為培訓員工如何保護密碼是一種非常有效的策略，但與依賴安全團隊充當主要布道者的公司相比，高管層支持密碼安全的公司更有可能慎重對待工作相關的憑證。

“說到實現和部署有意義的安全成果，我們必須讓IT和安全團隊之外的人員更多地參與進來。只有管理層釋放出重視安全的消息，總體趨勢才會表明安全成為了公司文化的戰略組成部分。”

《2022年數字身份保護趨勢》白皮書獲取地址：

http://www.idsalliance.org/white-paper/2022-trends-in-securing-digital-identities/