身份与访问管理的十个关键监测指标

身份与访问管理(IAM)系统的部署并非易事，要解决各种障碍，比如所有者身份，数据和流程的标准化，系统的正常运行需要长期的打磨等等。

尽管面临种种挑战，机构组织还是在不断的投入建设IAM。IDC的调查显示，IAM的市场今年将会有7%的增长率，达到80亿美元的规模，而且在未来几年内保持接近两位数字的增长，其背后最主要的驱动力就是数字化转型。企业一旦部署了IAM，通过一些重要指示来监测系统的有效性就非常重要。本文介绍了IAM的十个关键安全监测指标：

1. 口令重置

在企业中，总是会有员工有重置口令的需求。IDC的统计，重置一个口令的成本是10到70美元，如果每个月都有许多员工要求重置口令的话，就应该考虑新的身份管理措施了。

2. 用户凭证

员工拥有的凭证越多，就越侧向于“走捷径”，从而危及安全。一个大企业的员工可能会使用10个到50个应用，于是很多人开始设置相同的一套用户名和口令。攻击者利用这一点，可以实施撞库攻击，轻易拿到用户凭证。

3. 无关联账户

当员工的状态发生改变时，就会容易出现无关联账户或称“孤儿账户”，典型的如员工离职。一个好的IAM系统能够通过监测账户一直处于非活动状态，而将其识别出来，然后将其回收或关闭。

4. 所有者资源比例

与孤儿账户类似，没有所有者的资源也是安全风险。任何资源只有确定其所有者，才能处于身份治理的状态下。

5. 新账户管理

新账户的开设往往会多于实际需求，主要是因为系统不清楚员工的工作范围，为了不耽误工作就会多设置账户。一个好的IAM则能够监测新账户的建立，并赋予其正确的访问权限，移除不必要的权限。

6. 平均准备时间

增加一个新用户账户或是改变已有用户账户所花费的准备时间越长，就越影响用户的工作效率。反之，删除一个账户所需要的时间越长，就越可能被攻击者利用。实际上，员工离职后的旧账户删除是大企业面临的普遍问题。自动化可以有效的改善平均准备时间，但前提是要做到对账户角色的精准化，否则自动化会带来更大的混乱。

7. 特权账号

对于任何系统来说，特权账号都是一个巨大的安全风险，以至于在IAM里衍生出一个专门的子分类解决方案--PAM（特权账号管理），对特权访问进行强控制和强审计管理。PAM的一个核心组件是口令保管，它的作用是查证特权用户行使权限时的口令以及用这个口令所做的一切工作，直到口令归还到保管库。

8. 职责分离

制定策略的人和同意执行策略的人必须分离，IAM要保持对违背规则的监测，防止“既当裁判员又当运动员”的现象发生。

9. 访问权限评估

由于访问权限经常会发生变动以及权限过高的问题时有发生，因此保持对权限状态的跟踪和自动化分析非常重要。如攻击者往往在盗窃到账号后进行提权，以及访问机构的敏感资产。

10. 设备身份

身份管理的复杂性在于，不仅是人有身份，设备或机器也拥有自己的身份。然而，许多机构虽然在人的身份管理上投入了大量资源，却往往缺少对设备身份的关注，从而使攻击者有了可乘之机。

声明：本文来自数世咨询，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。