本周,我有幸作为分析师出席了在旧金山Moscone酒店举行的RSA 2024大会。这是我第二年代表The Cyber Hut,作为自成立以来专注于新兴IAM(身份和访问管理)技术的领先独立精品分析公司,参加RSA大会,也是我第六或第七次参加RSA大会。
至少,每年的内容、厂商和要解决的问题都在发生变化。
IAM的背景故事
先让我从头说起。我去参加RSA时,一如既往地以IAM为主要视角。现在,2024年的IAM与2020年的IAM有些不同,当然也与2000年的IAM不同。IAM的用处不再只是替代LDAP(我曾经就是这样干的),而是通过身份成为几乎所有线上活动、安全控制和社区互动平台的社区基础。
The Cyber Hut以动态视角看待新兴的IAM技术,通过跟踪全球约80家厂商,绘制了所谓的IAM行业分析图,又称IAM2,因为在网络和IAM领域,我们肯定需要更多的缩写词。
该图背后的理念是要了解有关什么产品受欢迎、市场倾向如何、以及IAM如何变化的总体发展态势。它并不包含所有在Crunchbase提到IAM的厂商--最基本的就有数千家。这些类别也没有真正反映我们已知的所有类别--尤其是厂商喜欢"创造"的类别--而是在一定程度上基于经验证据--正在解决哪些用例、从业人员如何利用这些技术以及通用术语。
RSA上的厂商对话
作为一名分析师,我的大部分工作当然是与厂商和解决方案提供商接触,以了解他们的产品、能力以及他们正在寻求解决的市场用例。这些接触是"briefings简报",主要是单向信息流,即信息从厂商流向分析师。相反的信息流--信息从分析师返回厂商,通常被称为"咨询",需要付费-通常包括战略讨论、客户心声模拟、市场状况等。
在RSA周期间,我参加了21场厂商简报会,其中大部分都与IAM有关--能参与其中我感到很幸运--因为看到这么多优秀人才的活力和激情真的太棒了。我有幸在IAM厂商领域工作了15年--为初创企业(Vaau)、中型厂商(ForgeRock、Securonix)和世界级大厂(Sun Microsystems、甲骨文)工作--我试图从市场意识、资金、产品开发到前期获客等角度,去理解厂商在初创2-4年内所要处理的困难工作。
我收获了什么?
IAM很火!我当然可以这么说,但在更广泛的IAM领域,正在发生一些根本性的变化。很明显,IAM是目前几个日益受到关注的问题的根基。首先,B2E/劳动力生产力在很大程度上依赖于IAM--从基本的单点登录、基于角色的访问控制、权威源供应到访问请求和审查管理--其中有些是由合规性驱动的,但自动化和改进该领域的任何方面都将加快员工入职速度、降低风险并改进合规性报告。为此,无论是从初创公司的角度还是从企业的角度(如Aka Identity)和执行的角度(Radiant Logic、Britive、Sphere、Saviynt、Ping、Okta)来看都是如此。
其次,通过社区参与和个性化体验,借助在B2C世界中建立消费者IAM平台,IAM可以帮助组织提高收入。在这个B2C世界中,C指的是消费者、客户或公民。虽然经常使用相同的术语--身份验证、MFA(多因素认证)、授权、配置文件存储、访问和SSO(单点登录)--但非功能交付是完全不同的,成功指标和购买角色也是完全不同的。虽然这不是RSA大会的主要议题,但有几家厂商(Okta、Ping)在这一领域提供了解决方案。
现在,这两个方面已经非常容易理解。显然,细节决定成败,但创新是循序渐进的,并与一些特定的界限--即现有技术和预算模式--紧密相连。
以身份为中心的新兴安全格局
然而,目前令人感兴趣的是在整合、价值流和所有权方面发展更快、动态性更强的领域。在这里,我们更多谈论的是通用安全态势、检测和响应、欺诈检测和管理、工作负载/NHI风险。
有许多专注于IAM的组织都使用了安全一词--无论是在其名称中,还是在其宣传语中。为什么这很有趣?因为IAM并非起源于CISO组织。IAM的最初世界隶属于基础设施、IT和运营部门,最终隶属于首席信息官,在这些部门中,生产率和成本非常重要。
然而,随着网络安全的发展,我们看到安全秩序的第一世界(即网络、外围、防火墙和数据保护)不得不改变其价值定位和集成选项。云、AI、移动优先和DevOps的主导地位改变了安全的部署和衡量方式。为此,我们开始看到安全厂商加入了IAM控制,IAM厂商心态也转变为安全第一。
云计算,非功能性发散
在继续讨论IAM+网络融合点之前,我想先谈一下云话题。云不是功能,而是提供功能的一种方式,而非功能本身。然而,云技术在服务消费、应用部署和协作方面开拓了蓝海。但是--这是一个很大的"然而"--它在IAM方面造成了短暂的偏移。
当下到未来,并非所有IAM组件都是云交付的。合规性、控制和业务流程要求将IAM功能部署在尽可能靠近使用使用IAM功能的系统。如果这些系统是私有云,那么IAM功能也需要部署在私有云上。
然而,云部署的网络和安全功能可为与其集成的生态系统提供全新的IAM功能。这意味着什么?看看Crowdstrike(拥有Falcon Identity)、思科(拥有Identity Intelligence)、Wiz(拥有云基础设施权限扫描)或Trellix(拥有XDR和威胁情报)等公司,它们在过去36个月中都在进行身份叙事。
分布式工作、零信任网络、提高可视性的需求(用于溯源和意图管理)都要求高度集成身份功能,或假设存在强大的IAM基础。而后者往往并不存在。稍后再详述。
以身份为中心的安全
回到安全与身份混搭的话题。我不想卷入围绕如何描述这一问题的术语之争--基于身份的安全、以身份为中心的安全、网络与IAM混搭--也不想卷入网络与IAM一直在整合、从未整合或永远不会整合的争论。使用身份一词的安全组织和以CISO预算为目标的身份产品初创公司都表明情况并非如此。让我们继续讨论。
那么,安全叙事给了我们什么呢?常见的重点通常是《NIST网络安全框架》中的"保护、检测、响应"支柱网络安全框架。保护假定"识别"支柱已经完成,即我们知道我们在保护什么。在网络资产领域,这是一个众所周知的成熟能力集。如果将其应用到身份识别领域,听众可能会开始"望鞋兴叹"。为什么?孤立式身份、数据隔离、联邦系统和离线处理的世界,导致身份生命周期的许多部分对可见性和可观测性视而不见。
发现是致胜关键
你知道所有身份都在哪里吗?每个身份属于谁?他们应该拥有哪些权限?正在使用哪些系统?使用了哪些权限?身份验证后会话会发生什么?这些用户行为正常吗?
这些问题本身就催生了一系列新的解决方案,它们都希望快速解决人和软件的"发现陷阱"问题。我不谈"工作负载VS非人身份"之争,只谈软件身份管理或人员身份管理。
ITDR(身份威胁检测和响应)和以软件为重点的身份厂商都在很大程度上依赖于发现阶段进入客户对话。他们希望通过眼睛来帮助弄清身份在做什么、为什么要做以及从哪里做。然而,从长远来看,这一阶段不太可能得到回报,除非所发现的问题能够得到解决。在解决问题的过程中,需要进行大量的讨论。我们要解决什么问题?能否实现自动化?如何衡量相关风险?解决这些问题的过程,就是决胜负的关键所在。
组织不希望再有任何告警。再来一次。还是这样。没有更多告警。组织不堪重负。SOC分析师被告警淹没。确定优先级是一场噩梦。如何以可持续和不断发展的方式设计、实施和管理解决方案,不仅能提高安全弹性,还能提高生产率和风险投资回报。
......至于解决长期问题
我们要解决什么问题?这就是IAM和网络安全对话开始变得有趣的地方。传统的IAM问题领域曾经(现在仍然)存在一些总是需要解决的基本问题:
如何删除被盗用身份、未知身份和未使用身份
如何删除过多和未使用的权限
如何提高认证水平
从安全的角度来看,我们经常关注的是:
如何缩短平均检测时间
如何缩短平均恢复时间
如何提高覆盖率并保护更多资产
为此,我们看到这些需求正在向身份、安全和以云为中心的解决方案提供商领域蔓延。例如:
XDR需要通过会话数据进行身份关联,以帮助MTTR和归因
CIEM不断发展,以消除因CSP配置错误造成的幽灵数据
IGA正在使用co-pilot AI来加速清除权限过大
工作负载/NHI正在提供快速发现,以帮助减少MTTD
ITDR正在将威胁情报与MTTR/D的身份验证数据相融合
简而言之
因此,让我们稍作总结。IAM的发展有助于提高B2E的效率和B2C的收入。目前,这两个领域都存在大量的敌对活动攻击面,由于可视性和自动修复问题,这些攻击面正在被利用。进入以身份为中心的检测、保护和修复工具(又称ITDR、NHI/工作负载)的前期。
云部署服务的主导地位凸显出,传统的IAM功能也许并不是针对敏捷、DevOps、速度和模块化等云原则而设计的。这导致以云为中心的解决方案提供商开始为自己的客户群添加IAM功能--可能是以特权为中心,也可能是以组合威胁为中心。
如果安全由MTTD和MTTR指标驱动,而身份成为这些控制点的瓶颈,那么轻身份功能就会从这个角度自然地出现。
接下来会发生什么?
一篇名为"2034年RSA的IAM"的文章即将发表--这篇文章将预测未来十年的发展方向,同时也与我目前正在撰写的下一本书相吻合:《2034年的IAM:以身份为中心的安全的未来指南》一书将对整个演变过程进行更详细的解读,并将对基于硬件、软件和人员的身份管理的解耦模式、数据中心模式、运行时模式、意图模式和归因模式进行分析。
The Cyber Hut @ RSAC 2024
原文链接:
https://iamradar.thecyberhut.com/p/iam-at-rsac-2024-a-review-of-identity
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
