身份技术栈现代化：从可见性到治理的跨越

今天，我们聚焦组织在身份治理与管理（IGA）和权限（entitlements）管理上面临的挑战。随着身份环境横跨云、SaaS 和基础设施不断膨胀，可见性与治理之间的鸿沟持续拉大。权限，正是这场危机的核心。

为什么“权限”定义了当今的身份风险？

凭证/身份滥用持续主导现代泄露机制，且数据来源日益一致。威瑞森 2025 年 DBIR（数据泄露调查报告）显示，使用被盗凭证仍是泄露中最常见的初始行动，占事件总数的 31%，而人为因素涉及了总体泄露的 76%。尽管在认证控制上投入多年，攻击者仍能通过继承或滥用合法访问权限得逞。

泄露成本：2025 年全球数据泄露平均成本为 444 万美元，而美国泄露成本飙升至 1022 万美元。其中，97% 的 AI 相关事件缺乏适当的访问控制（IBM 2025 数据泄露成本报告）。

被盗/受损凭证是 IBM 2025 年数据泄露成本报告中最常见的初始攻击向量（占泄露事件的 16%），且识别和遏制时间最长（约 8-10 个月）（IBM 新闻稿和 2025 IBM 报告）。

身份攻击的规模令人震惊。微软报告每天发生约 6 亿次身份攻击；Entra 数据显示每秒发生 7000 多次密码攻击，且基于密码的攻击占日常身份攻击的 99%（微软）。

初始访问组合正在转移，但凭证依旧关键。Mandiant 的 M-Trends 显示，被盗凭证已上升为第二大初始向量（16%），仅次于漏洞利用。

身份权限模型：缺失的授权层

在身份安全市场中，权限模型（Entitlement Model）是一种结构化框架，用于定义“谁能访问什么”，更关键的是，“为什么能访问”。它充当着逻辑层，将用户、服务账户、设备等身份，通过角色、权限和特权，映射到应用、数据和基础设施等资源。

从核心来看，一项权限代表着一个离散的访问权利。这可能是一个 S3 存储桶的只读权限、Salesforce 中的管理员角色，或是 GitHub 仓库的写入特权。权限模型正是组织在所有系统中，以一致的方式定义、分组和管理这些权限的方法论。

串联整合

在一个典型的企业环境中，身份职责是高度碎片化的。Okta 负责用户认证。SailPoint 根据 HR 属性和生命周期数据来追踪用户应有的权限（Entitlements）。而最终，AWS IAM 则在云基础设施内实际执行用户拥有的权限。

一个强大的权限模型正是位于这些系统之下。它负责映射和协调**“预期访问”与“实际访问”之间的差异，标记风险条件，并支持策略执行。权限模型不是要取代 IAM 或 IGA，而是充当它们之间的连接组织（Connective Tissue）**。

当有效实施时，权限模型定义并治理了谁能在不同系统中做什么。强大的权限管理平台提供了对权限的深度可见性，自动化权限生命周期，并一致地执行策略。久而久之，这个模型将成为身份栈的授权主干，为 IGA、CIEM、PAM 和零信任（Zero Trust）等各项计划提供底层支撑。

CISO 面临的现代 IGA 挑战

IGA 访问审查已沦为行政仪式，而非有效的安全控制。

访问认证活动曾是企业身份治理的核心，但如今已稳步退化为高度手动、仅为合规驱动的流程，安全价值极为有限。大多数组织现在运行季度或年度审查，覆盖数百个应用和数万个权限。然而，审阅者通常看到的只是缺乏业务背景、使用数据、风险指标或同侪比较的原始技术权限。不出所料，无论访问权限是否合适，这些审查几乎都是全盘批准。

安全领导者日益承认，现有形式的访问审查已成为**“盖章”仪式**。审查疲劳普遍存在。管理者常被要求认证数百个条目，但他们对这些权限实际赋予的能力知之甚少。Gartner 反复强调这种动态，指出审批量过大、背景信息不足和角色模型过于复杂，导致审查敷衍了事，无法降低风险。最终结果是，权限一旦授予，往往会无限期地持续存在。

实证数据也印证了这一差距。在 SailPoint 2024 年的一项调查中，58% 的身份安全负责人报告其访问审查是无效的，而 42% 的人表示审阅者缺乏做出明智决策所需的背景信息。结合 IBM 关于凭证滥用仍是主要泄露途径的发现，这一局限性变得清晰：组织不能再依赖传统的 IGA 活动作为身份相关风险的主要控制手段。在一份关于 Scatted Spider 的报告中，SACR 也呼吁，身份智能和可见性是防御这些新兴攻击的关键要素。

权限蔓延：企业治理能力的失速狂奔

在大型组织中，权限数据（Entitlement data）的增长速度已超过任何其他身份领域。如今，企业在数千个 SaaS 应用、不断扩张的多云足迹，以及不断增长的机器身份共同构成的环境中运作，这集体产生了数百万个离散权限。每个系统都引入了自身的权限分类法、授权逻辑和特权层级。

结果就是许多安全领导者所称的权限蔓延（Entitlement Sprawl）：细粒度、定义不一致的权限激增，而传统的 IGA 平台根本不是为大规模建模或治理这些权限而设计的。

这种碎片化破坏了治理的核心价值。当 IGA 平台缺乏权限的标准化和上下文视图时，访问认证就会流于表面，角色工程变得无法管理，策略执行也变得不一致或不完整。组织试图通过手动电子表格映射、定制连接器或大量服务外包来弥补，但这些方法在不建立持久可见性的情况下，只会徒增成本。

运营风险已有充分记录。威瑞森 2025 年 DBIR（数据泄露调查报告）将约 60% 的泄露事件归因于人为因素，其中凭证滥用和第三方暴露仍是主要的攻击路径。IBM 2025 年数据泄露成本报告进一步指出，涉及受损凭证的事件需要八个多月才能完全遏制，这很大程度上是因为过度授权的访问扩大了漏洞爆发半径。虽然 AI 辅助工具正在改善响应时间，但这些发现背后的一致问题是：认证已不再是瓶颈。授权蔓延才是。

修复瓶颈：阻碍身份安全项目降低实际风险

即使组织成功识别了过度授权用户、高风险组合或不合规的访问路径，修复（Remediation）过程通常也是缓慢、碎片化且具有运营风险的。这或许是 IGA 项目中最容易被忽视的挑战：尽管“发现”问题与“修复”问题之间的差距正在缩小，但其所需时间仍过长，无法应对 AI 代理带来的实时威胁。

大多数 IGA 工具最初是为协调审批而设计的，而不是为跨 SaaS、云和传统环境实施精确的、感知依赖性的权限变更。因此，修复工作通常会演变成 IT工单，需要身份团队、应用所有者和安全人员之间的跨部门协调。每一次变更都必须进行风险评估、测试、审批并正确排序，尤其是在权限与业务流程深度交织的应用中。

这种运营摩擦导致了持续的修复积压。身份定义安全联盟 2025 年的一项调查发现，33% 的组织认为他们无法足够快地修复已识别的身份风险，并指出协调和工具局限性是主要障碍。即使是被标记为未使用或过度的权限，也常常因担心业务中断、所有权不明确或缺乏自动化回滚机制而被推迟处理。

后果是：过度特权、孤立账户和错位的角色在被识别后仍长期存在。这创造了一个持续的风险窗口，攻击者可以利用休眠或理解不足的访问权限。Mandiant 的 M-Trends 2024 报告强调了这一现实，显示涉及未经授权凭证使用的事件，由于特权清理的延迟或不完整，往往会展现出更长的攻击者驻留时间（Dwell Time）。

市场对权限复杂性的响应

身份安全态势管理（ISPM）

身份安全态势管理（ISPM）专注于持续评估和改进跨云、SaaS 和 IAM 平台的身份系统安全配置。其价值在于揭示随着身份生态系统扩展而累积的错误配置、未使用特权、弱 MFA 强制、过期账户、不安全的 OAuth 授权以及有毒权限组合。ISPM 工具充当身份栈的**“暴露雷达”，浮现出传统 IGA 平台通常会错过的风险条件，因为 IGA 依赖静态的周期性认证周期，而非实时态势遥测。ISPM 不会取代 IGA，但它通过向治理项目提供错位权限、特权漂移和策略违规**的精确、高频可见性，来放大 IGA 的有效性。本质上，ISPM 定义了风险在哪里；IGA 定义了必须做什么；权限模型则提供了跨系统协调这些信号所需的语义层。

轻量级 IGA 和身份访问审查

轻量级 IGA（Light-IGA）解决方案通常是现代的、SaaS 原生平台或专注于访问审查的工具，旨在改进治理工作流，同时避免传统 IGA 套件的角色工程开销和实施复杂性。这些平台强调更快的入门、直观的审阅体验、简化的访问审查和权限生命周期的部分自动化。它们的增长反映了一个现实：传统 IGA 项目难以持续，并经常退化为低价值的“盖章”式审查。Light-IGA 改进了治理机制，但其长期有效性仍取决于被审查权限的质量和上下文。这正是权限模型变得至关重要的地方。如果没有标准化且有意义的权限智能（例如，了解某个权限实际启用了什么功能、是否被积极使用，或它与同侪访问权限的比较），即使是现代 Light-IGA 解决方案也可能重现早期工具的治理疲劳风险。

在实践中，Light-IGA 提供了工作流程。权限模型提供了洞察。IGA 则提供了将它们捆绑在一起的合规结构。

现代权限管理平台的核心能力：交付清单

为应对当前挑战，一个强大的**权限管理平台（Entitlement Management Platform）必须提供连续、自动化且具备上下文感知的访问控制。SaaS 平台、云基础设施、以及非人身份（Non-human Identities）**如服务账户、管道、AI 代理的激增，已将权限量推到手动治理的极限。缺乏自动化和智能，权限蔓延、特权蠕变和合规风险暴露将不可避免。

有效的平台必须在整个身份生命周期中嵌入统一可见性、自动化和策略执行能力。这使得组织能够从被动、运动式治理转向适应近乎实时变化的持续控制。

1. 可见性与标准化（Visibility and Normalization）

一个健壮的平台必须提供跨云、本地和断开连接系统的全面可见性与标准化。这种统一视图是识别过度、未使用或高风险访问的基础，它们仍是泄露和审计失败的常见根源。通过将来自数百个系统的权限摄取到一个可查询模型中，组织可以用通用架构分析 AWS IAM 角色、Azure AD 群组和 Okta 分配。

2. 上下文化（Contextualization）

理想情况下，这些解决方案能够附加业务上下文：将权限映射到部门、风险级别、合规领域（如 SOX、HIPAA）或工作职能。这将原始权限转化为有意义的洞察，这是治理和合规的关键差异化因素。

3. 生命周期自动化（Lifecycle Automation）

平台需自动化整个身份生命周期，从入职、角色变更到离职，确保访问权限快速准确地配置和回收，消除孤立账户，减少手动工作量。自动化对于处理当今动态环境中的访问变更巨大体量和速度至关重要，并能为审计人员提供最小权限执行的及时证明。强大的系统能自动执行最小权限和职责分离（SoD）。

4. 风险审查与持续治理（Risk Reviews and Continuous Governance）

现代平台利用 AI 或高级策略引擎，实施精细化、基于风险的策略（如最小权限和职责分离），以检测有毒组合和异常访问。这种方法不仅强化安全，还满足了可证明、持续访问修复的监管要求。它们提供强大的访问审查、证明和异常检测能力，将访问审查从手动活动转变为有上下文的、有意义的验证，从而减少不必要的访问和审计疲劳。

5. 覆盖与策略执行（Coverage and Policy Enforcement）

优秀的解决方案需将治理延伸到所有身份：人类和非人类，覆盖整个应用版图，并整合身份数据、自动化控制，即使是对于缺乏现代 API 的传统或定制系统。这种全面覆盖消除了盲点。现代平台嵌入 AI 或策略引擎来检测有毒组合、未使用权限或最小权限违规，并在适当时推荐或自动修复变更。

CISO 战略指导：三大核心战术

1. 将权限智能（Entitlement Intelligence）作为基石层优先部署

CISO 们应该明确预算并实施专用的权限智能平台（如 Opti），使其充当身份栈的**“授权大脑”。核心理由是：“授权蔓延”而非认证**，已成为主要的身份风险。传统的 IGA 和 IAM 工具已力不从心，因为它们缺乏语义理解能力，无法对跨现代混合环境的权限进行标准化和上下文关联。

2. 将 IGA 审查升级为基于风险的持续流程

组织应终止或大幅重组已退化为行政仪式的传统季度和年度访问认证活动。身份治理必须转向风险驱动、持续审查的模型。

现代方法强调审阅者的上下文和决策质量。具备代理能力的审阅体验、同侪基线、权限使用模式、风险分类和策略解释，将访问审查从机械审批转化为有意义的控制点。目标不是按固定时间表审查一切，而是将治理精力聚焦在风险最高和正在发生变化的地方。这种转变至关重要，它决定了访问审查是减少实际风险，还是仅仅满足合规勾选框。

3. 主动应对非人身份治理

CISO 们还必须制定战略，主动映射、监控和强制执行针对非人身份（包括服务账户和新兴 AI 代理）权限的防护栏（Guardrails）。优先选择能够将权限映射能力扩展到非人身份的解决方案，将直接应对不断增长的安全威胁。拖延处理将使一个重要的攻击向量暴露无遗，尤其是在自动化程度日益提高的背景下。

原文链接：

https://softwareanalyst.substack.com/p/modernizing-the-identity-stack-from

声明：本文来自安全喵喵站，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。