数十年来，公司一直在开发和执行身份和访问管理（IAM）策略。不过，尽管有如此长时间的经验，在实施过程中仍然存在很多错误，尤其是当公司将其IAM平台升级到可以更好地处理现代IT部署的平台时。而这些错误可能会对企业发展产生非常持久的影响。以下六种方法可以判断公司的IAM策略是否失败：

1. 用户无法访问他们的应用程序，但犯罪分子可以

IAM平台的主要目标是允许合法用户访问他们所需的资源，同时阻止恶意行为者。如果发生相反的情况，则说明存在问题。根据Verizon最新的《数据泄露事件报告》指出，被盗凭据是去年最常见的攻击方法，涉及一半的泄露事件和超过80%的Web应用程序泄露事件。

IDC安全产品项目总监Jay Bretzmann指出，公司通常尝试做的第一件事就是摆脱简单的用户名和密码组合，并添加一次性短信验证码。但这并没有多大帮助，而且会损害用户体验。他表示，“如果实施得当，IAM应该不仅仅是单点登录（SSO）和多因素身份认证（MFA）。而是关于了解用户多样性，帮助他们实现IT系统访问请求并解决其面临的各种连接问题。”

根据Forrester分析师Andras Cser的说法，企业IAM系统范围内的用户包括员工、业务合作伙伴和最终客户。所有这些都需要不同的方法。对于员工而言，企业通常会求助于身份即服务提供商，例如Okta、Azure Active Directory或本地IAM系统，这些系统仍然比基于云的选项更强大、功能更丰富。对于客户来说，一些公司开始从用户名和密码转向谷歌和Facebook等社交登录。

最后一个IAM访问类别是机器身份。根据Pulse和KeyFactor去年秋天发布的一项调查显示，机器身份的优先级低于用户身份，但95%的受访CIO表示他们的IAM策略可以保护机器身份免受攻击。

企业还需要注意这样一个事实，即他们必须在各种环境（本地、云、SaaS、移动和居家办公）中保护所有这些不同类型的用户。

2. 孤立的身份和访问管理平台

Gartner分析师Henrique Teixeira表示，许多组织使用不同的解决方案进行访问管理、身份治理和管理（IGA）以及特权访问管理。这些孤立的解决方案之间不仅存在功能重叠，还可能存在可被攻击者利用的缺口。

目前，供应商开始转向统一系统来解决这个问题。例如，Okta和Microsoft已经开始提供更多融合平台。Gartner估计，到2025年，70%的IAM部署将通过这些融合IAM平台实现。

Teixeira补充道，面向客户的IAM更加落后。大多数组织都在使用定制的本土（home-grown）应用程序，在应对新的隐私法规要求和保护基础设施免受更现代类型的攻击时，这是存在问题的。

3. 过于激进的IAM推出计划

人们很容易误以为IAM平台会一次性完成所有工作。Cser解释称，高管们很容易对解决方案寄予太高期望，而供应商也会过度承诺。这是许多组织都面临的一个现实问题。如果你正尝试安装访问管理解决方案，并且必须在一天内让所有300个应用程序全部上线，那势必会失败。

Cser建议可以将一次性推出改为分阶段推出。试图一口气完成所有事情是不现实的。例如，尽管供应商做出了承诺，但公司通常必须做更多的定制和编排工作才能集成他们的应用程序。如果IAM的现代方法需要重新设计内部流程，情况则尤为如此。他建议进行IAM更新的公司可以利用这个机会先简化和合理化流程。而不是全盘执行现有的烂摊子。他解释称，“这个过程就像搬家一样，当你从一个地方搬到另一个地方时，你一定会先把不需要的东西扔掉，而不是把它们原封不动地搬到新的地方。”

4. 认证和授权分离

搜索技术公司Yext的首席信息安全官Rohit Parchuri表示，IAM是任何安全和IT计划的基石。如果没有它，其他安全控制的商业价值就会降低，并且无法充分发挥其潜力。企业必须先了解自身的投资组合中存在哪些用户和资产，然后才能开始保护它们。IAM提供了访问环境的可见性，同时还支持控制访问的功能。

Parchuri介绍称，他曾在部署IAM时遇到几个问题。第一个问题就是授权被视为独立于身份验证的实体。使用单独的授权服务器，就意味着不得不在两个不同系统的身份验证和授权实践之间来回切换。这不仅增加了总拥有成本，还给管理两个独立实体的团队带来了额外负担。

5. 认证覆盖盲点

Parchuri面临的另一个问题是一些内部系统没有编目，仍然依赖本地身份验证。他介绍称，“我们的一些内部系统仍在依赖本地身份验证，而且在会话管理和用户入职和离职实践方面缺乏可见性。这些任务本应由IAM工具处理，但实际上并没有。”

这个错误是该公司在对其资产管理计划进行覆盖练习时发现的。

Parchuri表示，“我们发现在我们的配置管理数据库中记录的应用程序并没有在IAM工具中捕获。在确定了这些应用程序后，我们还注意到IAM工具将授权验证外包给本地部署的本地系统，尽管它们作为一个实体存在于IAM工具中。”

要解决这个问题，最难的部分是要弄清楚是否可以使用安全断言标记语言（SAML）或跨域身份管理（SCIM）来集成IAM工具和内部工具。一旦确定能够做到这一点，剩下的就是执行和持续管理。

6. 多个IAM系统导致可见性问题

专注于监管、风险和合规问题的全球咨询公司StoneTurn的合伙人Luke Tenery表示，公司有时会在集成不同的IAM平台时遇到挑战。他解释称，如果企业拥有太多的身份管理系统，就很难发现安全异常之间的联系。这就是弊病所在。

例如，许多网络攻击都涉及某种形式的电子邮件泄露。如果相同的身份也用于访问公司的Salesforce系统，那么在发现第二个攻击向量之前可能会有很大的延迟。Tenery解释称，如果它是相同的用户名和密码，但以去中心化（decentralized）的方式管理，他们可能看不到Salesforce中发生的妥协。而发现威胁的时间越长，对组织产生的影响也会随之增加。

Tenery补充道，他还曾看过一个案例：威胁行为者能够进入全球酒店供应商忠诚度计划的Salesforce数据库，访问数百万客户记录。

针对该问题的解决方案是创建跨整个企业范围的IAM整体试图。如果直接集成的任务太过艰巨，有一些先进的工具可以利用机器学习和人工智能创建自动化来建立这些联系。例如，Obsidian Security，它是一个利用不同形式的自动化和机器学习来识别身份链接（identity linkages）以检测安全异常和管理身份风险的平台。

参考及来源：https://www.csoonline.com/article/3665234/6-signs-your-iam-strategy-is-failing-and-how-to-fix-it.html