研究人员表示，飞速增长的员工身份、第三方合作伙伴和机器节点令公司争相保护凭证信息、软件秘密和云身份。

　　6月22日，Dimensional Research发布了一项针对IT和身份专业人员的调查，结果显示，在不断增加的云采用、第三方合作伙伴和机器身份的推动下，几乎每家企业（98%）需要管理的身份数量都在快速增长。而且，须管理身份数量的暴增还导致了数据泄露事件的增长，84%的公司在过去一年里经历了身份相关的数据泄露，而此前一项覆盖两年时间的调查研究中这一比例还只是79%。

　　资助该调查的身份定义安全联盟（IDSA）执行董事Julie Smith表示，数据泄露事件增多并不令人惊讶。

　　“企业必须管理和保护好各种身份，而这些身份的数量和复杂性正在增加。”她说道，“身份数量增加时，只要没有恰当的管理和保护，与身份相关的数据泄露风险就会相应增加，而且随着攻击面的指数级增长，多个方面都可能曝出此类安全事件。”

　　《2022年数字身份保护趋势》白皮书就是根据此项调查的数据编撰的，白皮书中写道，在大多数情况下，企业关注员工身份，其中70%的受访企业认为员工身份最有可能遭到泄露，58%认为员工身份泄露的影响最大。但是，第三方合作伙伴和企业客户也是重大风险来源，分别有35%和25%的受访者认为二者是主要的数据泄露源头。

去年企业遭遇身份相关数据泄露的类型分布

　　IDSA建议公司关注身份相关的安全成果，用以降低数据泄露的风险和影响。几乎所有受访者（96%）都认为，实现重在身份的安全控制措施，例如多因素身份验证（MFA），可以防止或最大限度地减少数据泄露。

　　“以实现有效身份治理、访问和行为检测为中心，这些安全成果为IT环境添加了一层防护。多因素身份验证作为一种缓解策略，亦因此一跃成为首选数据泄露防止措施。”

MFA可减少身份相关数据泄露

　　调查显示，受访者认为，有三大对策可以缓解数据泄露的影响：MFA、及时审查特权访问，以及持续发现和监控特权访问权限。IDSA执行董事Smith表示，这三种安全控制措施也可能在来年获得最多的投资。

　　“我们未必希望应对措施和计划100%匹配，因为这可能表明公司只是在追着自己的尾巴跑，在需要应对未来潜在数据泄露的前瞻性战略和愿景时仅仅关注了上一次泄露事件。”

　　机器身份，例如系统凭证、软件秘密和物联网（IoT）密码，是43%的企业中推升身份数量的主要因素。尽管如此，只有18%的公司认为机器身份是数据泄露的主要源头。

　　“如果没有适当的缓解和安全策略，人员身份和机器身份都很容易受到攻击。”Smith称，“而鉴于机器身份有可能比人员身份增加得更快，如果机器身份没有得到适当保护，那么管理这个机器身份网络可能很快就会带来重大风险。”

　　与此同时，微软身份部门负责项目管理的公司副总裁Alex Simons在3月份表示，云工作负载的不断增长意味着，供软件使用API进行通信和与其他软件互通的凭证，也是个不断扩大的攻击面。

　　根据IDSA的白皮书，如果公司高管重视身份安全，那么公司就更有可能降低数据泄露的风险。虽然只有30%的受访者认为培训员工如何保护密码是一种非常有效的策略，但与依赖安全团队充当主要布道者的公司相比，高管层支持密码安全的公司更有可能慎重对待工作相关的凭证。

　　“说到实现和部署有意义的安全成果，我们必须让IT和安全团队之外的人员更多地参与进来。只有管理层释放出重视安全的消息，总体趋势才会表明安全成为了公司文化的战略组成部分。”

　　《2022年数字身份保护趋势》白皮书获取地址：

　　http://www.idsalliance.org/white-paper/2022-trends-in-securing-digital-identities/

参考阅读

云安全风险为何转向身份与授权？

[调研]敏感数据泄露事件持续上升

[调研]2021年超60%的企业遭遇数据泄露

[调研]恶意爬虫自动化交易市场成数据泄露源头