大多数身份管理项目仍沿用IT工单的优先级处理方式:按数量、紧急程度或哪些未通过控制检查来排序。当环境不再以人工操作为主或完成全面部署时,这种方法就会失效。
现代企业中,身份风险由多重因素复合形成:控制态势、卫生状况、业务背景和用户意图。单独来看每个因素或许可控,但真正的危险在于它们的毒性组合——当多个弱点同时存在,攻击者就能构建从入侵到影响的完整攻击链。
有效的优先级框架应将身份风险视为上下文暴露面,而非配置完整度。
1. 控制态势:将合规与安全视为风险信号而非勾选框
控制态势回答一个简单问题:如果出现问题,我们能否预防、检测并证明?
传统IAM(身份与访问管理)项目将控制措施评估为已配置/未配置。但优先级划分需要更细致的考量:缺失的控制措施是风险放大器,其严重性取决于所保护的身份类型、该身份的权限范围以及下游存在的其他控制措施。
直接影响暴露面的关键控制类别包括:
认证与会话控制:多因素认证(MFA)、单点登录(SSO)强制执行、会话/令牌过期、刷新控制、登录速率限制、账户锁定
凭证与密钥管理:禁止明文/硬编码凭证、强哈希算法、安全身份提供者(IdP)使用、规范的密钥轮换
授权与访问控制:强制的访问控制、登录和授权尝试审计、SSO流程的安全重定向/回调
协议与加密控制:行业标准协议、避免遗留协议、前瞻性部署(如抗量子加密)
优先级视角:控制缺失的影响因场景而异。普通账户缺失MFA与关联关键业务系统的特权账户缺失MFA具有本质区别。控制态势必须结合上下文评估。
亟待解决的身份安全缺口 实用检查清单助您评估应用资产并改善组织身份安全态势:
识别最常见的安全缺口
简要说明修复重要性
建议现有工具/流程的改进措施
需注意的其他事项
2. 身份卫生:攻击者(及您的AI Agent)钟爱的结构性弱点
卫生问题无关整洁度,而关乎所有权、生命周期和存在意图。它需要回答:谁拥有该身份?为何存在?是否仍有必要?
导致系统性暴露的常见卫生问题包括:
本地账户:绕过集中策略(SSO/MFA/条件访问),偏离标准,难以审计
孤儿账户:无责任主体=无人察觉滥用、无人清理、无人验证
休眠账户:未使用不等于安全,休眠往往意味着未受监控的持久存在
无主或目的模糊的非人类身份(NHI):随自动化和Agent工作流激增的服务账户、API令牌、Agent身份
陈旧的服务账户与令牌:权限累积、轮换停滞,临时变为永久
优先级视角:卫生问题是数据泄露的原材料。攻击者偏爱被忽视的身份,因其防护更弱、监控更少、更可能保留多余权限。
3. 业务背景:风险与影响成正比,而非仅考虑可利用性
安全团队常仅依据技术严重性排序,这并不全面。业务背景需要回答:若遭入侵,会导致什么后果?
业务背景包括:
应用或工作流的业务关键性(收入、运营、客户信任)
数据敏感性(个人身份信息PII、健康信息PHI、财务数据、受监管数据)
信任路径的爆炸半径(可触达的下游系统)
运营依赖性(导致中断、交付延迟、薪资发放失败等)
优先级视角:身份风险不仅是攻击者能否进入,更是进入后会发生什么。低影响系统中的高危暴露不应优先于关键系统中的中度暴露。
4. 用户意图:多数身份项目缺失的维度
身份决策常忽视关键问题:该身份当前试图执行什么操作?是否符合其存在目的?
意图在以下场景尤为关键:
自主调用工具执行操作的Agent工作流
看似合法但存在顺序或目标异常的机器间(M2M)模式
凭证有效但使用异常的内部风险相邻行为
推断意图的信号包括:
交互模式(调用工具/端点的顺序)
时间异常与访问频率
实际使用权限与分配权限的差异
跨应用遍历行为(非常规横向移动)
优先级视角:具有异常活跃意图的弱管控身份应优先处理,因其不仅存在漏洞,可能正在被利用。
