回顧2024身份安全，看2025年IAM技術新趨勢

回顧2024年，身份與訪問控制安全仍是企業(yè)安全重災區(qū)。

據Verizon《2024年數(shù)據泄露調查報告》顯示，約68%的安全事件涉及非惡意的人為因素。一半的數(shù)據泄露歸因于糟糕的身份和訪問管理。竊取憑證依然是數(shù)據泄露中最常見的攻擊手段。

此外，生成式人工智能技術的快速普及也帶來了更加復雜的身份與訪問風險......面對身份威脅的持續(xù)演變，防御措施也在不斷變化。

那么，2025年身份安全將會呈現(xiàn)出哪些發(fā)展趨勢？

01

身份安全對企業(yè)的重要性日益增加

過去三十年，身份訪問管理通常被視為IT和網絡組織的一項資源消耗。因為隨著業(yè)務增長，企業(yè)需要增加管理員，增加了運營成本，卻未帶來顯著的業(yè)務價值。

然而，如今，由于大多數(shù)網絡安全事件都涉及憑證泄露，企業(yè)面臨的內部威脅也日益嚴峻。企業(yè)必須采用先進的技術和策略，重點加強以身份為核心的防御與監(jiān)測。身份已被企業(yè)視為核心安全功能，而不僅是IT功能。

根據身份定義安全聯(lián)盟（IDSA）發(fā)布的《2024年身份安全趨勢報告》，73%的受訪者表示，有效管理和保護數(shù)字身份是其三大優(yōu)先事項之一，高于2023年的61%。

此外，過去主要由嚴格法規(guī)推動的身份治理和管理需求，如今逐漸轉向價值驅動。企業(yè)不僅需要提高合規(guī)性和安全性，還要提高效率。

通過簡化操作、減少手動工作量，企業(yè)能為業(yè)務帶來更大的附加價值。人工智能將在簡化用戶交互中發(fā)揮關鍵作用，提升使用率，進而改善質量和合規(guī)性。

02

身份將為更多跨域攻擊打開大門

2024年，基于身份的攻擊持續(xù)增加——75%的初始訪問攻擊沒有使用惡意軟件。隨著攻擊者越來越擅長利用被盜憑證，他們將更加聚焦于企業(yè)架構中的互聯(lián)域——身份、云、端點、數(shù)據和AI模型。

這些攻擊通常難以被察覺，因為它們在各個領域留下的痕跡最小，看起來像是孤立事件，難以拼湊成完整的攻擊模式。但一旦拼接起來，便形成了一張完整的攻擊圖譜，可能給企業(yè)帶來致命打擊。

因此，到2025年，企業(yè)必須整合全域數(shù)字資產（包括人員、設備、API、內嵌賬號、機器等）的身份統(tǒng)一可見性，實施零信任原則，進行跨域威脅搜尋，及時發(fā)現(xiàn)并阻斷異常行為，防止漏洞發(fā)生。

03

AI將進一步應用于IAM系統(tǒng)

人工智能有潛力成為安全團隊的得力助手，接管一些繁瑣的IAM任務，如權限審核等。AI的應用能夠加快這些任務的完成速度和頻率，提高效率，確保用戶權限得當。

例如，通過與流行的AI框架集成，企業(yè)能夠持續(xù)監(jiān)控和分析用戶行為，實時調整訪問控制。AI增強的IAM系統(tǒng)能夠檢測異常，并根據實時上下文動態(tài)調整權限，降低未經授權訪問的風險。

這一轉變將使身份管理更加靈活，能夠及時響應用戶行為和需求的變化，同時提供更加嚴密的安全管控。

04

AI威脅真實存在，且就在眼前

然而，隨著AI技術逐步融入企業(yè)的業(yè)務和安全運營，身份安全漏洞也在呈指數(shù)級增長。

以Wiz CEO事件為例，攻擊者利用AI技術完美復制高管的聲音，通過授權欺詐性轉賬，繞過傳統(tǒng)安全措施。這只是AI增強網絡攻擊和網絡釣魚的冰山一角。

如果企業(yè)沒有實施全面的監(jiān)控機制，也沒有強大的可見性解決方案來實時檢測異常活動——如不尋常的路線更新、配置更改或可疑的賬戶活動——那么組織就會處于極大風險中。

這不是一個“是否發(fā)生”的問題，更是一個“何時發(fā)生”的問題。

05

無密碼技術勢頭繼續(xù)加速

關于無密碼認證的討論已持續(xù)多年，近年來，包括微軟在內的多家公司紛紛宣布將徹底消除密碼，轉向更安全的身份驗證方式。

越來越多的企業(yè)認識到，無密碼身份驗證（如生物識別、硬件安全密鑰等）比傳統(tǒng)密碼更加安全且用戶友好。

據調查，65%的企業(yè)在2024年集成了生物識別身份驗證，顯示出無密碼方案在各行業(yè)中的逐步普及。

預計到2025年，無密碼認證解決方案（如生物識別和硬件安全密鑰）的采用率將繼續(xù)增加，并結合AI驅動的威脅檢測，進一步簡化用戶體驗并提升安全性。

這樣，企業(yè)能夠在不增加用戶體驗摩擦的情況下，實施更加細致的跨設備安全策略控制。

06

B2B身份，尤其是供應鏈訪問安全

隨著企業(yè)與第三方合作的增多——從供應商到承包商再到客戶——第三方身份的數(shù)量已經超過了內部員工身份的數(shù)量，比例高達3:1。同時，供應鏈攻擊事件頻發(fā)，許多案例都源于跨客戶的第三方攻擊。

例如，2022年，供應商“小島沖壓工業(yè)株式會社”遭遇網絡攻擊，導致豐田在日本國內14家工廠全部停工。2024年，供應鏈攻擊事件再次發(fā)生，攻擊者利用供應鏈中的硬件或軟件漏洞實施破壞和襲擊活動......

因此，2025年，企業(yè)將更加重視B2B身份管理，特別是在數(shù)字化流程中加強對外部身份的監(jiān)督。細粒度的訪問管理、對特權賬戶的可見性、加強對第三方工具與企業(yè)系統(tǒng)之間交互的審查，將是保護B2B身份安全的關鍵措施。

07

非人類身份成為IAM領域關注焦點

Gartner分析師指出：“許多違規(guī)行為并非源于人類賬戶被盜，而是機器賬戶被盜。”

多年來，人類身份管理一直是關注重點，但非人類身份（如設備、虛擬機、工作負載、API、應用程序、內嵌賬號等）的快速增長帶來了新的安全漏洞。

據統(tǒng)計，每個用戶賬戶背后大約有40個非人類賬戶。這些賬戶通常使用長期不變的訪問密鑰，權限管理缺乏有效監(jiān)管，成為企業(yè)潛在的攻擊面。

為了應對這些風險，2025年，非人類身份將成為IAM領域的主流話題，成為一項關鍵的安全挑戰(zhàn)。新一代IAM工具將提供對機器身份的全面可見性，包括大規(guī)模創(chuàng)建、使用和撤銷非人類身份的能力。

例如，派拉軟件最近推出的PAM平臺，便增加了對內嵌賬號的全生命周期管理。

08

2025年，防范云漏洞需采用混合方法

過去一年，云安全事件增加了75%，保護云環(huán)境的重要性比以往任何時候都更為緊迫。然而，僅靠云保護工具已不足以應對當前的威脅。

攻擊者越來越多地在云平臺和本地環(huán)境之間橫向移動，利用混合環(huán)境的復雜性和斷開連接的單點產品造成的安全漏洞。

為了在2025年重新獲得控制權，企業(yè)必須通過一個統(tǒng)一的控制臺，全面了解公有云、私有云、本地網絡和API的安全狀況。通過統(tǒng)一集成的身份、API、數(shù)據安全管理控制平臺，有效防范復雜威脅。

以上這些趨勢表明：2025年，企業(yè)不僅要應對日益復雜的攻擊手段，還需為更高效、智能的身份與訪問管理策略做好準備。

面對這些挑戰(zhàn)，身份安全不再是單純的IT任務，而是企業(yè)數(shù)字信任、業(yè)務彈性和創(chuàng)新的核心要素。