根據(jù)CyberArk周二發(fā)布的2022年身份安全威脅形勢報告，全球組織的數(shù)字計劃浪潮創(chuàng)造了人類和機器身份的爆炸式增長，這些身份正在增加這些組織對勒索軟件和供應(yīng)鏈威脅的風(fēng)險。

該報告發(fā)現(xiàn)，在接受調(diào)查的1750名IT安全決策者中，近五分之四（79%）認為，相對其他IT和數(shù)字計劃，安全性正在退居次要地位。這些舉措，尤其是那些優(yōu)先考慮遠程或混合工作、為客戶和公民提供新數(shù)字服務(wù)以及遠程供應(yīng)商和供應(yīng)商外包的增加的舉措，在每個組織中創(chuàng)造了數(shù)十萬個新的數(shù)字身份，這可能會增加他們面臨網(wǎng)絡(luò)安全的風(fēng)險。

“我們在大多數(shù)攻擊中看到的共性 - 無論是數(shù)據(jù)泄露，還是服務(wù)被關(guān)閉 - 都是身份妥協(xié)，”CyberArk技術(shù)總監(jiān)David Higgins說?！斑@是攻擊者的共同目標之一。如果他們可以破壞身份對資源進行身份驗證的方式，那么橫向移動就是這樣發(fā)生的。我們擁有的身份越多，我們擁有的攻擊面就越大。

新的企業(yè)計劃增加了計算機標識的數(shù)量

該報告指出，組織中的數(shù)字身份數(shù)量非常高，并且隨著高優(yōu)先級舉措的推出，這一數(shù)字身份將繼續(xù)增長?！耙粋€人類用戶平均有30個獨立的身份-這可能是一個較低的數(shù)字，”希金斯說?！叭绻莻€人離開了，并且沒有一個好的生命周期管理計劃，你可能有30個孤兒帳戶。

對于機器身份來說，情況更糟，根據(jù)該報告，機器身份的數(shù)量比人類身份多出45比1。“機器身份的數(shù)量反映了當今組織的運作方式，”希金斯解釋說。“自動化是一個關(guān)鍵焦點，每次自動化進入混合時，都需要更多的機器身份。

Higgins說，機器身份可能會給組織帶來比人類身份更大的風(fēng)險，因為它們可能更難監(jiān)控。“對人類用戶采用的傳統(tǒng)行為分析無法應(yīng)用于機器，因此你擁有的機器身份越多，問題就越困難。

70%的組織在過去一年中經(jīng)歷過勒索軟件攻擊

除了正在創(chuàng)建的身份數(shù)量問題之外，還有可以訪問敏感信息的身份證件數(shù)量。根據(jù)CyberArk的數(shù)據(jù)，組織中超過一半的員工（52%）通常可以訪問敏感信息，而超過三分之二的非人類（68%）可以訪問敏感數(shù)據(jù)和資產(chǎn)?！巴獠炕騼?nèi)部威脅參與者只需要一個受損的身份就可以啟動攻擊鏈，”報告指出。“數(shù)字計劃的加速以及由此帶來的數(shù)字身份激增，構(gòu)成了不斷擴大的攻擊面。

該報告還發(fā)現(xiàn)，70%的組織在過去12個月內(nèi)經(jīng)歷過勒索軟件攻擊 - 平均每個兩次 - 71%的組織遭受了成功的供應(yīng)鏈相關(guān)攻擊。

報告指出，不斷擴大的攻擊面，迅速擴散的身份以及滯后的網(wǎng)絡(luò)安全投資共同使組織面臨更高水平的網(wǎng)絡(luò)安全風(fēng)險。攻擊者了解這一點，并一直遵循創(chuàng)新和投資的并行路徑來利用漏洞。

下一個合乎邏輯的步驟是實施零信任原則，將這種防御性思維付諸實踐。

原文轉(zhuǎn)自CSO，作者John P. Mello Jr.，超級科技譯，合作站點轉(zhuǎn)載請注明出處和原文譯者為超級科技！

Hi，我是超級科技

超級科技是信息安全專家，能無上限防御DDos攻擊和CC攻擊，阿里云戰(zhàn)略合作伙伴！