大多數(shù)企業(yè)在云環(huán)境中仍缺乏基本的身份安全控制措施，這使其面臨數(shù)據(jù)泄露、審計(jì)失敗和合規(guī)違規(guī)的風(fēng)險(xiǎn)。Unosecur發(fā)布的一份年中新基準(zhǔn)報(bào)告顯示，在接受掃描的公司中，幾乎每家都至少存在一個(gè)高風(fēng)險(xiǎn)問題，平均每家企業(yè)存在40項(xiàng)控制措施失效的情況。

該報(bào)告分析了2025年1月至6月期間，來(lái)自不同行業(yè)和地區(qū)的50家企業(yè)的診斷掃描數(shù)據(jù)。與基于調(diào)查的研究不同，該報(bào)告的結(jié)論是基于與ISO 27001/27002、PCI DSS和SOC 2等標(biāo)準(zhǔn)相一致的直接控制檢查得出的。其目標(biāo)是：以可復(fù)制的方式呈現(xiàn)云身份實(shí)踐存在的不足以及相應(yīng)的改進(jìn)方法。

Unosecur的首席執(zhí)行官桑托什·賈亞普拉卡什(Santhosh Jayaprakash)表示：“百分比份額的變化可能在一定程度上反映了掃描覆蓋范圍較小。數(shù)據(jù)傳達(dá)的信息很簡(jiǎn)單：如果你的公司使用這三個(gè)平臺(tái)中的任何一個(gè)，你就能清楚了解最常見的合規(guī)違規(guī)問題。對(duì)于多云企業(yè)而言，這些數(shù)據(jù)進(jìn)一步表明，并非所有環(huán)境都面臨相同的風(fēng)險(xiǎn)。如果認(rèn)為所有環(huán)境風(fēng)險(xiǎn)相同，可能會(huì)導(dǎo)致嚴(yán)重漏洞得不到解決。”

數(shù)據(jù)顯示，許多企業(yè)繼續(xù)忽視基礎(chǔ)防護(hù)措施，最常見的問題是管理員賬戶未啟用多因素身份驗(yàn)證(MFA)，其他常見漏洞包括角色權(quán)限過大、服務(wù)賬戶密鑰長(zhǎng)期有效以及職責(zé)劃分不清，僅缺失MFA、權(quán)限過大、憑證過期和未管理的機(jī)器密鑰這四類問題，就占高嚴(yán)重性問題的70%。

報(bào)告指出：“缺失MFA和權(quán)限過大并非前沿威脅，而是如同未上鎖的門，勒索軟件團(tuán)伙和審計(jì)人員會(huì)首先注意到這些問題。”

基準(zhǔn)報(bào)告中列出的十大失敗案例，每個(gè)都會(huì)產(chǎn)生明確的安全后果。例如，管理員賬戶未啟用MFA，可能導(dǎo)致單個(gè)被竊取的密碼危及整個(gè)云環(huán)境。未輪換的密鑰和擁有廣泛權(quán)限的服務(wù)賬戶，可能會(huì)提供長(zhǎng)期未經(jīng)授權(quán)的訪問。

云環(huán)境特有的趨勢(shì)也十分突出。在AWS中，許多用戶仍未啟用MFA。Google Cloud租戶經(jīng)常依賴項(xiàng)目級(jí)TokenCreator角色，該角色允許廣泛創(chuàng)建令牌。研究發(fā)現(xiàn)，Azure客戶在整個(gè)訂閱范圍內(nèi)開放“所有者”或“參與者”角色，增加了濫用風(fēng)險(xiǎn)。

身份管理不善不僅會(huì)增加安全風(fēng)險(xiǎn)，還會(huì)在審計(jì)時(shí)帶來(lái)挑戰(zhàn)，并提高網(wǎng)絡(luò)安全保險(xiǎn)成本。相反，實(shí)施特權(quán)賬戶MFA、即時(shí)訪問權(quán)限提升、短期密鑰和受保護(hù)的機(jī)器憑證等四項(xiàng)關(guān)鍵控制的企業(yè)，審計(jì)發(fā)現(xiàn)的問題更少，且在企業(yè)銷售中占據(jù)更有利地位。

監(jiān)管壓力也在不斷加大。2025年初，歐盟《數(shù)字運(yùn)營(yíng)韌性法案》(DORA)和eIDAS 2.0框架、印度《數(shù)字個(gè)人數(shù)據(jù)保護(hù)法》以及美國(guó)零信任政策的新要求，均推動(dòng)加強(qiáng)身份治理。一些法律現(xiàn)在還涉及人工智能身份濫用問題，包括用于欺詐的深度偽造。

報(bào)告稱：“如果你的競(jìng)爭(zhēng)對(duì)手存在高膽固醇問題(弱MFA、過期密鑰)，你需要在下一次數(shù)據(jù)泄露或?qū)徲?jì)成為頭條新聞之前，了解自身狀況。”