上下文感知：现代IAM应对新兴访问威胁的关键技术

• 智能技术采用

单纯就上下文信息而言，对提高IAM能力作用不大，需要数据分析能力；同时，一组全面的上下文数据非常复杂，手动关联和识别无法识别有价值信息，需要自动化能力。 将数据分析能力、自动化流程与上下文数据结合，实时的实现动态身份认证，才可以提高IAM有效性。

93%的受访者表示，组织使用某种类型的智能技术来评估支持IAM的上下文信息；73%的受访者表示在使用分析技术。目前，最常用于支持IAM的是用户行为分析（UBA），身份分析的可用性和采用率也在不断提高。

身份分析方法通过关联与访问事件相关的上下文信息来检测访问风险或访问滥用。常见的示例是访问时间与终端设备的地理位置的关联。如果从北京发出访问请求，而用户最后一次登录是在距纽约一小时之前，则系统可以识别出用户根本不可能在如此短的时间内传送到地球的另一边，并且可以立即拒绝访问。采用此类解决方案的受访者表示，发现他们的用户凭证被泄露并发布在暗网上的可能性降低了65%。

机器学习也在被采用，它 可以随着时间的推移监视上下文信息和活动，以便建立可预测的数学算法 。基于机器学习技术，提升用户身份认证体验的技术应用较广。采用此类技术的受访者表示，遭受勒索软件攻击的可能性降低了72%，感染计算机病毒的可能性降低了34%。

• 执行基于条件的活动

一旦完成上下文信息的收集和分析，即可以用各种有价值和有趣的方式利用智能技术。受访者表示，最简单和最常见的用途是通过第三方自动化和编排启动操作。如果某个条件存在，那么它可以执行预定义的操作。

自动操作 可能是良性的（例如，在检测到风险活动时向IT管理员发送警报消息），也可能对身份验证过程采取直接操作（例如，如果检测到设备处于根目录或越狱状态，则阻止对业务帐户的访问）。但目前， 在大多数评估案例中采用的IAM方案缺乏自动化能力 。

受访者还经常提到 基于策略的访问控制 ——访问策略与单个用户配置文件一起说明哪些用户可以访问哪些应用和数据、允许动作如何、访问权限时长度。配置访问策略可以基于非常具体的条件，如用户通过不安全的网络使用非业务设备来访问机密信息，则拒绝访问。

这种方法面临的挑战是， 必须界定每种可能的语境条件组合，以适应现实世界中不断变化的条件 。这是一项不可能完成的任务。通常，组织无法定义关键的上下文考虑因素，将业务暴露在不可预见的风险中，或者在定义策略时变得过于繁重，从而产生了显著且不必要的访问阻碍，从而降低了最终用户的生产效率。

智能技术 可以快速关联复杂的上下文信息以确定安全策略违反的可能性，因此可用于确定访问事件造成的风险级别。单个上下文元素（例如用户通过公共网络访问业务资源）本身可能不会引起警报，但事件组合（例如，运行不可信软件的不安全网络上的不安全设备）可能会越过一个值得关注的阈值。

通常，IAM方案可将潜在威胁表示为单个数值（风险分数），然后引入策略，根据风险评分的值进行自动化响应。例如，较高的风险分数可能会限制允许用户访问的资源的数量和类型。所需认证因素的数量和强度可以根据风险水平进行相应的更改。

智能分析用来进行风险评分也有助于实现 逐步增强的多因素身份验证（MFA） 。认证因子的数量和强度可根据风险评分改变。在低风险的情况下，一个简单的无密码验证即可安全的启用业务访问。但在高风险情况下，需要额外的强身份验证方式（如输入OTP码）。

随着支持访问各种公共WEB服务的需求日益增长， webhook支持 也成为IAM面临的最大挑战，webhook支持的价值变得显而易见。Web开发人员通常构建自定义代码或“钩子”，持续监视预定义的条件并通过执行特定的任务来响应。直接从IAM平台触发这些webhook的能力使该方案能够集中管理和实施访问策略，而无需构建自定义的集成点。

但目前仅有约22%的受访者表示，组织IAM方案可远程触发webhook，而这些受访者对IAM方案总体满意度最高。在具备wehook能力的受访者中，所有类型的违规事件平均比缺乏这一能力的组织低79%，该方法的主要优点包括：

• 确保用户使用强大且未泄漏密码的挑战排名降低了16%；

• 安全访问公有云和网站上托管的IT资源的挑战排名降低了11%；

• 跨异构终端统一身份验证过程的挑战排名降低了13%；

• 建立适应不断变化的条件的访问策略的挑战排名降低了10%