身份和访问管理(IAM)提供商ForgeRock最近在德克萨斯州奥斯汀举行了一年一度的IDLive会议。ForgeRock的CTO Eve Maler是最引人注目的会议之一,他讨论了IAM的未来,以及如何将其大量注入人工智能(AI)以使其更有效。
马勒所描述的未来与该公司“帮助人们安全、简单地访问互联世界”的使命以及“无需再次登录”的愿景非常一致。虽然IAM在历史上一直是管理公司内部员工访问的IT管道的一部分,但它已经成为一种对所有用户(员工、消费者、公民和其他人)产生重大影响的技术,在新流行后的数字世界中,这个世界正在演变为Web3。
数字转型将IAM转变为数字身份
有充分的证据表明,过去两年大大加快了数字转型。我们现在处于体验时代,在这个时代,企业以易用性和低客户摩擦来定义自己。事实上,首席执行官弗兰•罗施(Fran Rosch)在演讲中展示的一个数据表明,现在90%的企业都是在客户体验的基础上竞争的。这与我们在ZK Research看到的一致,我们还会补充一个数据点:三分之二的千禧一代承认,他们在2021年放弃了一个品牌,只因为一次糟糕的体验。
IAM对用户体验有着直接的影响——从用户第一次注册一个新服务的时间到随后每次她访问该公司的产品和服务的时间。通常,导致消费者放弃某个品牌的糟糕体验是注册或登录体验。
马勒演讲的第一个值得注意的观点是,在IAM的背景下,数字身份将取代传统的身份概念。后者是一种更传统的劳动力环境的老式结构。今天,数字身份不仅仅是我们的凭证,它还封装了我们使用的设备、我们的行为模式、我们的位置等等。
我们的数字身份不仅在访问时被使用,而且在我们与一家公司的数字互动中被使用。传统的IAM解决方案只专注于用户登录时的身份验证,可能无法检测到用户的证书被窃取,然后被海外的威胁行为者使用。但是现代IAM平台可以检测到异常行为,即使用户已经登录,也可以触发阻止访问的警报。
这是一个基本的示例,但是要实现其简单性的愿景,ForgeRock平台必须跨所有系统工作。马勒说:“不管环境是否多样化——没有差距、不缺乏规模或性能——所有这些都必须发挥作用。”这当然是一个大胆的愿景,而人工智能能够像马勒所说的那样,“做出正确的、智能的决定”。
需要人工智能的原因是分析和洞察日益庞大的数据。“我们看到了数据的海洋,我们的客户淹没在其中,无法做出正确的决定,”马勒说。“大多数使用数据的工具都不灵活,而且有些愚蠢,这导致了粗粒度的决策,导致糟糕的体验。这为整个身份生命周期提供了更多的自动化机会。”
人工智能实现了零信任身份
人工智能加入数字身份将导致这个市场再次转变,这种转变将是零信任身份(ZTI)。零信任显然是一个大话题,因为公司正在寻求利用这项技术来帮助过渡到混合工作。
大多数零信任都是在网络层完成的,但这导致了问题,因为坏人很容易隐藏网络。当对身份使用零信任时,它会跟随数字身份。Maler举了一个ForgeRock最近发布的Autonomous Access产品的例子,该产品使用AI/ML来处理与用户数字身份相关的所有信号,从而为用户提供无缝访问,在不确定用户身份时通过加强认证进行干预,或者在用户存在欺诈时阻止他们。
在她的演讲中,马勒讨论了AI在未来实现零信任身份的四种方式:
- 公司资源的动态保护。人工智能可以用来发现哪怕是最小的异常,表明证书已被破坏。
- 实现细粒度策略的能力。粗粒度策略通常很容易用零信任解决方案实现。AI通过分析数据来理解用户、数据和事物之间的关系。这可以用于创建细粒度的策略,而不会影响用户体验。
- 消除访问令牌中的个人数据。令牌用于允许或拒绝访问,通常需要一定级别的用户信息才能进行操作。因为基于ai的ZTI使用了行为信息,所以可以消除所有的个人数据,从而确保用户的隐私。
- 持续的验证。大多数零信任系统只验证一次,就允许工作人员访问资源。如果用户在通过身份验证后被攻击,这种方法可以创建对公司信息的不受限制的访问。人工智能一直在观察所有的行为,使验证能够持续进行。
安全专业人员需要了解技术环境已经发生了变化。IT组织不再能够控制应用程序、人们工作的地方、网络或其他基础设施。在企业对消费者的世界中,这种IT控制是不存在的。安全控制需要转向数字身份,IAM行业必须从允许/拒绝访问等传统结构演变为始终处于开启状态的人工智能分析系统。
