CyberArk公佈一份針對身分安全導入趨勢以及企業在採行相關策略的相對成熟度調查報告。調查結果顯示,只有9%的組織採取了敏捷、全面和成熟的方法,保護其混合和多雲環境中的身分安全。該報告提出了一個身分安全成熟度模型,以協助資安主管評估其當前策略,察覺風險並採取行動以強化資安韌性。
「全面身分安全成熟度模型:提高資安韌性的標準」(The Holistic Identity Security Maturity Model: Raising the Bar for Cyber Resilience)報告收集了CyberArk和Enterprise Strategy Group(ESG)對1,500名資安專業人員(包括台灣在內)的調查結果。根據此份全球調查,由資料驅動的模型識別出其中9%的公司擁有最成熟和全面的身分安全策略。這些變革性組織(Transformative organization)在部署身分安全工具時具備全面眼光,不但擁有敏捷體質,更表現出一種“錯了就改,學得更快”的特性,甚至經歷過多次成功的資安攻擊事件依然如此。
然而,有42%的受訪單位的身分安全計劃都僅處於成熟度模型的最初階段,缺乏基礎工具和整合來快速應對身分安全相關風險。逐漸擴大的身分攻擊面、IT複雜性和一些組織上的障礙導致了這樣普遍的身分安全缺失。一些值得注意的發現包括:
- 策略和成果之間的差距:69%的高階管理人員(台灣:71%)相信在身分安全相關決策上做出了正確的決定,而其他人員(技術決策者和實作者)認為如此的比例則為52%。這個差距凸顯了一個迷思,以為只要進行對的技術投資,就可以達到整體安全。但這只是故事的一部分,能與現有環境共同整合運作、打破各自為政模式以及強化訓練,同時兼顧這些面向才能在戰略上發揮最大投資效益。
- 分離的端點資料:92%的受訪者(台灣:97%)認為端點安全或設備信任和身分管理是健全「零信任」策略的基本功,65%(台灣:82%,是所有國家中最高的)認為具備連結資料的能力對於有效保護端點最為關鍵。
- 力量分散:58%的公司有兩個團隊分別負責雲端和地端身分安全防護,且依賴許多單一解決方案,讓掌握即資安態勢變得極為困難。
Enterprise Strategy Group(ESG)的資深分析師Jack Poller表示,這份研究揭示了健全的身分安全策略和優異企業表現之間的關聯性。更頻繁和及時的成熟度評估可以協助確保對的使用者可以存取對的資料,同時公司可以在威脅將影響企業運作前迅速採取行動。