IAM+AI新探索，數(shù)字身份安全將會迎來怎樣的新變化？

你好，我是茆正華。歡迎來到派拉軟件“數(shù)字安全前沿欄目”之解讀《新一代身份和訪問控制管理》的第四講：AI技術如何與IAM技術融合創(chuàng)新，智能化賦能企業(yè)數(shù)字化身份安全管控？

AI，一種試圖用機器對人類智能的模擬技術。2023年ChatGPT的橫空出世，人工智能發(fā)展再一次邁入關鍵時期，以生成式人工智能為代表的新技術、新應用不斷打破人們對人工智能的固有認知。

當人工智能可以通過人類最嚴格的考試、同時執(zhí)行多種工作命令、具備一定的推理規(guī)劃能力、生成代碼、生成以假亂真的照片、模仿人類與人聊天不被發(fā)現(xiàn)時，我們發(fā)現(xiàn)AI正在代替人做的事情越來越多了。

與此同時，我們也第一次切實感受到了AI的強大，有關“AI到底是減弱人的價值還是增強人的價值”的討論愈演愈烈。

我的觀點是，這取決于你怎么用它！

以身份治理與身份安全管理為例，看看在IAM技術的未來發(fā)展中可以怎樣融合AI強大的機器學習和分析能力，利用海量用戶行為數(shù)據(jù)分析，為現(xiàn)實世界進入數(shù)字世界的大門站好第一道崗。

在本欄目解讀的前幾講中，我曾說過，IAM是鏈接現(xiàn)實世界和數(shù)字世界的紐帶，把現(xiàn)實世界中的人或?qū)嶓w一比一映射到數(shù)字世界，從而在數(shù)字世界里給彼此間的認識、交流、互動建立基礎。

在這個基礎上，現(xiàn)實世界中的主體要想進入數(shù)字世界訪問相應的客體資源，首先需要建立安全可信的身份認證。只有在身份核驗認證通過后，現(xiàn)實世界的主體才能進入數(shù)字世界。

但哪些客體資源可以訪問，又需要有對應的權限管控。在整個訪問控制過程中，還需要通過審計能力，記錄監(jiān)控這一切。

也就是說，在全面數(shù)字化的世界里，一個現(xiàn)實世界主體進入數(shù)字世界，并在數(shù)字世界安全地工作、生活過程中，需要借助IAM的身份、認證、訪問權限管控、風險審計4大基礎安全能力。

1.

無感化認證：極致化登錄體驗

當你在數(shù)字世界入口前，AI就開始對你的身份、行為全方位掃描、分析，利用無監(jiān)督學習，學習用戶特定行為（如登錄時間、習慣，設備，生物特征等），發(fā)現(xiàn)合法賬號是否被非法使用；

或通過圖表征學習與聚類算法相結合挖掘黑產(chǎn)用戶賬號，并配合MFA的打擊能力，對黑產(chǎn)的源頭進行精準打擊，有效的避免非法的人持有合法賬號的非法行為。

在這樣的安全認證保障下，AI還可以基于海量數(shù)據(jù)形成的個人畫像，在你進入數(shù)字世界入口時，設計出符合個人習慣、特性的獨特身份認證方式，實現(xiàn)基于多因素的自適應身份驗證，甚至是無感化認證，在保障提升認證準確性、安全性的同時，提升你的認證登錄體驗。

2.

訪問即權力：智能化最小權限

進入數(shù)字世界后，你開始根據(jù)自己的工作需求以及所擁有的權限訪問各個客體，獲取相應的資源。

此時，如果你是一個全新用戶，在沒有管理員授權前提下，你會處處碰壁，無法在這個數(shù)字世界生存。而如果管理員把你的權限設置過大，又會滋生權限濫用等風險。

而對于一個中大型組織企業(yè)而言，所有的應用系統(tǒng)中的權限項可能突破百萬級，權限如何精準設置是個精細活。

傳統(tǒng)的依靠管理員進行人工配置所有人的權限項手段越來越不可靠。那這種具備工作量大、容易出錯且要求精準等特征的工作是否可以通過AI來解決呢？

答案是可以的！

AI 技術的三大核心要素，即算法、算力、數(shù)據(jù)。其中算法是 AI 的“大腦”，目前算法應用主要區(qū)分為決策式和生成式。前者是根據(jù)已有數(shù)據(jù)進行分析、判斷、預測；后者是基于已有數(shù)據(jù)進行模仿式創(chuàng)作，生成全新的內(nèi)容。

在IAM的權限治理層面， AI可以利用其天生具備的強大數(shù)據(jù)收集、深度學習分析能力，結合生成式算法，通過對全域、全組織內(nèi)、全工作過程中對業(yè)務系統(tǒng)的細粒度權限項的使用知識學習，快速地為一個新用戶需要處理的工作的最小權限進行智能推薦。

即使這個新用戶在公司就職過程中，存在職責或人事變動，AI也會即時做出調(diào)整，并智能推薦相應權限。

與此同時，在管理系統(tǒng)中進行自動化、智能化分配，加大權限的細粒度精準管控，也減少人工干預的錯誤和操作的滯后性，提升系統(tǒng)訪問控制權限的靈活性、精確性以及安全性，讓你感受到“訪問即權力”的真諦。

3.

全過程監(jiān)控：精準化風險管控

而在你從進入數(shù)字世界前到生活在數(shù)字世界全程中，引入AI能力的IAM會不眠不休地監(jiān)測你的行為、全程監(jiān)督。

例如，針對用戶有意識或是無意識的風險操作，AI都可以根據(jù)統(tǒng)計規(guī)則的正態(tài)分布規(guī)律進行探索發(fā)現(xiàn)，及時監(jiān)測出是機器人操作還是合法人的惡意操作等。

此外，通過廣泛的數(shù)據(jù)收集與深度學習能力，結合不同場景，分析用戶和實體行為，更準確地檢測出用戶操作行為的細微變化，配合專家知識庫，分析你在訪問過程中潛在的威脅行為，如異常登錄嘗試、大規(guī)模數(shù)據(jù)下載等可疑活動；

以極高的準確率命中異常事件，并及時、自動化地做出反應，有效防止企業(yè)核心數(shù)據(jù)泄漏、員工違規(guī)操作、賬號盜用等安全問題，同時能為安全事件調(diào)查提供更加精準的依據(jù)輸出。

4.

新技術風險：動態(tài)化網(wǎng)絡安全

以上，我從IAM四大基礎能力，即身份、認證、訪問權限管控、風險審計，并結合用戶進入數(shù)字世界生活、工作的全過程，試圖為大家講清楚AI如何賦能IAM管控全過程。

當然，AI賦能IAM的地方絕不僅此，以上只是拋磚引玉，提供一個思考方向。企業(yè)可以根據(jù)實際在身份和訪問控制管理的薄弱環(huán)節(jié)，嘗試將AI技術融入其中。

但在這個過程中，我們也不能忽略AI可能帶來的潛在安全威脅。

例如，AI模型本身可能就存在漏洞，即新技術的內(nèi)生安全。ChatGPT發(fā)布后爆出的各種安全事件也證實了這個觀點；

其次，新技術在安全領域的賦能，既可以賦能于防御，也可能賦能于攻擊。所以，AI技術也會被惡意利用，使得不法分子的攻擊能力增強；

再者，新技術自身缺陷可能并不影響新技術系統(tǒng)自身的運行，但這種缺陷卻給其他領域帶來了問題，導致其他領域變得不安全，即新技術的衍生安全問題。

例如，由于AI技術依賴大量用戶數(shù)據(jù)進行學習，數(shù)據(jù)濫用和隱私問題可能會成為安全隱患……

所以，我們要認識到，網(wǎng)絡安全始終是動態(tài)的，沒有百分百的安全防護解決方案。一個安全問題解決了，另一個安全問題又會冒出來。新技術更是導致網(wǎng)絡空間安全具有動態(tài)特征的主要因素之一。

要做好網(wǎng)絡安全，就注定要在這條永無止境的路上，不斷前行！這也是為什么派拉軟件15年來，始終堅持在數(shù)字身份安全領域持續(xù)深耕的原因。

以上就是本期全部內(nèi)容，我們下期內(nèi)容再見，也歡迎你在文末留言，對本期內(nèi)容進行探討。