身份暗物质威胁企业网络安全的新挑战

身份暗物质是什么

身份管理过去集中在单一位置——LDAP目录、HR系统或单一身份管理门户。然而现在，身份信息分散在SaaS、本地部署、基础设施即服务、平台即服务、自主开发和影子应用程序中。每个环境都有自己的账户、权限和身份验证流程。

传统的身份访问管理和身份治理工具只能管理已完全接入、集成和映射的用户和应用程序，约占整个身份环境的一半。其余部分仍然不可见：未验证、非人类、未受保护的大量身份，我们称之为身份暗物质。

每个新应用或现代化应用都需要接入工作——连接器、模式映射、权限目录和角色建模等，这些工作消耗大量时间、资金和专业知识。许多应用程序从未完成这个过程，导致身份碎片化：未管理的身份和权限在企业治理之外运行。

在人类身份层之外，还有更大的挑战——非人类身份实体。API、机器人、服务账户和智能体流程在基础设施中进行身份验证、通信和操作，但它们通常无法追踪，在创建后被遗忘，缺乏所有权、监督或生命周期控制。这些无治理实体构成了身份暗物质最深层、最不可见的部分，而传统身份管理工具从未被设计来管理这些实体。

身份暗物质的风险类别

随着组织现代化，身份环境碎片化为几个高风险类别：

未管理的影子应用程序：由于传统接入的时间和成本问题，这些应用程序在企业治理之外运行。

非人类身份实体：快速扩展的层级，包括在无监督情况下运行的API、机器人和服务账户。

孤立和过时账户：44%的组织报告拥有超过1000个孤立账户，26%的账户被认为是过时的（超过90天未使用）。

智能体实体：独立执行任务和授予访问权限的自主智能体，打破了传统身份模型。

这些无治理实体的增长创造了网络风险滋生的重要"盲点"。2024年，27%的云端安全事件涉及滥用休眠凭据，包括孤立和本地账户。

主要风险包括：

凭据滥用：22%的安全事件归因于凭据利用。

可见性缺口：企业无法评估看不到的内容，导致"控制错觉"而风险不断增长。

合规和响应失败：未管理的身份处于审计范围之外，减慢事件响应时间。

隐藏威胁：暗物质掩盖了横向移动、内部威胁和权限提升。

解决方案：身份可观测性

要消除身份暗物质，组织必须从基于配置的身份管理转向基于证据的治理。这通过身份可观测性实现，提供对每个身份的持续可见性。

根据Orchid观点，网络韧性的未来需要三支柱方法：

全面观察：直接从每个应用程序收集遥测数据，而不仅仅是标准身份管理连接器。

全面验证：建立统一的审计轨迹，显示谁在何时、为何访问了什么。

全面治理：将控制扩展到受管理、未管理和智能体身份。

通过统一遥测、审计和编排，企业可以将身份暗物质转化为可操作、可衡量的事实。

在Orchid Security，我们相信网络韧性的未来在于像合规和安全可观测性一样运行的身份基础设施：观察身份如何编码、如何使用以及如何表现。通过统一遥测、审计和编排，Orchid使企业能够将隐藏的身份数据转化为可操作的事实，确保治理不是声称的，而是被证明的。

Q&A

Q1：身份暗物质是什么？为什么会出现？

A：身份暗物质是指分散在各种应用环境中未被传统身份管理工具覆盖的身份信息，包括未验证、非人类、未受保护的大量身份。它的出现是因为现代企业的身份信息分散在SaaS、本地部署、云服务等多个环境中，而传统工具只能管理已完全接入的部分。

Q2：非人类身份实体有哪些安全风险？

A：非人类身份实体包括API、机器人、服务账户和智能体等，它们通常无法追踪，缺乏所有权、监督或生命周期控制。主要风险包括凭据滥用（占22%的安全事件）、可见性缺口导致的控制错觉、以及成为横向移动和权限提升的隐藏威胁。

Q3：如何解决身份暗物质问题？

A：解决方案是采用身份可观测性方法，从基于配置的身份管理转向基于证据的治理。具体包括三个方面：全面观察每个应用程序的遥测数据、建立统一审计轨迹证明访问行为、将治理控制扩展到所有类型的身份实体。