Gartner：关于特权访问管理（PAM）应用发展的六大看点

  2023年度Gartner安全和风险管理峰会于6月初在美国马里兰州成功举办，该会议向来是网络安全行业发现技术创新和应用趋势的盛会，今年也不例外。在今年的峰会上，参加会议的专家和参会嘉宾广泛讨论了如何在快速变化的数字环境中，有效应对身份带来的安全风险与挑战。而特权账号由于是企业最核心的身份资产，其访问安全性将必然的联系到企业最在意的数据安全和业务安全，因此成为了本次峰会研讨时的焦点议题。

  在峰会开幕演讲中，Gartner副总裁、高级分析师Leigh McMullen表示：如今许多企业组织的CISO和安全团队感到精疲力竭，他们已为企业安全建设工作付出了最大的努力，却没获得符合预期的回报，一些错误的认知阻碍了企业充分的发挥网络安全的价值。对PAM技术而言，能够真正推动其有效应用落地的“巧克力”是什么？

  在回答这样的一个问题时， McMullen重点强调了人们习惯于选择简单和易于使用的方法，而非最先进的技术，因此就需要简化安全性才可以获得最终用户的采用。鉴于各种安全工具泛滥成灾、网络安全专业技术人员严重匮乏，McMullen呼吁将最低有效洞察力作为衡量PAM安全计划是否成功的重要指标，并倡导使用最低有效工具集以实现预期结果。McMullen特别指出，PAM安全服务商要实现最低有效摩擦才能提高用户的实际采用率，其理念是让执行正确的操作变得更简单，而不是有意绕过安全指南。

  在今年峰会上，重点研讨了PAM技术在新一代网络安全网格（cybersecurity mesh）方案体系中的作用。Gartner认为，网络安全网格可以使任何人都能更安全地访问任何数字资产，无论资产或人员位于何处。它通过云交付模型解除策略执行与策略决策之间的关联，并使身份验证成为新的安全边界。到2025年，网络安全网格将支持超过一半的数字访问控制请求。在此背景下，企业的网络安全建设需要从基于网络基础设施的边界向基于数字身份的边界转变，将会促进突出了PAM在现代企业网络安全战略中的及其重要的作用，企业要从全新的身份安全视角进行特权访问管理技术的建设与应用。

  今年峰会的一个关键话题是PAM技术和零信任体系的应用交集。随着零信任体系架构的不断应用落地，PAM也被Gartner认为是明显降低现代企业数字化风险的最关键部分。峰会强调了PAM对于实现成功零信任策略的重要性，因为它有助于执行最小特权原则，仅为用户更好的提供执行其工作所需的最低权限。从长期看，企业的PAM 建设应该有效融合到完整的零信任体系建设的范畴中，无论是用户、设备、应用程序还是请求网络访问的API，在被有效验证身份和真实性之前，拒绝其对资源的访问将是默认选项。

  随着慢慢的变多的组织将应用程序和数据存储在云端，Gartner认为PAM技术未来在保护企业的云应用和数据方面也将慢慢的变重要。在今年的峰会上，多位演讲者在分享时指出企业不仅需要能够管理人类用户的特权访问，还需要管理慢慢的变多的非人类实体（比如机器人程序、软件账户和API应用）的特权访问。随企业数字化身份数量飞速增加，以及多云和混合云应用的普及，企业将迫切地需要实现跨多云环境的统一化特权身份安全防护，包括跨云扩展授权管理、即时特权控制和一致的特权身份审计。

  人工智能和自动化技术的应用趋势已经不可阻挡，如何利用这些技术增强传统PAM的功能也成为今年峰会的讨论热点。鉴于现代企业的IT环境日益复杂，手动管理访问特权已经不能够满足用户的应用需求，利用AI和自动化有助于快速识别潜在的访问风险，实施一致的访问控制，并简化安全审计过程。Gartner分析师强调了这些技术在PAM应用发展中将会更多应用，并成为一种主流的趋势。但企业同时也需要认识到，虽然自动化能够大大减少人为错误的风险并提高效率，但应该辅以明确定义的流程和控制，才能真正减小潜在风险。PAM技术对AI和自动化技术的需求和与之相关的风险可能是个长期存在的热门线、PAM的发展与演变

  展望未来，峰会讨论提到了PAM领域的持续演变。随着工作环境日益混合，组织需要对PAM采取一种更全面、更灵活的方法，这种办法能够有效地管理各种系统和环境（云和本地）的权限。Gartner的分析师还预测，下一代PAM解决方案可能会整合更高级的功能，比如行为分析和预测风险评分，从而进一步提升特权账户的安全性。多位安全专家在峰会强调，在数字环境快速变化的形势下，实施有效PAM的价值毋庸置疑，组织需要第一先考虑PAM以保护其数字资产，并防范将来日益复杂的网络威胁。