身份安全风险上升：为什么组织现在必须采取行动

随着管理数字身份的优先次序的加强，组织正在面临严重的身份安全风险。最近的发现表明，许多企业正在与频繁的漏洞和安全措施不足作斗争，特别是与机器身份有关的问题。尽管努力和意识有所提高，但证书泄露和复杂系统漏洞等问题仍然存在。

非人类身份的扩散

Entro Security | 2025年网络安全中的非人类身份和秘密状况报告 | 2024年9月

• 97%的非人类身份（NHI）拥有过度的特权，增加了未经授权的访问并扩大了攻击面。
• 92%的组织将NHI暴露给第三方，如果第三方安全实践与组织标准不一致，则会导致未经授权的访问。
• 71%的非人类身份不会在建议的时间范围内轮换，随着时间的推移，增加了妥协的风险。

与身份相关的事件变得严重，使组织损失了一大笔钱

IDSA | 2024年身份安全趋势报告 | 2024年5月

• 22%的企业认为管理和保护数字身份是其安全计划的首要任务，高于2023年的17%。89%的组织关注员工将公司凭据用于社交媒体。
• 与2023年一致，89%的企业有点或非常担心新的隐私法规会影响身份安全。
• 96%的受访者表示，AI/ML将有利于解决与身份相关的挑战，71%的人表示，第一用例是识别异常行为。

机器身份缺乏必要的安全控制，构成重大威胁

CyberArk | 2024年身份安全威胁景观报告 | 2024年5月

• 在过去的一年里，93%的组织发生了两次或两次以上与身份相关的违规行为。
• 50%的组织预计身份在未来12个月内将增长3倍（平均：2.4倍）。61%的组织将特权用户定义为仅限人类。

技术复杂性推动了新一波身份风险

ConductorOne | 2024年身份安全展望报告 | 2024年5月

• 当被要求描述他们的最高身份和访问管理挑战时，47%的受访者提到了现有系统的复杂性，其次是员工对变化的抵制（38%）、可用工具造成的限制（33%）和高管对变化的抵制（32%）。
• 47%的调查受访者表示，他们公司的身份安全策略和访问政策阻碍了团队的生产力，23%的人表示这严重阻碍了生产力。
• 84%的人报告说，今年他们公司对身份和访问相关产品的预算分配有适度或大幅增加。

消费者继续高估他们发现深度造假的能力

Jumio | 2024年在线身份研究 | 2024年5月

• 对于全球许多消费者来说，欺诈是一个十分熟悉的问题，68%的受访者表示，他们知道或怀疑自己是在线欺诈或身份盗窃的受害者，或者他们认识受到影响的人。
• 虽然46%的消费者是或怀疑自己是在线欺诈或身份盗窃的受害者，但32%的人表示，这造成了重大问题，需要几个小时的行政工作才能解决，14%的人甚至称这是一次创伤性经历。
• 在创建新的在线帐户时，全球消费者表示，拍摄身份证照片和现场自拍将是最准确的身份验证形式（21%），创建安全密码仅次（19%）。

只有45%的组织使用MFA来防止欺诈

Ping Identity | 打击下一个主要数字威胁：人工智能和身份欺诈保护优先 | 2024 年 5 月

• 97%的组织在身份验证方面遇到了挑战，52%的组织非常担心凭证泄露，其次是帐户接管（50%）。
• 54%的受访者非常担心人工智能技术会增加身份欺诈，只有52%的受访者表示对自己检测首席执行官的深度伪造的能力充满信心。
• 虽然只有38%的人实施了使用去中心化身份（DCI）来保护客户和员工免受欺诈的策略，但与去年相比有所增加，当时只有13%的人实施了。

来自可疑基础设施燃料基于身份的事件的恶意登录

驱逐 | 2024年年度威胁报告 | 2024年2月

• 69%的基于身份的事件涉及来自可疑基础设施的恶意登录，这些基础设施是用户或组织不期望的托管提供商或代理。
• 基于身份的事件占Expel SOC调查的所有事件的64%，从2022年到2023年，数量增加了144%。

数字游牧民族放大了身份欺诈风险

Regula | 全球化世界中的身份验证 | 2024年1月

• 40%的商业决策者强调，欺诈的增加是数字游牧民族身份验证的主要挑战。
• 80%的决策者将数字游牧运动与身份欺诈直接联系起来，表示组织在验证过程中发现的伪造或伪造文件的数量正在增加。
• 身份证件欺诈的平均增长率为14%；然而，在保险行业，为22%，在金融和银行服务行业，为近19%。

来源：helpnetsecurity，https://www.helpnetsecurity.com/2024/09/20/identity-security-risks/