隨著 AI 驅(qū)動(dòng)的應(yīng)用程序和基于云的 SaaS 工具的快速普及�,工作效率得到了顯著提升,但同時(shí)也帶來了一個(gè)新的�、尚未被廣泛認(rèn)識(shí)到的安全危機(jī)����。當(dāng)組織將注意力集中在外部網(wǎng)絡(luò)威脅時(shí),一個(gè)無聲的漏洞正在其內(nèi)部滋長(zhǎng):隱形身份�����。這些用戶賬戶存在于企業(yè)身份認(rèn)證框架之外�,游離在傳統(tǒng)安全控制的盲區(qū)。
LayerX 發(fā)布的"2025 身份安全報(bào)告"針對(duì) SaaS 身份趨勢(shì)進(jìn)行了研究��,揭示了 80% 的企業(yè) SaaS 登錄對(duì) IT 和安全團(tuán)隊(duì)來說是不可見的����,這是由于員工使用個(gè)人憑證或非 SSO 支持的企業(yè)賬戶所致。這意味著在大多數(shù)組織中��,員工與云應(yīng)用程序的絕大多數(shù)交互都在沒有安全監(jiān)督的情況下進(jìn)行����,使公司面臨潛在的數(shù)據(jù)泄露�、合規(guī)違規(guī)和憑證盜用風(fēng)險(xiǎn)。
隱形數(shù)字身份的崛起
當(dāng)員工繞過企業(yè)身份認(rèn)證協(xié)議時(shí)(通常是無意識(shí)的)�����,使用個(gè)人賬戶或未經(jīng)管理的憑證登錄 SaaS 應(yīng)用程序時(shí),就會(huì)產(chǎn)生隱形身份�。在許多情況下,這種現(xiàn)象的出現(xiàn)是因?yàn)榻M織未能嚴(yán)格執(zhí)行單點(diǎn)登錄政策����,或者用戶將便利性置于安全性之上。
這個(gè)問題在 AI 驅(qū)動(dòng)的工具中尤為普遍����,因?yàn)樾枨笸^了安全治理的步伐。以快速普及的生成式 AI 應(yīng)用程序 DeepSeek 為例���,與 ChatGPT 或 Microsoft Copilot 等平臺(tái)不同���,DeepSeek 要求用戶登錄,但僅支持 Google SSO����,這使得依賴 Microsoft 或 Okta 的企業(yè)無法監(jiān)控員工如何使用該工具。
LayerX 的 CEO 兼聯(lián)合創(chuàng)始人 Or Eshed 解釋說:"雖然大多數(shù)討論都集中在 AI 工具存儲(chǔ)數(shù)據(jù)的位置���,但更大的擔(dān)憂是它們?nèi)绾伪辉L問以及處理什么數(shù)據(jù)�����。"這種疏忽的安全影響是深遠(yuǎn)的�����。當(dāng)員工使用非企業(yè)憑證訪問 AI 應(yīng)用程序時(shí)����,組織無法監(jiān)控共享的數(shù)據(jù)內(nèi)容、專有信息是否面臨風(fēng)險(xiǎn)�����,或者訪問是否被不法分子利用��。
為什么隱形身份構(gòu)成日益增長(zhǎng)的風(fēng)險(xiǎn)
在 AI 和云應(yīng)用程序日益深入日常工作流程的當(dāng)下���,組織面臨著身份安全悖論: - SaaS 平臺(tái)提供了無與倫比的靈活性和生產(chǎn)力提升 - 同時(shí)這些平臺(tái)越來越多地通過安全團(tuán)隊(duì)無法追蹤或控制的未管理身份進(jìn)行訪問
這種風(fēng)險(xiǎn)在混合工作環(huán)境中被放大���,員工經(jīng)常在同一設(shè)備上在個(gè)人賬戶和企業(yè)賬戶之間切換。LayerX 的研究表明����,近 40% 的企業(yè) SaaS 訪問通過個(gè)人憑證進(jìn)行,67% 的登錄完全繞過企業(yè) SSO���,使身份治理幾乎不可能實(shí)現(xiàn)�。
Similarweb 的 CISO Tomer Maman 表示:"可見性至關(guān)重要;然而���,從瀏覽器之外的工具收集見解可能既耗時(shí)又具有挑戰(zhàn)性�����。"
如果無法清晰地了解員工如何與 SaaS 應(yīng)用程序交互(特別是處理和分析敏感數(shù)據(jù)的 AI 工具)�����,組織就缺乏執(zhí)行關(guān)鍵安全策略��、檢測(cè)內(nèi)部威脅或防止意外數(shù)據(jù)泄露的能力���。
身份作為第一道防線
傳統(tǒng)安全模型專注于網(wǎng)絡(luò)層防御、終端保護(hù)和防火墻���,這些在現(xiàn)代威脅面前都在迅速失效����。隨著云應(yīng)用程序取代傳統(tǒng)企業(yè)軟件,身份本身已成為新的安全邊界���。
組織必須從過時(shí)的安全模型轉(zhuǎn)向以身份為先的方法�,優(yōu)先考慮用戶訪問數(shù)字資源的可見性和治理����。這意味著: - 在所有企業(yè) SaaS 應(yīng)用程序中嚴(yán)格執(zhí)行 SSO 政策 - 禁止使用非企業(yè)賬戶執(zhí)行工作相關(guān)任務(wù) - 實(shí)施 SaaS 登錄實(shí)時(shí)監(jiān)控,以檢測(cè)未授權(quán)訪問 - 通過強(qiáng)制多因素認(rèn)證和主動(dòng)釣魚檢測(cè)來防止憑證盜用
沒有這些控制措施��,隱形身份將繼續(xù)擴(kuò)散����,增加數(shù)據(jù)外泄、違反監(jiān)管和不受控制的 AI 驅(qū)動(dòng)安全風(fēng)險(xiǎn)的可能性�����。
AI�����、身份與網(wǎng)絡(luò)安全的未來
AI 驅(qū)動(dòng)的 SaaS 平臺(tái)的發(fā)展既帶來機(jī)遇也帶來風(fēng)險(xiǎn)�����。一方面,AI 提高了效率和自動(dòng)化水平�,但另一方面,它通過增加對(duì)傳統(tǒng)安全監(jiān)督范圍之外運(yùn)行的應(yīng)用程序的依賴���,創(chuàng)造了新的漏洞。
組織面臨的挑戰(zhàn)不僅是確保 AI 工具的安全����,還要確保訪問這些工具的身份是合法的且受到完全管控。安全邊界已經(jīng)發(fā)生轉(zhuǎn)移�����,未能適應(yīng)這一新現(xiàn)實(shí)的組織可能會(huì)失去對(duì)其最寶貴資產(chǎn)的控制:數(shù)據(jù)�����。
隨著 AI 持續(xù)重塑商業(yè)格局�,安全領(lǐng)導(dǎo)者必須重新思考其身份治理方法,確保企業(yè)應(yīng)用程序的訪問是透明的�、負(fù)責(zé)任的和安全的。
