隨著 AI 驅(qū)動的應用程序和基于云的 SaaS 工具的快速普及����,工作效率得到了顯著提升��,但同時也帶來了一個新的����、尚未被廣泛認識到的安全危機。當組織將注意力集中在外部網(wǎng)絡威脅時�,一個無聲的漏洞正在其內(nèi)部滋長:隱形身份����。這些用戶賬戶存在于企業(yè)身份認證框架之外�,游離在傳統(tǒng)安全控制的盲區(qū)。
LayerX 發(fā)布的"2025 身份安全報告"針對 SaaS 身份趨勢進行了研究�,揭示了 80% 的企業(yè) SaaS 登錄對 IT 和安全團隊來說是不可見的����,這是由于員工使用個人憑證或非 SSO 支持的企業(yè)賬戶所致��。這意味著在大多數(shù)組織中����,員工與云應用程序的絕大多數(shù)交互都在沒有安全監(jiān)督的情況下進行��,使公司面臨潛在的數(shù)據(jù)泄露����、合規(guī)違規(guī)和憑證盜用風險。
隱形數(shù)字身份的崛起
當員工繞過企業(yè)身份認證協(xié)議時(通常是無意識的)��,使用個人賬戶或未經(jīng)管理的憑證登錄 SaaS 應用程序時����,就會產(chǎn)生隱形身份����。在許多情況下,這種現(xiàn)象的出現(xiàn)是因為組織未能嚴格執(zhí)行單點登錄政策����,或者用戶將便利性置于安全性之上��。
這個問題在 AI 驅(qū)動的工具中尤為普遍,因為需求往往超過了安全治理的步伐����。以快速普及的生成式 AI 應用程序 DeepSeek 為例����,與 ChatGPT 或 Microsoft Copilot 等平臺不同����,DeepSeek 要求用戶登錄,但僅支持 Google SSO,這使得依賴 Microsoft 或 Okta 的企業(yè)無法監(jiān)控員工如何使用該工具����。
LayerX 的 CEO 兼聯(lián)合創(chuàng)始人 Or Eshed 解釋說:"雖然大多數(shù)討論都集中在 AI 工具存儲數(shù)據(jù)的位置�,但更大的擔憂是它們?nèi)绾伪辉L問以及處理什么數(shù)據(jù)��。"這種疏忽的安全影響是深遠的����。當員工使用非企業(yè)憑證訪問 AI 應用程序時�,組織無法監(jiān)控共享的數(shù)據(jù)內(nèi)容、專有信息是否面臨風險,或者訪問是否被不法分子利用��。
為什么隱形身份構(gòu)成日益增長的風險
在 AI 和云應用程序日益深入日常工作流程的當下��,組織面臨著身份安全悖論: - SaaS 平臺提供了無與倫比的靈活性和生產(chǎn)力提升 - 同時這些平臺越來越多地通過安全團隊無法追蹤或控制的未管理身份進行訪問
這種風險在混合工作環(huán)境中被放大,員工經(jīng)常在同一設備上在個人賬戶和企業(yè)賬戶之間切換。LayerX 的研究表明����,近 40% 的企業(yè) SaaS 訪問通過個人憑證進行��,67% 的登錄完全繞過企業(yè) SSO,使身份治理幾乎不可能實現(xiàn)。
Similarweb 的 CISO Tomer Maman 表示:"可見性至關重要;然而����,從瀏覽器之外的工具收集見解可能既耗時又具有挑戰(zhàn)性����。"
如果無法清晰地了解員工如何與 SaaS 應用程序交互(特別是處理和分析敏感數(shù)據(jù)的 AI 工具)��,組織就缺乏執(zhí)行關鍵安全策略�、檢測內(nèi)部威脅或防止意外數(shù)據(jù)泄露的能力�。
身份作為第一道防線
傳統(tǒng)安全模型專注于網(wǎng)絡層防御、終端保護和防火墻��,這些在現(xiàn)代威脅面前都在迅速失效��。隨著云應用程序取代傳統(tǒng)企業(yè)軟件��,身份本身已成為新的安全邊界。
組織必須從過時的安全模型轉(zhuǎn)向以身份為先的方法����,優(yōu)先考慮用戶訪問數(shù)字資源的可見性和治理����。這意味著: - 在所有企業(yè) SaaS 應用程序中嚴格執(zhí)行 SSO 政策 - 禁止使用非企業(yè)賬戶執(zhí)行工作相關任務 - 實施 SaaS 登錄實時監(jiān)控��,以檢測未授權訪問 - 通過強制多因素認證和主動釣魚檢測來防止憑證盜用
沒有這些控制措施�,隱形身份將繼續(xù)擴散�,增加數(shù)據(jù)外泄、違反監(jiān)管和不受控制的 AI 驅(qū)動安全風險的可能性����。
AI�、身份與網(wǎng)絡安全的未來
AI 驅(qū)動的 SaaS 平臺的發(fā)展既帶來機遇也帶來風險����。一方面,AI 提高了效率和自動化水平�,但另一方面�,它通過增加對傳統(tǒng)安全監(jiān)督范圍之外運行的應用程序的依賴�,創(chuàng)造了新的漏洞。
組織面臨的挑戰(zhàn)不僅是確保 AI 工具的安全�,還要確保訪問這些工具的身份是合法的且受到完全管控��。安全邊界已經(jīng)發(fā)生轉(zhuǎn)移,未能適應這一新現(xiàn)實的組織可能會失去對其最寶貴資產(chǎn)的控制:數(shù)據(jù)�。
隨著 AI 持續(xù)重塑商業(yè)格局��,安全領導者必須重新思考其身份治理方法,確保企業(yè)應用程序的訪問是透明的��、負責任的和安全的����。
