50家企业在云身份安全领域集体踩中的认知陷阱

大多数企业在云环境中仍缺乏基本的家企集体阱身份安全控制措施，这使其面临数据泄露 、身份审计失败和合规违规的安全风险 。Unosecur发布的领域一份年中新基准报告显示 ，在接受扫描的踩中公司中，几乎每家都至少存在一个高风险问题，知陷平均每家企业存在40项控制措施失效的家企集体阱情况
。

该报告分析了2025年1月至6月期间 ，身份来自不同行业和地区的安全50家企业的诊断扫描数据。与基于调查的免费模板领域研究不同，该报告的踩中结论是基于与ISO 27001/27002、PCI DSS和SOC 2等标准相一致的知陷直接控制检查得出的。其目标是家企集体阱：以可复制的方式呈现云身份实践存在的不足以及相应的改进方法 。

Unosecur的身份首席执行官桑托什·贾亚普拉卡什(Santhosh Jayaprakash)表示：“百分比份额的变化可能在一定程度上反映了扫描覆盖范围较小。数据传达的高防服务器安全信息很简单 ：如果你的公司使用这三个平台中的任何一个，你就能清楚了解最常见的合规违规问题。对于多云企业而言，这些数据进一步表明，并非所有环境都面临相同的风险。如果认为所有环境风险相同，可能会导致严重漏洞得不到解决。”

数据显示 ，许多企业继续忽视基础防护措施 ，最常见的问题是管理员账户未启用多因素身份验证(MFA) ，源码库其他常见漏洞包括角色权限过大 、服务账户密钥长期有效以及职责划分不清
，仅缺失MFA、权限过大
、凭证过期和未管理的机器密钥这四类问题，就占高严重性问题的70%
。

报告指出 
：“缺失MFA和权限过大并非前沿威胁，而是如同未上锁的门 ，勒索软件团伙和审计人员会首先注意到这些问题
。”

基准报告中列出的十大失败案例，每个都会产生明确的模板下载安全后果。例如 
，管理员账户未启用MFA，可能导致单个被窃取的密码危及整个云环境 。未轮换的密钥和拥有广泛权限的服务账户，可能会提供长期未经授权的访问 。

云环境特有的趋势也十分突出 。在AWS中 ，许多用户仍未启用MFA。Google Cloud租户经常依赖项目级TokenCreator角色 ，该角色允许广泛创建令牌
。亿华云研究发现，Azure客户在整个订阅范围内开放“所有者”或“参与者”角色 ，增加了滥用风险 。

身份管理不善不仅会增加安全风险 ，还会在审计时带来挑战，并提高网络安全保险成本 。相反
，实施特权账户MFA、即时访问权限提升、短期密钥和受保护的机器凭证等四项关键控制的企业，审计发现的问题更少，且在企业销售中占据更有利地位。

监管压力也在不断加大。香港云服务器2025年初
，欧盟《数字运营韧性法案》(DORA)和eIDAS 2.0框架、印度《数字个人数据保护法》以及美国零信任政策的新要求 ，均推动加强身份治理。一些法律现在还涉及人工智能身份滥用问题 ，包括用于欺诈的深度伪造。

报告称：“如果你的竞争对手存在高胆固醇问题(弱MFA、过期密钥)，你需要在下一次数据泄露或审计成为头条新闻之前 ，了解自身状况 。”

最新评论