芯盾时代IAM助力企业守好身份安全防线

你是否想过，黑客攻击你们公司网络的方式，不仅仅是代码横飞、路径复杂、力求隐蔽的“侵入”，而是像一个普通员工一样，用偷来的账号密码直接“登录”？

这听起来有些不可思议，但这正是全球企业面临的严峻现实。

IBM最新发布的《2025年X-Force威胁情报指数》报告（以下简称《报告》）显示，利用有效账户凭证发起攻击是黑客最常用的初始入侵手段，占总攻击数量的30%，与利用公开应用漏洞的攻击并列第一。一场由大规模凭证盗窃引发的身份安全风暴，已经席卷全球。

黑客为什么能将攻击手段从“侵入”变为“登录”，《报告》给出了答案：

第一，网络钓鱼手段升级。

《报告》指出，2024年，通过网络钓鱼邮件传播的信息窃取程序同比增加了84%，攻击者很大程度上依靠这种方法来扩大身份攻击的规模。为了规避网络安全检测，攻击者采用更快的"退出途径"，更多网络攻击者选择窃取数据（18%）而非对数据加密（11%），使得攻击更容易得手。

与此同时，针对账户凭证的网络钓鱼程序增加。恶意网址将受害者重定向到热门应用程序的虚假登录页面，从而窃取其凭证。在过去一年中，攻击者开始转向使用云托管服务，利用云托管服务提供的可信网址、域名和IP来规避安全检测手段。

第二，暗网黑市活动猖獗。

被盗的凭证最终会流向何处？答案是暗网。在暗网上，账户凭证的售卖已形成庞大的地下产业。在2024年，仅排名前五的信息窃取程序攻击者就在暗网上发布了800多万条广告，每条广告都可能包含数以百计的凭证信息。更有甚者，他们还在暗网销售中间人（AITM）钓鱼攻击的工具包和定制化的攻击服务，让钓鱼攻击的门槛更低，更具针对性。

更让人担忧的是，2024年近三分之一的安全事件导致账户凭证失窃。攻击者们利用窃取、购买到的账户凭证发动网络攻击，从而非法窃取更多的账户凭证，形成了恶性循环，使得凭证盗窃不断升级。

第三，AI助推攻击升级。

《报告》指出，攻击者已将生成式AI加入他们的武器库。从自动编写钓鱼邮件到生成恶意代码，AI正在被用于提升攻击的规模和效率。这使得凭证盗窃的成本更低、速度更快，企业面临的威胁也呈指数级增长。

芯盾时代用户身份访问管理平台（IAM）

面对愈演愈烈的凭证盗窃危机，构建新型身份管理体系，提升身份安全水平是企业的唯一选择。

芯盾时代作为领先的零信任业务安全产品方案提供商，基于零信任理念，采用自主研发的统一终端安全技术、增强型身份认证技术、连续自适应风险信任评估技术，打造了用户身份与访问管理平台（IAM），帮助企业一站式建立智能化、统一化、标准化的身份安全防护体系，实现对身份信息、身份认证、访问权限、安全审计的统一管理，避免账户凭证被窃取，全面提升身份安全水平，防范网络钓鱼、撞库、中间人攻击等网络攻击。

借助芯盾时代IAM，企业能够实现以下核心功能：

1.统一员工身份，提升身份管理水平

借助芯盾时代IAM，企业能够整合业务应用中零散的身份信息，为每一个员工创建唯一可信的数字身份，形成权威的组织架构，建立自动化流转的用户全生命周期管理机制。利用芯盾时代IAM统一纳管业务应用的身份信息，能够让员工使用一个账号登录所有业务应用，彻底消灭密码重复使用的安全隐患，实现“一个身份，访问全网”。

统一员工身份后，运维人员能够在一个后台开通、注销员工账户，配置不同应用的认证策略，设置应用的访问权限，统一审计全局访问日志，大幅减少运维量，提升工作效率。

2.全局多因素认证，有效防范网络钓鱼

借助芯盾时代IAM，企业能够建设应用门户，统一业务应用的登录入口，并借助单点登录功能，让员工只需认证一次，就能访问所有权限内的业务应用，实现“一次认证，全网通行”。

芯盾时代为企业建立移动认证App，结合员工所知、所持、所有进行多因素身份认证，提供密码、App扫码、短信验证码、动态口令、指纹识别、人脸识别等多种认证方式，让员工在进行身份认证时少输密码、甚至不输密码，兼顾企业网络安全与员工操作便利，有效防范网络钓鱼。

为了提升身份认证的智能化水平，芯盾时代将IAM与AI大模型深度融合。结合历史数据、风险情报对AI大模型进行训练后，IAM能够为每个用户生成独一无二的“行为指纹”，不但能够评估口令、设备、IP、网络等信息，更能够评估打字速度、鼠标操作行为、应用交互习惯等行为是否偏离用户行为基线，并根据评估结果实时生成认证策略，实现“一人一策略，次次不一样”的身份认证模式。

3.落实“最小化授权”，杜绝越权访问

芯盾时代IAM支持多种权限管理模型，访问权限粒度细至页面级。运维人员能够根据应用和数据重要等级，选择RBAC、ABAC、ACL等权限管理模型，灵活配置访问控制策略，实现对访问权限的精细化、动态化管控。

借助AI大模型，IAM能够高效的自动扫描所有业务应用中的权限分配情况，生成格式化报表，实现“权限透明无死角”。同时，综合法律法规要求、组织管理制度、IT管理制度，审查每一个员工、每一个账号的访问权限是否合规、合理，并对过度授权、职责冲突、权限滥用等情况给出处置建议，实现“权限隐患一扫空”。

4.身份信息加密，避免账户凭证被窃

为保证身份信息的安全性，芯盾时代自主研发了移动认证技术，通过对智能手机的唯一性识别，证书的安全生成、存储、调用，以及手机安全环境的检测，将智能手机打造成移动U盾，为身份认证营造安全的终端环境。

芯盾时代研发的智能终端密码模块，基于传统证书认证方式，结合分割密钥、设备指纹、白盒算法、环境清场等技术，为身份信息的安全存储提供了底层支持，保证身份信息更安全的传输、存储，即使身份信息被劫持、被泄露也难以被破译和篡改，有效防范中间人攻击。

借助芯盾时代用户身份和访问管理平台（IAM），企业能够构建更智能、更安全、更高效的身份管理体系，避免因账户凭证盗用造成的安全风险，为数字化转型构建安全基座。