16、网络安全即服务：关键概念与未来趋势

网络安全即服务：关键概念与未来趋势

1. 身份与访问管理（IAM）

身份与访问管理（IAM）是每个有效安全计划的基本要求，旨在保护数据、应用程序和其他资产。为了从技术上实施这一要求，即仅授权合法请求，必须对用户进行可靠的身份验证。通常借助数字身份（如用户名）来实现，这些数字身份与个人的实际身份相关联。常用的标准包括 OAuth、OpenID 和安全断言标记语言（SAML）。

建立和管理这些数字身份看似简单，但随着组织员工和其他利益相关者数量的增加，可能会变得非常复杂。因此，IAM 提供商不仅提供相应的技术，还以预定义的流程和概念形式提供最佳实践。典型功能包括：
- 初始用户注册
- 角色和权限分配
- 凭证的创建、提供和管理
- 身份、角色和权限的集中管理
- 用户的集中认证和授权
- 提供多因素认证（MFA）手段
- 支持单点登录（SSO）服务接口

具有高级别权限的账户（如管理员或超级用户）是威胁行为者的热门目标，且容易受到内部风险的影响。因此，应利用特权访问管理（PAM）对其进行额外保护。

2. 网络保险

近年来，全球针对公司的网络安全事件的频率和影响持续稳步上升。无论公司在安全计划上投入多少资金或实施何种技术预防控制措施，都存在遭受网络攻击的残余风险，这可能导致受害者的声誉和/或财务损失。

网络保险的目的是在被保险的受害者因涵盖的网络安全事件遭受声誉或财务损失时介入。保险公司通常提供的保障包括：
- 第一方损失（即直接发生在投保人身上的损失），涵盖自身成本（如业务中断成本、事件响应和取证费用、开展公关活动、设立呼叫中心通知客户）。