身份优先级管理不是待办清单问题，而是风险量化问题
2026-03-02    FreeBuf

　　大多数身份管理项目仍沿用IT工单的优先级处理方式：按数量、紧急程度或"哪些未通过控制检查"来排序。当环境不再以人工操作为主或完成全面部署时，这种方法就会失效。

　　现代企业中，身份风险由多重因素复合形成：控制态势、卫生状况、业务背景和用户意图。单独来看每个因素或许可控，但真正的危险在于它们的毒性组合——当多个弱点同时存在，攻击者就能构建从入侵到影响的完整攻击链。

　　有效的优先级框架应将身份风险视为上下文暴露面，而非配置完整度。

　　1. 控制态势：将合规与安全视为风险信号而非勾选框

　　控制态势回答一个简单问题：如果出现问题，我们能否预防、检测并证明?

　　传统IAM(身份与访问管理)项目将控制措施评估为"已配置/未配置"。但优先级划分需要更细致的考量：缺失的控制措施是风险放大器，其严重性取决于所保护的身份类型、该身份的权限范围以及下游存在的其他控制措施。

　　直接影响暴露面的关键控制类别包括：

　　认证与会话控制：多因素认证(MFA)、单点登录(SSO)强制执行、会话/令牌过期、刷新控制、登录速率限制、账户锁定

　　凭证与密钥管理：禁止明文/硬编码凭证、强哈希算法、安全身份提供者(IdP)使用、规范的密钥轮换

　　授权与访问控制：强制的访问控制、登录和授权尝试审计、SSO流程的安全重定向/回调

　　协议与加密控制：行业标准协议、避免遗留协议、前瞻性部署(如抗量子加密)

　　优先级视角：控制缺失的影响因场景而异。普通账户缺失MFA与关联关键业务系统的特权账户缺失MFA具有本质区别。控制态势必须结合上下文评估。

　　亟待解决的身份安全缺口 实用检查清单助您评估应用资产并改善组织身份安全态势：

　　识别最常见的安全缺口

　　简要说明修复重要性

　　建议现有工具/流程的改进措施

　　需注意的其他事项

　　2. 身份卫生：攻击者(及您的AI Agent)钟爱的结构性弱点

　　卫生问题无关整洁度，而关乎所有权、生命周期和存在意图。它需要回答：谁拥有该身份?为何存在?是否仍有必要?

　　导致系统性暴露的常见卫生问题包括：

　　本地账户：绕过集中策略(SSO/MFA/条件访问)，偏离标准，难以审计

　　孤儿账户：无责任主体=无人察觉滥用、无人清理、无人验证

　　休眠账户："未使用"不等于安全，休眠往往意味着未受监控的持久存在

　　无主或目的模糊的非人类身份(NHI)：随自动化和Agent工作流激增的服务账户、API令牌、Agent身份

　　陈旧的服务账户与令牌：权限累积、轮换停滞，"临时"变为永久

　　优先级视角：卫生问题是数据泄露的原材料。攻击者偏爱被忽视的身份，因其防护更弱、监控更少、更可能保留多余权限。

　　3. 业务背景：风险与影响成正比，而非仅考虑可利用性

　　安全团队常仅依据技术严重性排序，这并不全面。业务背景需要回答：若遭入侵，会导致什么后果?

　　业务背景包括：

　　应用或工作流的业务关键性(收入、运营、客户信任)

　　数据敏感性(个人身份信息PII、健康信息PHI、财务数据、受监管数据)

　　信任路径的爆炸半径(可触达的下游系统)

　　运营依赖性(导致中断、交付延迟、薪资发放失败等)

　　优先级视角：身份风险不仅是"攻击者能否进入"，更是"进入后会发生什么"。低影响系统中的高危暴露不应优先于关键系统中的中度暴露。

　　4. 用户意图：多数身份项目缺失的维度

　　身份决策常忽视关键问题：该身份当前试图执行什么操作?是否符合其存在目的?

　　意图在以下场景尤为关键：

　　自主调用工具执行操作的Agent工作流

　　看似合法但存在顺序或目标异常的机器间(M2M)模式

　　凭证有效但使用异常的内部风险相邻行为

　　推断意图的信号包括：

　　交互模式(调用工具/端点的顺序)

　　时间异常与访问频率

　　实际使用权限与分配权限的差异

　　跨应用遍历行为(非常规横向移动)

　　优先级视角：具有异常活跃意图的弱管控身份应优先处理，因其不仅存在漏洞，可能正在被利用。

　　(1) 毒性组合：风险的非线性升级

　　最大优先级误区是将问题简单叠加。实际身份事件具有乘数效应——攻击者会串联弱点。当控制缺口、卫生问题、高影响力和可疑意图同时出现，风险呈非线性升级。

　　需立即处理的毒性组合示例：

　　① 初级毒性组合(易攻击目标)

　　孤儿账户+缺失MFA

　　孤儿账户+缺失MFA+缺失登录速率限制

　　本地账户+缺失登录/授权审计日志

　　孤儿账户+过度权限(即使当前"看似正常")

　　② 活跃利用风险(时间敏感)

　　孤儿账户+缺失MFA+近期活动

　　休眠账户+近期活动(为何被激活?)

　　本地账户+暴露凭证迹象(或已知硬编码模式)

　　③ 高危系统性暴露

　　孤儿账户+缺失MFA+缺失速率限制

　　本地账户+缺失审计日志+缺失速率限制(静默入侵路径)

　　休眠NHI+硬编码凭证+无审计日志(持久、不可见的机器访问)

　　叠加业务关键性和敏感数据访问，即构成董事会级风险

　　④ 泄露警报

　　孤儿账户+休眠账户+缺失MFA+缺失速率限制+近期活动(结束休眠状态)

　　本地账户+休眠账户+缺失速率限制+近期活动

　　休眠NHI+硬编码凭证+并发身份使用

　　身份优先级管理的核心在于：毒性组合定义风险，而非孤立存在的单个问题。

　　(2) 可操作的优先级模型

　　决策修复顺序时，回答四个问题：

　　控制态势：缺失哪些预防/检测/验证措施?

　　身份卫生：是否明确所有权、生命周期和存在目的?

　　业务背景：入侵会造成何种影响?

　　用户意图：活动是否符合目的，或存在滥用迹象?

　　优先选择能最大程度降低风险的工作，而非单纯完成检查项：

　　修复一个毒性组合相当于解决数十个低背景发现的风险

　　目标是缩小暴露面，而非美化仪表板

　　5. 核心结论

　　身份风险不是清单，而是信任路径与背景构成的图谱。控制态势、卫生状况、业务背景和意图各自重要，但真正的危险来自它们的组合。围绕毒性组合建立优先级，才能停止追逐数量，真正降低现实世界中的泄露可能性和审计风险。