CyberArk今天公布一份针对身分安全导入趋势以及企业在采行相关策略的相对成熟度调查报告。调查结果显示，只有9%的组织采取了敏捷、全面和成熟的方法，保护其混合和多云环境中的身分安全。该报告提出了一个身分安全成熟度模型，以协助资安主管评估其当前策略，察觉风险并采取行动以强化资安韧性。

「全面身分安全成熟度模型：提高资安韧性的标准」（The Holistic Identity Security Maturity Model: Raising the Bar for Cyber Resilience）报告收集了CyberArk和Enterprise Strategy Group（ESG）对1,500名资安专业人员（包括台湾在内）的调查结果。

根据此份全球调查，由资料驱动的模型识别出其中9%的公司拥有最成熟和全面的身分安全策略。这些变革性组织（Transformative organization）在部署身分安全工具时具备全面眼光，不但拥有敏捷体质，更表现出一种「错了就改，学得更快」的特性，甚至经历过多次成功的资安攻击事件依然如此。

然而，有42％的受访单位的身分安全计划都仅处於成熟度模型的最初阶段，缺乏基础工具和整合来快速应对身分安全相关风险。逐渐扩大的身分攻击面、IT复杂性和一些组织上的障碍导致了这样普遍的身分安全缺失。一些值得注意的发现包括：

策略和成果之间的差距：69％的高阶管理人员（台湾：71％）相信他们在身分安全相关决策上做出了正确的决定，而其他人员（技术决策者和实作者）认为如此的比例则为52％。

这个差距凸显了一个迷思，以为只要进行对的技术投资，就可以达到整体安全。但这只是故事的一部分，能与现有环境共同整合运作、打破各自为政模式以及强化训练，同时兼顾这些面向才能在战略上发挥最大投资效益。

分离的端点资料：92％的受访者（台湾：97％）认为端点安全或设备信任和身分管理是健全「零信任」策略的基本功，65％（台湾：82％，是所有国家中最高的）认为具备连结资料的能力对於有效保护端点最为关键。

力量分散：58％的公司有两个团队分别负责云端和地端身分安全防护，且依赖许多单一解决方案，让掌握即资安态势变得极为困难。

Enterprise Strategy Group（ESG）的资深分析师Jack Poller表示：「这份研究揭示了健全的身分安全策略和优异企业表现之间的关联性。更频繁和及时的成熟度评估可以协助确保对的使用者可以存取对的资料，同时公司可以在威胁将影响企业运作前迅速采取行动。」

藉由对於这些同侪资料的深度分析，全面身分安全成熟度模型（Holistic Identity Security Maturity Model）框架可协助企业评估其在身分安全四个面向的成熟度：

工具采购涵盖管理、特权控制、治理、身分验证和授权，以确保所有身分和身分类型的存取安全。

与公司既有IT和资安解决方案整合，以确保对所有企业资产和环境的存取安全。

自动化以确保持续遵循政策、行业标准和法规，并能对於大量例行工作或异常事件进行快速反应。

基於对身分行为和公司政策的深刻理解，建立持续的威胁侦测和反应能力。

CyberArk思惟领导行销总监Amita Potnis表示：「虽然63%的公司承认曾经遭受过基於身分的攻击，但考量攻击者持续大规模锁定身分进行攻击，这个百分比可能更高。」她说：「对於希??采用成熟的全面身分安全策略的公司而言，主要的重点是透过打破各自为政和采用整合和自动化的身分安全措施，确保所有身分（人和机器）可以安全地存取。我们的研究表明，许多公司已经开始在这领域进行投资，其中24%的公司今年将有超过总资安预算的10%投入身分安全专案。」

占所有受访单位9％，已经达到成熟度顶端的变革性组织（Transformative organization），采用统合的身分安全策略。CyberArk身分安全平台实现了这种方法，对人和机器等所有身分运用智慧特权控制扩师，并在整个身分生命周期中持续侦测和预防威胁。导入CyberArk，企业可以实现零信任和最小特权，并确保每个身分都可以安全地存取位於任何地方、来自任何地方的任何资源。