2025年身份治理与访问（IGA）现状调研报告

目录 2123人口统计学关于CyberArk（原名Zilla Security）国家，行业，部门，职位资历，公司规模，公司所有权类型 38 引言及主要发现 90%的组织在管理角色上遇到困难，或者已经放弃。IGA 是一项主要的手动活动。英国在IGA自动化方面领先于美国。集成和定制是自动化IGA的障碍组织因集成问题而难以管理应用程序权限合规推动用户访问审查，大多数组织拥有5个以上合规义务用户访问审查的范围正在扩大，且似乎没有尽头。巨大的努力才能完成用户访问审计满意度评价孤儿和过度权限是一个普遍问题为一名新员工提供所需资源通常需要一周或更长时间，这会影响员工的生产力。身份安全的关注度提升推动了运营所有权的变化 引言并且关键发现 引言与方法论 随着传统网络安全边界的消融，应用迁移到云端，人们普遍认为身份既是新的边界，也是网络攻击的主要途径。组织正面临越来越多的合规要求、不断扩大的应用环境，以及更多由更广泛的员工（包括IT和非IT人员）拥有的应用。然而，传统的身份治理和行政（IGA）工具已经存在二十年以上，它们根本无法满足这一现实。越来越多地，组织下的每一项权利——无论是授予给人类用户还是非人类用户——都受到用户访问审查，这带来了重大且日益增长的挑战。 身份和安全管理领导者在其自动化路线图上处于何种位置？他们在日常任务中遇到多少挑战，例如招聘新员工、满足审计员要求或撤销过度权限？ 作为现代身份治理和管理的领军提供商，CyberArk（原名Zilla Security）提供了一个SaaS平台，该平台自动化了身份合规、资源分配和安全的过程。我们发起这份报告，旨在揭示当今企业中IGA的真实状况。 研究结果照亮了一个开始成熟的行业，但其中只有6%完全投入到自动化IGA流程中。然而，大多数人正在看到依赖手动执行带来的负面影响。 方法学 为了更深入地了解当前的IGA流程状况，我们委托进行了一项针对300名身份管理领导者的调查，其中80%来自美国，20%来自英国。受访者按比例来自员工人数在250至1,500人和1,501至15,000人的公司。我们从金融服务领域的组织中选择了40%的受访者，从医疗/制药领域中选择了25%，其余受访者来自其他行业，不包括服务业、物流、交通和教育行业。 本报告由全球调研公司Global Surveyz Research在线发布。受访者通过全球B2B调研小组招募，通过电子邮件邀请完成调查，所有回复均在2024年10月收集。平均花费在调查上的时间为4分22秒。对于大多数非数值多项选择题的选项排序是随机的，以防止答案中的顺序偏差。 主要发现 手动执行关键IGA任务是常态——不到6%的公司实现了全面自动化 身份领袖表示，满足审计员所需付出的努力很高，39%的人感到难以跟上，而且情况变得越来越困难。99%的企业为了满足合规法规完成用户访问审查，其中55%的企业需 要对其5项或更多法规进行审查。91%的企业报告称，过去三年这项任务的范畴有所扩大，84%的企业预计用户访问审查的范畴将继续扩大。 84%的企业完全依赖于或高度依赖手动流程来完成用户接入审查和配置之类的活动。 83%的人表示，与IGA系统集成的困难是手动IGA流程的主要原因。 与旧版IGA解决方案的应用集成成本和难度非常高。因此，已经部署IGA解决方案的认证领导者中，只有11%成功集成了50%或更多的应用程序。 孤儿用户或过多的权限造成安全风险，并且98%的身份与安全领导层表示，在定期审查中检查的所有权益权限中有6%或更多需要撤回，因为它们是孤儿用户、不必要的或过多的。在52%的情况下，需要撤回的权限超过11%。过度权限是一个日益增长的风险，超过一半的组织中，10%以上的权限被认为是过度的。 超过一半的企业无法在7天内为新员工配置访问权限和应用程序权限。 自动化程度较低的行业在获取审计方面更感困难，且在为新用户提供服务方面速度较慢。93%的医疗保健公司严重依赖或完全依赖手动流程进行IGA， 其次是84%的金融服务组织。这种影响可以从他们与其他行业平均相比在日常工作上投入的巨大努力中看出。56%的医疗保健受访者表示，访问审查是一项重大的努力，他们的团队无法支持，而平均为39%，在金融领域——39%的ID领导者承认，配置可能需要超过11天才能完成，远高于平均的29%。 只需10%的人能够在两天内完成提供应用程序权限，而有29%的人表示至少需要11天才能完成。界定和维护业务角色可以使得权限提供更加简单快捷，但90%的人表示直到现在这项任务所耗精力都阻碍了他们。 调查报告发现 IGA 是一项主要的手动活动。 仅仅6%的身份证安全和领导表示他们的身份治理与管理（IGA）流程已完全自动化。 在另一端的天平上，84%的机构高度依赖或完全依赖人工流程。用于执行关键任务，例如用户访问审查和提供细粒度权限。 在有限的资源下，利用自动化替代人工努力来处理这些流程，企业可以大幅度节省成本。然而，IGA解决方案已经存在二十年了，传统供应商在使他们的解决方案适应所需自动化水平方面做得很少。 英国在IGA自动化方面领先于美国。 通过按地区分解响应，数据显示英国的身份领袖比美国的同行更有可能自动化IGA流程。在英国，32%的受访者表示他们的IGA流程主要是或完全自动化，而美国只有13%。这可能与推动实现GDPR合规性有关，或者仅仅是文化差异的表现。 也值得注意的是医疗保健行业比其他任何行业都更加依赖手工流程，其次是金融服务行业。这些行业高度受监管，通过自动化其内部治理流程以符合规定并简化工作方式，可以从中获得巨大收益。 集成和定制是自动化IGA的障碍 是什么因素让身份和安全领域的领导者们无法摆脱对IGA流程的过度手动执行？ 对于82%的ID领导者来说，整合和定制的困难是未能使用IGA解决方案自动化的主要原因。这包括64%的人提到整合IGA解决方案与SaaS和其他云应用的努力，以及18%因定制和运营解决方案所需的高资源投入而受限的人。 关键所在？整合来自不同应用的数据，使用传统IGA技术极其困难。仅6%的人将成本问题视为障碍——这表明如果解决方案能够解决复杂性挑战，预算可能会随之而来。 组织因集成问题而难以管理应用程序权限 为了理解当前的身份和安全性解决方案实施后的成功，我们询问了那些实施了大部分自动流程（如图1所示）的16%的企业身份和安全管理领导人，分享他们已达到的跨业务的整合程度。 财经应用，营销工具和定制应用61%的受访者仅将25个或更少的申请与他们的IGA解决方案集成。此外，仅有11%的人成功整合了超过一半的组织应用。整合覆盖率的巨大差距意味着权限没有得到管理——导致身份安全危机。 尽管现代组织在业务中使用了数百或数千个应用程序，包括人力资源系统， 合规推动用户访问审查，大多数组织拥有5个以上的合规义务。 无论是PCI-DSS、GDPR、萨班斯-奥克斯利法案（SOX）、ISO 27001、NIST，还是其他众多广泛且不断发展的监管框架，合规性正推动定期访问审查的需求。99%的企业进行这些审查是为了合规而非安全目的。 然而，只有19%的人要面对单一的规定。55%的身份领袖需要执行五项或更多法规的审查。，并且在3%的情况下，组织拥有超过15个合规框架需要完成用户访问审查。 管理这一承诺的成本巨大，尤其是在缺乏自动化工具协助完成这些审查的情况下。 用户访问审查的范围正在扩大，且似乎没有尽头。 我们要求身份和安全领导人考虑过去三年用户访问权限审查的范围是如何演变的，并展望未来，预测未来三年可能发生的改变。 91%的受访者表示自2022年以来范围有所扩大，84%的人相信在2028年之前将出现类似的增长。仅仅10%的身份领导者认为将不会发生改变，仅有6%的人表示他们预期范围会缩小。 随着对合规努力的要求的增加，自动化IGA流程的需要可能会增加。 大量努力才能完成用户访问审查，以满足审计员的满意度 随着需要满足的监管要求不断增加，身份领导者们分享了执行相关任务有多么困难。 仅有18%的人没有遇到与合规努力相关的问题，而其他82%的受访者表示，支持用户评论需要付出大量努力。对于43%的身份领导者来说，这项重大努力可以通过现有员工来管理，而39%的人则在与日益增长的用户访问审查范围的管理努力中感到困难。为身份和安保团队提出重大挑战。 观察按行业划分的反馈，很明显，医疗保健行业面临的最大挑战。对于56%的医疗机构身份管理领导者来说，管理用户访问审查所需的高强度工作超出了他们的人力所能支持，而不感到吃力。正如我们在图2中看到的，93%的医疗机构公司正依赖人工流程来完成这项任务——在这里我们可以清楚地看到结果。 孤儿和过度权限是一个普遍问题 孤儿帐户或过度的权限是定期审查时常见的结果。这些权限至关重要需要找出并移除，这项功能是IGA解决方案不可或缺的部分。重要的是审查范围应包括人和非人账户，后者包括云环境中的服务帐户、自动化或脚本帐户，以及与日志或监控相关的服务帐户。 98%的身份证领导报告称，所有审查的权限中，6%及以上需要撤销，作为定期审查的一部分。超过一半（52%）的人承认11%需要撤销——超过十分之一。 当然，以这种速度发现过度权限并不令人安心，因为这表明了重大的网络安全风险。身份泄露是网络攻击的首要途径。 为一名新员工提供所需资源通常需要一周或更长时间，这会影响员工的生产力。 55%的受访者表示，全面为新员工提供必要的访问和应用权限需要7天或更长时间。仅有10%的ID领导者表示业务能够在1-2天内提供接入权限。在29%的情况下，这至少需要11天。这给企业造成了成本和挫折点，因为新员工在等待获得完成工作的必要访问权限时无法发挥作用。 为新用户提供服务的时间在各个行业之间差异很大。在金融服务行业——这项调查表明该行业比平均水平更依赖手动流程——39%的团队需要11天或更长时间来为新员工提供服务。 我们还可以看到地理差异导致的巨大变化。虽然在美国，34%的ID领导者表示为新用户提供服务至少需要11天，但在英国，这一比例仅为7%。正如我们在图2中看到的，英国更有可能拥有大部分或完全自动化的IGA流程，这可能解释了为什么他们能够如此快速地为用户提供访问权限。 90%的组织在管理角色上遇到困难，或者已经放弃。 一个组织的用户生命周期包括加入者、调动者和离职者。一个高效的身份治理解决方案应该使每个流程都变得更快速、更高效和更可靠。 遗产IGA解决方案通常需要组织维持复杂的角色和资源配置规则来自动化这些活动。 很遗憾，90%的身份证安全和领导人员都在努力定义这些角色。因此，他们无法使用传统解决方案自动化其流程，或者只能付出巨大的努力来实现自动化。 身份安全的关注度提升推动了运营所有权的变化 传统上，身份管理一直是IT团队的责任。随着身份管理成为日益增长的安全关注点，出现了一种趋势，即由CISO领导的网络安全组织负责监督身份治理职责。 公司规模越大，IGA活动被CISO监管的可能性就越高，员工人数超过10,000人的公司最有可能采用这种结构。 人口统计学 国家，行业，部门，职位资历，公司规模，公司所有权类型 关于CyberArk CyberArk（原名Zilla Security）是现代身份治理和行政（IGA）的领先提供商，提供一套SaaS平台，自动化身份合规、配置和安全管理流程。CyberArk凭借其快速实现价值的能力，为常用和定制应用程序提供最全面的应用集成功能。CyberArk AI配置文件消除了创建和维护定义角色或组的规则这一繁琐且几乎不可能的过程。通过自动化，CyberArk客户能够以5倍的速度部署，以80%的精力完成访问审查，并以60%的ITSM票证减少快速配置。 关于更多信息，请访问www.cyberark.com或关注LinkedIn。 请求演示 关于CyberArk