大多数身份管理项目仍沿用IT工单的优先级处理方式：按数量、紧急程度或"哪些未通过控制检查"来排序。当环境不再以人工操作为主或完成全面部署时，这种方法就会失效。

现代企业中，身份风险由多重因素复合形成：控制态势、卫生状况、业务背景和用户意图。单独来看每个因素或许可控，但真正的危险在于它们的毒性组合——当多个弱点同时存在，攻击者就能构建从入侵到影响的完整攻击链。

有效的优先级框架应将身份风险视为上下文暴露面，而非配置完整度。

1. 控制态势：将合规与安全视为风险信号而非勾选框

控制态势回答一个简单问题：如果出现问题，我们能否预防、检测并证明？

传统IAM（身份与访问管理）项目将控制措施评估为"已配置/未配置"。但优先级划分需要更细致的考量：缺失的控制措施是风险放大器，其严重性取决于所保护的身份类型、该身份的权限范围以及下游存在的其他控制措施。

直接影响暴露面的关键控制类别包括：

• 认证与会话控制
  • 多因素认证（MFA）、单点登录（SSO）强制执行、会话/令牌过期、刷新控制、登录速率限制、账户锁定
• 凭证与密钥管理
  • 禁止明文/硬编码凭证、强哈希算法、安全身份提供者（IdP）使用、规范的密钥轮换
• 授权与访问控制
  • 强制的访问控制、登录和授权尝试审计、SSO流程的安全重定向/回调
• 协议与加密控制
  • 行业标准协议、避免遗留协议、前瞻性部署（如抗量子加密）

优先级视角：控制缺失的影响因场景而异。普通账户缺失MFA与关联关键业务系统的特权账户缺失MFA具有本质区别。控制态势必须结合上下文评估。

亟待解决的身份安全缺口 实用检查清单助您评估应用资产并改善组织身份安全态势：

• 识别最常见的安全缺口
• 简要说明修复重要性
• 建议现有工具/流程的改进措施
• 需注意的其他事项

2. 身份卫生：攻击者（及您的AI Agent）钟爱的结构性弱点

卫生问题无关整洁度，而关乎所有权、生命周期和存在意图。它需要回答：谁拥有该身份？为何存在？是否仍有必要？

导致系统性暴露的常见卫生问题包括：

• 本地账户：绕过集中策略（SSO/MFA/条件访问），偏离标准，难以审计
• 孤儿账户：无责任主体=无人察觉滥用、无人清理、无人验证
• 休眠账户："未使用"不等于安全，休眠往往意味着未受监控的持久存在
• 无主或目的模糊的非人类身份（NHI）：随自动化和Agent工作流激增的服务账户、API令牌、Agent身份
• 陈旧的服务账户与令牌：权限累积、轮换停滞，"临时"变为永久

优先级视角：卫生问题是数据泄露的原材料。攻击者偏爱被忽视的身份，因其防护更弱、监控更少、更可能保留多余权限。

3. 业务背景：风险与影响成正比，而非仅考虑可利用性

安全团队常仅依据技术严重性排序，这并不全面。业务背景需要回答：若遭入侵，会导致什么后果？

业务背景包括：

• 应用或工作流的业务关键性（收入、运营、客户信任）
• 数据敏感性（个人身份信息PII、健康信息PHI、财务数据、受监管数据）
• 信任路径的爆炸半径（可触达的下游系统）
• 运营依赖性（导致中断、交付延迟、薪资发放失败等）

优先级视角：身份风险不仅是"攻击者能否进入"，更是"进入后会发生什么"。低影响系统中的高危暴露不应优先于关键系统中的中度暴露。

4. 用户意图：多数身份项目缺失的维度

身份决策常忽视关键问题：该身份当前试图执行什么操作？是否符合其存在目的？

意图在以下场景尤为关键：

• 自主调用工具执行操作的Agent工作流
• 看似合法但存在顺序或目标异常的机器间（M2M）模式
• 凭证有效但使用异常的内部风险相邻行为

推断意图的信号包括：

• 交互模式（调用工具/端点的顺序）
• 时间异常与访问频率
• 实际使用权限与分配权限的差异
• 跨应用遍历行为（非常规横向移动）

优先级视角：具有异常活跃意图的弱管控身份应优先处理，因其不仅存在漏洞，可能正在被利用。

毒性组合：风险的非线性升级

最大优先级误区是将问题简单叠加。实际身份事件具有乘数效应——攻击者会串联弱点。当控制缺口、卫生问题、高影响力和可疑意图同时出现，风险呈非线性升级。

需立即处理的毒性组合示例：

初级毒性组合（易攻击目标）

• 孤儿账户+缺失MFA
• 孤儿账户+缺失MFA+缺失登录速率限制
• 本地账户+缺失登录/授权审计日志
• 孤儿账户+过度权限（即使当前"看似正常"）

活跃利用风险（时间敏感）

• 孤儿账户+缺失MFA+近期活动
• 休眠账户+近期活动（为何被激活？）
• 本地账户+暴露凭证迹象（或已知硬编码模式）

高危系统性暴露

• 孤儿账户+缺失MFA+缺失速率限制
• 本地账户+缺失审计日志+缺失速率限制（静默入侵路径）
• 休眠NHI+硬编码凭证+无审计日志（持久、不可见的机器访问）
• 叠加业务关键性和敏感数据访问，即构成董事会级风险

泄露警报

• 孤儿账户+休眠账户+缺失MFA+缺失速率限制+近期活动（结束休眠状态）
• 本地账户+休眠账户+缺失速率限制+近期活动
• 休眠NHI+硬编码凭证+并发身份使用

身份优先级管理的核心在于：毒性组合定义风险，而非孤立存在的单个问题。

可操作的优先级模型

决策修复顺序时，回答四个问题：

1. 控制态势：缺失哪些预防/检测/验证措施？
2. 身份卫生：是否明确所有权、生命周期和存在目的？
3. 业务背景：入侵会造成何种影响？
4. 用户意图：活动是否符合目的，或存在滥用迹象？

优先选择能最大程度降低风险的工作，而非单纯完成检查项：

• 修复一个毒性组合相当于解决数十个低背景发现的风险
• 目标是缩小暴露面，而非美化仪表板

核心结论

身份风险不是清单，而是信任路径与背景构成的图谱。控制态势、卫生状况、业务背景和意图各自重要，但真正的危险来自它们的组合。围绕毒性组合建立优先级，才能停止追逐数量，真正降低现实世界中的泄露可能性和审计风险。

参考来源：

Identity Prioritization isn't a Backlog Problem - It's a Risk Math Problem

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）