Doug Merritt, Giám đốc điều hành của Splunk, đã phát biểu trước một nhóm các doanh nhân ở Thung lũng Silicon vào cuối năm ngoái và tuyên bố rằng “các vành đai an ninh bị phá hủy hoàn toàn và chúng sẽ không quay trở lại. ” Đó không phải là lời kêu gọi vũ trang để bắt đầu loại bỏ nhiều năm đầu tư vào các công nghệ tường lửa, IDS / IDP, CASB, DLP, SIEM / SOAR và EDR / XDR mà là sự công nhận nghiêm túc rằng mọi người hiện là chu vi bảo mật của mọi hiện đại. xí nghiệp. Ngày nay, sự an toàn của các công ty thương mại phụ thuộc hoàn toàn vào việc quản lý thông tin đăng nhập của người dùng cuối và hành vi của người dùng cuối.
Các thủ tục xác thực và ủy quyền là những biện pháp phòng thủ chính trong chiến tranh mạng du kích, trong đó mọi người dùng cuối đều là một con đường nguy hiểm tiềm tàng. Thật không may, các nhà cung cấp cung cấp giải pháp trong không gian này thường sử dụng ngôn ngữ có thể gây nhầm lẫn và gây hiểu lầm. Họ không phân biệt được quyền truy cập, đặc quyền hành độngvà quyền thực thể. Ví dụ, một đối tác kinh doanh nhân sự có thể có quyền truy cập vào mô-đun lương Ngày làm việc; cô ấy có thể sửa đổi bảng lương (một đặc quyền hành động); nhưng cô ấy có thể không xem hoặc sửa đổi hồ sơ bồi thường điều hành (một quyền thực thể).
Các điều khoản cho phép, đặc quyền và quyền được sử dụng thay thế cho nhau bởi nhiều nhà cung cấp. Một số gây nhầm lẫn bằng cách đưa ra thuật ngữ về quyền "hạt thô" và "hạt mịn" theo những cách làm sáng tỏ khả năng của sản phẩm của họ.
Hầu hết các công cụ xác thực và ủy quyền hiện có trên thị trường không phải là giải pháp phù hợp cho tất cả. Các sắc thái liên quan đến việc quản lý thông tin xác thực và hành vi của các cá nhân thực hiện công việc trong môi trường ứng dụng, dữ liệu và cơ sở hạ tầng là khá khác nhau. Cho đến nay, không có nền tảng toàn diện nào cung cấp phạm vi bao phủ đầy đủ của tất cả các môi trường này với sự tinh vi cần thiết để quản lý chi tiết các quyền, đặc quyền và quyền được hưởng.
Tin tốt là một số nhà cung cấp đang giải quyết vấn đề đó. Thị trường xác thực và ủy quyền thường được chia thành ba lĩnh vực bổ sung: quản lý danh tính và truy cập (IAM), quản lý và quản trị danh tính (IGA) và quản lý truy cập đặc quyền (PAM). Các nhà lãnh đạo trong mỗi lĩnh vực này đang lấn sân sang các không gian liền kề một phần dựa trên nhu cầu hiện tại của khách hàng và một phần do cơ hội mở rộng doanh thu rõ ràng.
Ví dụ: Okta - một nhà lãnh đạo trong IAM - đã công bố kế hoạch cung cấp Khả năng IGA và PAM vào mùa xuân năm 2022 tại hội nghị người dùng năm 2021. ForgeRock - một giải pháp IAM phổ biến khác - đã giới thiệu các khả năng IGA vào năm 2019. Và cuối cùng, CyberArk - nhà lãnh đạo lâu năm trong PAM - đã mua lại Idaptiv vào năm 2020 với ý định bổ sung khả năng xác thực IAM, đăng nhập một lần và đa yếu tố vào nền tảng của nó.
Trong khi các nhà lãnh đạo trong lĩnh vực xác thực và ủy quyền đang mở rộng khả năng của nền tảng của họ để cố gắng cung cấp các giải pháp hấp dẫn hơn, cộng đồng VC đã và đang đổ tiền vào nhiều công ty khởi nghiệp cung cấp các dịch vụ bảo mật dựa trên danh tính (IBS) chi tiết hơn nhiều.
Hơn 1 tỷ đô la vốn đầu tư mạo hiểm giai đoạn đầu / Series A / Series B đã được đầu tư vào các công ty IBS từ năm 2018 đến năm 2020. Các công ty IBS cũng đã thúc đẩy làn sóng đầu tư bảo mật cao độ trong suốt đại dịch. Theo Crunchbase, thêm 2 tỷ USD đã được phân phối cho các công ty khởi nghiệp IBS trong tất cả các giai đoạn đầu tư trong nửa đầu năm 2021.
Số tiền này sẽ đi về đâu? Nó đang được sử dụng bởi các công ty như Saviynt và Britive để mở rộng khả năng IGA và PAM thông thường vào môi trường đa đám mây. XIX, Validsoft và Imprivata đang phát triển các dịch vụ xác thực yếu tố sinh trắc học mới. Trulioo, Jumio và Socure cung cấp khả năng xác minh danh tính thân thiện với người tiêu dùng. Beyond Identity và Axiad có thể được sử dụng để xác thực không cần mật khẩu. Infinicloud và Wootcloud cung cấp khả năng nhận dạng thiết bị. PlainID và Styra hoạt động như các công cụ chính sách độc lập có thể được truy cập bởi nhiều dịch vụ xác thực và ủy quyền. Aserto, Authzed và Oso là các bộ công cụ dành cho nhà phát triển có thể được sử dụng để xây dựng quy trình xác thực và ủy quyền dành riêng cho ứng dụng.
Chúng tôi có thể tiếp tục, nhưng bạn có ý tưởng. Chức năng của các nền tảng tất cả trong một đang được giải cấu trúc thành một chuỗi các dịch vụ có thể được sử dụng để phát triển các quy trình bảo mật dành riêng cho người dùng cuối cho các nhóm công việc, ngành kinh doanh hoặc cộng đồng khách hàng cụ thể.
Vì vậy, ai sẽ chiến thắng trong tương lai? Liệu các nền tảng hợp nhất sẽ chiếm được phần lớn thị trường IBS hay các giải pháp tự thực hiện sẽ phát triển nhanh chóng do các yêu cầu riêng của các nhóm công việc cụ thể hoặc mong muốn cung cấp trải nghiệm độc đáo cho khách hàng trả tiền?
Có lẽ câu trả lời là cả hai. Các giải pháp bảo mật chung được cung cấp bởi các nền tảng hợp nhất có thể sẽ đủ để đáp ứng các yêu cầu nội bộ và đối mặt với khách hàng của nhiều công ty. Mặt khác, nhiều nhóm kỹ thuật phần mềm, nghiên cứu dược học và mô hình chuỗi cung ứng chắc chắn sẽ hoan nghênh các giải pháp DIY tùy chỉnh phù hợp với nhu cầu tài nguyên và thực tiễn công việc của họ.
Khoản đầu tư VC trị giá 3 tỷ đô la vào các công ty khởi nghiệp IBS được trích dẫn ở trên phải được dự đoán trên một số dự đoán khá lớn về tổng thị trường có sẵn cho các dịch vụ xác thực và ủy quyền phân tách. Các nhà đầu tư mạo hiểm có thể đặt cược rằng những dịch vụ này ban đầu có thể tăng cường và cuối cùng thay thế kiến trúc nền tảng khi các công ty làm mới hệ thống IBS của họ trong những năm tới. Tất cả chúng ta sẽ sớm tìm hiểu xem có thị trường cho các giải pháp IBS tùy chỉnh hay không.
