46%的企业身份活动,你的安全团队根本看不见。
这不是某个初创公司的危言耸听,是Orchid Security对真实环境的分析结果。近一半的身份操作发生在中心化身份与访问管理(IAM)系统的视野之外——本地账户、未托管应用、不透明的认证流、过度授权的机器身份,像暗物质一样漂浮在IT架构里。
Gartner给这个黑洞起了个新名字:Identity Dark Matter(身份暗物质)。
为了对付它,Gartner又造了一个新缩写——IVIP(Identity Visibility and Intelligence Platform,身份可见性与智能平台)。这玩意儿被定位为身份架构里的"第五层",专门干一件事:让藏起来的东西显形。
传统IAM vs IVIP:从"我以为"到"我证明"
传统IAM和身份治理(IGA)的盲区,是设计层面的。
它们只监控"正式 onboarding"过的应用,数据来源是人工填报和所有者自证,分析靠静态配置审查和"推断"。换句话说,安全团队拿到的更像是一份简历——候选人自己写的,而非背景调查。
IVIP的逻辑完全不同。它要的是运行时洞察(runtime insight)和应用级遥测数据,持续发现托管、未托管、甚至彻底断联的系统中的身份活动。分析方法是证据驱动的,不是"应该如此",而是"实际如此"。
一个关键区别:传统工具用基于规则的逻辑,IVIP用大语言模型(LLM)做意图发现和异常行为分析。前者是"如果匹配X规则就报警",后者是"这个账户的行为模式突然变了,虽然没触发任何规则"。
Orchid Security的数据点很扎心:46%的不可见活动里,大量是机器身份和非人类身份(NHI)。这些账户没有HR记录,不会休假,不会离职,权限却可能比普通员工还大。Agentic AI的崛起让情况更糟——自主运行的AI代理会自己创建账户、申请权限、调用API,传统IAM的审批流程根本追不上。
IVIP的三条及格线:发现、统一、智能
Gartner给IVIP划了三道硬门槛,不是功能清单,是架构要求。
第一,持续发现。 不能等着IT部门录入,要主动扫出人类和机器身份,包括那些从没走过正式IAM流程的"野户口"。
第二,身份数据平台。 把目录、应用、基础设施里的碎片信息拧成一股绳,变成一个能用的"真相源"。注意,不是又一个数据仓库,是能让其他系统消费的实时层。
第三,智能输出。 用分析和AI把散落的信号翻译成安全洞察。发现异常只是开始,要能说清楚"这个异常为什么重要"。
技术实现上,这意味着自动化修复(automated remediation)能力——发现过度授权或休眠账户后,能直接动手收窄权限,而不是生成又一份没人看的报告。
一个类比:传统IAM是门禁系统,IVIP是整栋楼的监控+热力图+行为分析。门禁只认卡,不管持卡人是员工还是捡了卡的外卖员;IVIP要回答的是"这个人为什么凌晨三点出现在17层,而且连续刷了七个没权限的房间"。
为什么现在必须谈这个
身份攻击面(IAM Attack Surface)的膨胀速度,超过了大多数企业的消化能力。
云迁移、SaaS爆炸、零信任转型、AI代理——每一项都在制造新的身份碎片。安全团队手里的IAM控制台,越来越像一张过期地图:标注了主干道,但新修的高速、私开的小门、临时搭建的浮桥,全在视野外。
Gartner把IVIP定义为"System of Systems"(系统的系统),这个定位很微妙。它不是取代现有IAM、IGA、PAM(特权访问管理),而是坐在它们上面,做跨系统的翻译和仲裁。
有点像数据湖早期的情况:每个部门都有自己的数据库,CIO突然需要一个地方看见全部。IVIP要做的,是身份领域的同样的事。
Orchid Security的实践中,IVIP的落地通常从"身份普查"开始——先搞清楚到底有多少账户、多少权限、多少 dormant(休眠)身份。这个基础动作,很多企业从来没做过。结果往往是:发现的机器身份数量是预期的3-5倍,休眠账户占比超过30%,而交叉权限(一个账户能同时触达生产和测试环境)的比例高到让合规团队失眠。
一个客户反馈很典型:"我们以为有2000个服务账户,实际有8000个。其中一半不知道是谁创建的,三分之一两年没用过,但权限还在。"
Agentic AI的加入让这个问题从"管理难题"变成"实时风险"。AI代理不会等审批,它们会在毫秒级创建临时身份、申请权限、执行任务、注销自己。传统IAM的工单流程是以小时或天为单位的,这个时差就是攻击窗口。
IVIP的应对思路是 runtime visibility(运行时可见性)——不依赖预注册,直接监控实际发生的身份事件。配合行为基线,能识别"这个AI代理的行为模式偏离了它的训练任务"。
但这里有个张力:IVIP需要大量数据输入,而数据本身涉及隐私和合规边界。欧盟《数字运营韧性法案》(DORA)、美国SEC的网络披露规则,都在要求更细粒度的身份审计。IVIP既是合规工具,也可能成为合规风险源——如果它自己成了新的数据集中点。
Gartner的框架里,IVIP位于Identity Fabric的Layer 5,上面还有Layer 6(编排)和Layer 7(体验)。这个分层暗示了演进路径:先看见,再协调,最后优化。很多企业连第一层都没走完。
产品侧,Orchid Security的做法是把IVIP能力打包成三个模块:Discovery(发现)、Intelligence(智能)、Automation(自动化)。发现层做持续扫描和资产清点;智能层做风险评分和异常检测;自动化层做权限调整和账户清理。三个模块可以独立部署,但价值在联动——发现的问题能自动修复,修复的结果反馈到风险模型。
一个技术细节:IVIP对应用级遥测的依赖,意味着它需要深度集成。不是API调用那么简单,要能理解应用内部的身份流——OAuth令牌怎么换的、SAML断言里带了什么、API密钥的生命周期管理。这对供应商的工程能力要求很高,也解释了为什么这个品类到现在才成熟。
市场格局上,Gartner的IVIP定义还在早期,但功能需求已经分散在多个现有品类里:云安全态势管理(CSPM)做部分发现,用户与实体行为分析(UEBA)做异常检测,IGA做权限治理。IVIP的野心是把它们缝合成一个连贯层,而不是让安全团队自己拼积木。
这对采购决策的影响是:买IVIP不是替换现有投资,是加一层抽象。CISO需要说服董事会,为什么要在已经复杂的身份栈上再加一块。答案通常是风险量化的故事——"看不见的46%里,藏着我们上次审计被扣分的全部项目"。
Orchid Security的客户数据里,IVIP部署后的典型收益包括:机器身份可见性从35%提升到90%以上,权限审查周期从季度缩短到实时,身份相关安全事件响应时间从数天降到数小时。但这些数字的前提是企业愿意先做"身份普查",接受"实际情况比预期糟糕得多"的事实。
这个心理门槛,可能比技术门槛更高。
你的企业做过完整的身份资产清点吗?发现的数字,和预期差了几个零?
热门跟贴