由于發(fā)生的新冠疫情加速了全球數(shù)字化轉(zhuǎn)型的努力,世界各地的企業(yè)不得不迅速適應(yīng)并實(shí)現(xiàn)數(shù)字化,這給監(jiān)管機(jī)構(gòu)和政策制定者帶來(lái)了更大的壓力,以保護(hù)公眾免受與這種“新常態(tài)”相關(guān)的風(fēng)險(xiǎn)。例如,美國(guó)總統(tǒng)拜登在2021年頒布了一項(xiàng)行政命令,以改善美國(guó)的網(wǎng)絡(luò)安全。這是一個(gè)很好的例子,說(shuō)明這些問(wèn)題事關(guān)國(guó)家安全。而這種壓力反過(guò)來(lái)又轉(zhuǎn)移到必須承擔(dān)合規(guī)負(fù)擔(dān)的安全團(tuán)隊(duì)身上。
關(guān)鍵的監(jiān)管變化
保護(hù)公民和服務(wù)(尤其是那些至關(guān)重要的服務(wù))免受攻擊,無(wú)疑是監(jiān)管機(jī)構(gòu)和政策制定者正在進(jìn)行的一場(chǎng)斗爭(zhēng)。事實(shí)上,許多政府部門往往會(huì)成為網(wǎng)絡(luò)攻擊的受害者,因?yàn)樗鼈儞碛写罅坑袃r(jià)值的數(shù)據(jù)。隨著技術(shù)的進(jìn)步,監(jiān)管政策也必須跟上步伐,以保護(hù)企業(yè)免受日益復(fù)雜和頻繁的網(wǎng)絡(luò)攻擊。
近年來(lái)最大的監(jiān)管變化是歐盟在2018年發(fā)布的GDPR法規(guī)。這促進(jìn)數(shù)據(jù)保護(hù)和隱私領(lǐng)域發(fā)生了重大變化,強(qiáng)調(diào)了安全措施的重要性,并規(guī)定了企業(yè)管理數(shù)據(jù)和客戶信息的方式。在某些部門,監(jiān)管標(biāo)準(zhǔn)要求在處理關(guān)鍵和機(jī)密數(shù)據(jù)時(shí)實(shí)施身份驗(yàn)證方法和安全訪問(wèn)控制。
然而,并不是所有的認(rèn)證方法都能應(yīng)對(duì)當(dāng)今的網(wǎng)絡(luò)威脅。雖然采用了用戶名和密碼組合等基本身份驗(yàn)證,甚至基于短信的一次性密碼(OTP)等雙因素身份驗(yàn)證(2FA)形式,但在保護(hù)數(shù)據(jù)、系統(tǒng)和應(yīng)用程序免受網(wǎng)絡(luò)攻擊者攻擊方面,它們還不夠強(qiáng)大。作為回應(yīng),發(fā)布的一些行業(yè)法規(guī)開始解決訪問(wèn)和控制的認(rèn)證問(wèn)題,而其他法規(guī)則依靠零信任等框架提供指導(dǎo)。
2021年6月,歐盟委員會(huì)公布了其修訂電子身份識(shí)別、身份驗(yàn)證和信任服務(wù)(eIDAS)授權(quán)的計(jì)劃,旨在確保企業(yè)、政府機(jī)構(gòu)和個(gè)人在旅行時(shí)進(jìn)行安全的數(shù)字交互。該法規(guī)將涉及在線身份驗(yàn)證、數(shù)字簽名和國(guó)家電子身份證政策。
網(wǎng)絡(luò)攻擊概況
新冠疫情以驚人的速度加速了網(wǎng)絡(luò)犯罪的增長(zhǎng)。隨著企業(yè)快速部署遠(yuǎn)程系統(tǒng)和網(wǎng)絡(luò)以支持家庭工作,網(wǎng)絡(luò)攻擊者利用了越來(lái)越多的安全漏洞。一旦目標(biāo)受到攻擊和破壞,網(wǎng)絡(luò)犯罪分子就可以自由地從受害者那里尋找并獲取有價(jià)值的數(shù)字資產(chǎn),尤其是那些身份驗(yàn)證和訪問(wèn)憑據(jù)薄弱的企業(yè)。網(wǎng)絡(luò)犯罪分子可以使用多種方法,這些方法專門用于竊取安全措施不強(qiáng)的企業(yè)的憑據(jù)。
例如中間人(MitM)攻擊,其中網(wǎng)絡(luò)攻擊者秘密中繼并可能改變認(rèn)為他們直接相互通信的兩方之間的通信。當(dāng)一些在線用戶在創(chuàng)建他們的各種帳戶時(shí)選擇通用或常用密碼時(shí),就會(huì)發(fā)生密碼泄露的情況。這樣,網(wǎng)絡(luò)攻擊就可以使用這些密碼登陸用戶的帳戶,以獲取他們的私人信息。
當(dāng)網(wǎng)絡(luò)攻擊者欺騙移動(dòng)提供商將目標(biāo)的手機(jī)號(hào)碼更改為他們可以控制的SIM卡時(shí),就會(huì)發(fā)生SIM交換。用戶和身份驗(yàn)證設(shè)備(他們的手機(jī))基本上都已被克隆,服務(wù)只是在回復(fù)該號(hào)碼。從那里,針對(duì)原始用戶的OTP和其他憑據(jù)驗(yàn)證被定向到網(wǎng)絡(luò)攻擊者。
網(wǎng)絡(luò)釣魚通過(guò)偽裝成受信任或合法來(lái)源的方式進(jìn)行,通常是通過(guò)電子郵件并誘騙目標(biāo)打開網(wǎng)站或提供的鏈接實(shí)現(xiàn)的。然后將提示目標(biāo)將他們的登錄詳細(xì)信息提供給被認(rèn)為是受信任的網(wǎng)站,并在不知情的情況下與網(wǎng)絡(luò)攻擊者共享其信息。這種方法的使用是非常廣泛和普遍的。
實(shí)施的安全解決方案
最基本的雙因素身份驗(yàn)證(2FA)以及傳統(tǒng)的用戶名和密碼,在保護(hù)數(shù)據(jù)和免受現(xiàn)代網(wǎng)絡(luò)威脅的復(fù)雜程度方面并不先進(jìn)。為了繼續(xù)進(jìn)行新的數(shù)字化轉(zhuǎn)型,同時(shí)更好地保護(hù)自己,企業(yè)應(yīng)考慮采用更強(qiáng)大的身份驗(yàn)證和安全性的新方法,以有效抵御和防止新出現(xiàn)的網(wǎng)絡(luò)威脅。
多因素身份驗(yàn)證(MFA)和強(qiáng)大的雙因素身份驗(yàn)證(2FA)已被證明可以提供這一功能,要求用戶提供多個(gè)驗(yàn)證步驟來(lái)證明其身份。為了最好地保護(hù)個(gè)人和企業(yè)的數(shù)據(jù),并防止公共服務(wù)大規(guī)模中斷,安全協(xié)議需要結(jié)合更強(qiáng)大的身份驗(yàn)證并遵守政府法規(guī)。例如,通過(guò)基于硬件的身份驗(yàn)證和線上快速身份驗(yàn)證服務(wù)( FIDO2 )增強(qiáng)驗(yàn)證,可以進(jìn)一步應(yīng)對(duì)破壞安全憑證的嘗試。
這種創(chuàng)新方式能夠抵御中間人攻擊和網(wǎng)絡(luò)釣魚,同時(shí)阻止用戶受到損害。作為其數(shù)字化轉(zhuǎn)型計(jì)劃的一部分,谷歌公司于2021年10月宣布計(jì)劃將其1.5億用戶自動(dòng)注冊(cè)到雙因素身份驗(yàn)證(2FA)計(jì)劃中,并使其成為200萬(wàn)YouTube創(chuàng)作者的必需流程。
很多的網(wǎng)絡(luò)攻擊集中在憑據(jù)盜竊上,強(qiáng)大的身份驗(yàn)證是大幅降低網(wǎng)絡(luò)攻擊影響的關(guān)鍵。隨著越來(lái)越多的企業(yè)開始實(shí)施數(shù)字化轉(zhuǎn)型計(jì)劃,他們必須確保部署的安全程序既符合法規(guī)又結(jié)合了強(qiáng)大的身份驗(yàn)證來(lái)阻止網(wǎng)絡(luò)攻擊。例如,通過(guò)基于硬件的身份驗(yàn)證進(jìn)行的額外驗(yàn)證,這有助于抵消與被盜憑據(jù)相關(guān)的風(fēng)險(xiǎn)。硬件支持的安全設(shè)備在消除網(wǎng)絡(luò)釣魚和中間人攻擊方面處于領(lǐng)先地位,可以保證用戶的憑據(jù)不被泄露,并保護(hù)企業(yè)的利益不受侵犯。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。