希拉里因邮件门而无缘美国总统、德勤管理员账号被黑客破解致使500多万份内部邮件遭泄漏……通过窃取口令实施网络攻击是黑客常用的一种策略。事实上,根据Verizon发布的《2017年数据泄露报告》,在黑客入侵导致的安全事件中,81%都与盗用身份有关。
政企单位需重新思考安全策略
冒用员工身份,是黑客访问政府/企业敏感数据最简单有效的方法。如果被盗的身份属于拥有更大访问权限的“特权用户”,那么情况就会变得更糟。通过利用窃取的“可信”身份,黑客就可以神不知鬼不觉地访问并泄漏敏感数据。这也难怪大多数网络攻击都是通过盗用身份来实现的。
他们一方面不断加强网络边界,甚至不惜花费巨额资金和人力资源进行软件升级、硬件加固、严防死守,但这些措施并没有很好地将“人”纳入到安全策略中,对于冒用身份窃取信息无能为力。
另一方面,很多企业仍然让员工使用单因素身份认证,也就是通常所说的静态密码。有的企业为了提高密码强度,会让员工定期更新复杂口令,但这无疑增加了记忆难度,因此,有60%左右的员工选择复用密码。
可以说,面对黑客的攻击手段,现有的方法并不足以应对日趋严峻的安全态势,政企单位需要重新思考安全策略。
“零信任”模型:不应相信任何人
以边界为中心的安全策略所带来的主要问题是,它依赖“内部网络的所有一切都是可以信任的”这一假设。但是,在当前以数据为中心的世界,威胁不仅仅来自外部,而是内外兼有,所以不再有可信的设备、接口和用户。“如果你信任所有东西,你就没有机会保护任何东西的安全”是互联网安全的症结所在。因此,知名安全公司Forrester在2010年提出了“零信任网络”的安全概念。
简言之,“零信任”的中心思想是:企业不应相信任何人,除非网络明确知道接入者的身份,否则任何人都不能进入。
要实现零信任策略,首先要有相应的条件策略,指定哪些人能访问哪些数据;其次就是要弄清用户身份,确保登入者的确就是其所声称的那个人。
为此,企业不仅应该根据员工职位提供相应的访问权限,甚至还应该实行“最小权限”策略,也就是将员工访问的权限,限制为他们本职工作所需的最低权限,并在恰当的时间提供这些权限,这样既可以限制黑客的横向攻击,又能在数据泄露前检测到异常行为。
目前流行的一种认证方式是多因素身份认证(MFA),在用户输入用户名和密码之后,只需在手机上同步完成人脸识别、指纹识别、图片密码、一键确认、OTP动态口令中的一种认证方式,即可顺利登陆,免除了等待和输入随机性短信验证码的麻烦。由于黑客也无法绕过这一环节,所以即使窃取到了账户密码也无法登陆。这方面的代表性产品是锦佰安科技的SecID多因素身份认证系统。
积极拥抱AI技术
除此之外,在人工智能时代,企业还应该积极拥抱AI技术,让零信任网络变得更加便捷和安全。这不仅在于AI能帮助企业采用基于风险的安全策略、自动调整用户配置文件和基于(网络)行为模式的访问策略,还在于AI技术能够革新身份认证的方式。
网络安全领域普遍认为,密码终将会消失,最终的身份认证方式是在用户无感知状态下完成的。这个目标正在AI技术的加持下逐步实现。
目前处于前沿领域的AI行为识别身份认证技术,可以通过传感器多维度、多规则地收集用户日常登录系统的物理操作行为和使用习惯,然后基于卷积神经网络和循环神经网络等技术剔除干扰和噪声,持续深度学习其行为特征,建立识别模型并与用户本人进行相似度匹配,即可对用户身份进行确认。
通过这些核心技术,不仅能有效进行人机识别,而且还能精确分辨操作者是否为用户本人。另外,在用户输入密码的过程,相当于同时完成了密码验证和行为验证,用户全程无感知,不增加身份认证步骤,不改变用户使用习惯,在增强身份鉴别的同时,兼顾了便捷性和易用性。这方面的代表性产品是锦佰安科技自主研发的SecID AI行为识别身份认证系统。
结 语
在企业实施以身份为中心的安全措施之前,冒用身份窃取数据是黑客主要采取的伪装手段。传统“筑墙”式的边界安全模式已经逐渐失效,企业需要更好的措施来应对全新的网络安全挑战,因此,零信任方法应运而生,而其中的一个关键因素就是确保只有合法可信的人才能登入相应系统、执行相关操作。多因素身份认证技术,以及AI行为无感知身份认证技术,将会助力政府/企业顺利实现这一理念。
8569
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
