社区编辑申请
注册/登录
摒弃传统的用户名和密码登录
安全 云安全
IT和安全团队需要加强最基本的访问形式,以防范不断变化的新兴安全风险。

​近几个月,你可能已经注意到,采用双重或多重验证来验证消费者和企业帐户的验证方式不断增多。这些工具帮助消费者和企业在面对防范身份欺诈、数据泄露、密码窃取和网络钓鱼/勒索软件攻击等方面,获得更多支持。

根据身份盗窃资源中心( ITRC )近期的统计数据显示,约 92% 的数据泄露与网络攻击有关,2022 年第一季度的数据泄露比 2021 年同期高出 14%。

ITRC统计数据还显示,仅在 2022 年第一季度,就有近一半(在 367 份里有154 份)的数据泄露通知中未囊括泄露原因,被指定为“未知”。这个“未知”数量比 2021 年全年的“未知”数据泄露原因高出 40%。

那么,CISO 如何让公司阻止这些网络安全攻击呢?他们必须保持对新兴技术的关注,以打击不断变化的威胁、系统漏洞和不良分子,适应不断变化的环境。

2022 年的网络黑客

事实证明,今年是企业安全漏洞遍地的一年。一个名为 Lapsus$ 的知名组织在南美开展活动,已经实施了多次的网络黑客攻击。该组织被证实是攻击 NVIDIA、三星、T-Mobile 和 Vodafone 的肇事者。

在 T-Mobile 案例中, 2022 年 3 月 Lapsus$ 成员通过网络钓鱼或其他形式的社交平台,入侵 T-Mobile 的网络,危害员工账户。一旦进入 T-Mobile 的客户账户数据库,网络犯罪分子就会试图找到与美国国防部和 FBI 相关联的 T-Mobile 账户。

Lapsus$还声称对微软的网络攻击负责。这家软件巨头证实,其内部  Azure DevOps 源代码库和被盗数据是通过员工帐户被黑客入侵的,但补充说只授予了部分访问权限。

最近另一起安全漏洞,是通过社交平台利用了一家公司的销售团队。一名伪装成公司 IT 部门员工的网络犯罪分子,联系了该公司的销售人员,要求提供 CRM 登录凭证。讽刺的是,这一请求是为用户及其核心系统,安装额外的安全插件以变得更加安全的幌子下提出的。

不幸的是,至少有一名销售人员上当受骗,犯罪分子能够获取他们的凭证,访问公司的 CRM 系统,并在客户数据库中下载目标数据。

这种类型的攻击正变得越来越普遍,并且传统的访问控制方法使这些攻击更难以解决。

实施多重身份验证

对于 CISO 而言,访问所有计算机、服务器、基础设施服务和商业应用程序时,必须至少实施双重身份验证 (2FA),并已成为当务之急。增加 2FA 将有助于阻止黑客和网络犯罪分子访问系统,尽管这些解决方案也可以被各种巧妙的技术所规避。

一些公司使用物理安全密钥,来实现额外的数据保护。例如,当多重身份验证可用时,物理安全密钥可以帮助阻止网络钓鱼攻击。它们有多种形式,易于使用,通常是保护数据安全的廉价手段。

利用现有员工设备引入的其他安全措施,来应对上述毫无戒心的销售人员提供系统登录凭据的案例。例如,一家公司开发了专供用户交易的二维码—— Nametag * 代码——与公司所有员工匹配,包括 IT 管理员。如果公司中的某个人收到共享登录信息,或其他一些关键数据的请求时,则该动态代码会验证这一请求——身份、意图和完成交易的权限都会得到验证和批准。如果没有它的同意,那么请求是无效的。

解决密码问题

我们如何解决用户密码问题?技术解决方案就是答案吗?例如,IT 专家能否通过将用户的用户名/密码,与其设备的物理距离相联,来提高数据安全性吗?是否有必要从培训、管理和用户行为角度入手,进行更深层次的培训?

创新的机会比比皆是。一些初创公司正将行为生物识别技术与 IT 身份管理的目的相结合起来。该平台评估有关个人的几个因素,例如,用户如何走路、大声说话、在键盘上打字或移动鼠标等等。单独来看,这些因素可能不足以确认用户身份。但是,当其中几个结合起来时,这些特征可以创建一个唯一的生物特征,以近乎 100% 的准确度识别用户。

在一个不稳定的世界中,面对日益偏远程/混合的工作性质,CISO 必须以多种方式保护对数据的访问,并努力做到以下几点:

  • 学习、理解并警惕网络犯罪分子一直尝试使用不断变化的工具和攻击方式。
  • 准备好一份网络攻击计划或事件响应手册。
  • 为攻击期间(或之后)的事件,准备好遏制和缓解的策略指南。
  • 了解并掌握基于 AI 的新技术,它有助于最大限度地降低网络安全风险。
  • 与其他企业和政府/网络安全社区共享数据知识和安全警报,以帮助其他人更加了解潜在威胁,以及如何最好地缓解这些潜在的破坏性事件。

随着外部恶意势力的崛起,以及乌克兰战争造成额外的 IT 安全压力,CISO 必须确保这种最基本的访问形式得到保障,并警惕新的和不断变化的安全风险。

来源:www.cio.com​

责任编辑:武晓燕 来源: 计算机世界
相关推荐

2021-08-27 11:15:54

2015-07-14 10:08:31

密码帐号密码数据保护

2017-07-05 15:09:52

密码token浏览器

2018-06-15 16:05:06

2019-06-14 15:10:54

2020-12-17 10:47:43

数据库密码账号

2021-06-09 13:28:40

密码安全身份认证数据安全

2012-03-16 10:44:14

密码

2020-05-17 15:54:21

密码漏洞攻击

2011-12-26 11:13:24

2020-10-13 14:57:20

网络安全数据技术

2020-10-13 11:04:11

账户密码个人隐私网络安全

2012-11-15 13:52:07

2018-10-11 15:51:32

2014-07-22 10:51:02

2020-06-02 07:00:00

会话安全黑客攻击

同话题下的热门内容

一篇文章让你了解 AWS 安全基础云安全态势管理工具的终极指南AWS公司首席安全官分析和探讨AWS公司的规范性安全性Gartner:中国云安全资源池创新洞察

编辑推荐

云端创新如何改变灾难恢复关于云安全的三个鲜为人知的秘密8个非常好的云安全解决方案Kubernetes的严重漏洞将所有服务器暴露在DoS攻击面前!2018年的十大云宕机事件,你中枪没?
我收藏的内容
点赞
收藏

51CTO技术栈公众号