數(shù)字化轉(zhuǎn)型戰(zhàn)略推動(dòng)了技術(shù)變革的快速發(fā)展。隨著網(wǎng)絡(luò)攻擊者尋求采用更多新技術(shù)，網(wǎng)絡(luò)攻擊的頻率也越來(lái)越高。為了應(yīng)對(duì)這種情況，全球監(jiān)管機(jī)構(gòu)和政策制定者一直在制定或修改相關(guān)法律，以保護(hù)各級(jí)敏感和關(guān)鍵數(shù)據(jù)。例如，歐盟通用數(shù)據(jù)保護(hù)條例(GDPR)如今成為數(shù)據(jù)保護(hù)和用戶隱私的主要標(biāo)準(zhǔn)，并加快了監(jiān)管變革的步伐。

由于發(fā)生的新冠疫情加速了全球數(shù)字化轉(zhuǎn)型的努力，世界各地的企業(yè)不得不迅速適應(yīng)并實(shí)現(xiàn)數(shù)字化，這給監(jiān)管機(jī)構(gòu)和政策制定者帶來(lái)了更大的壓力，以保護(hù)公眾免受與這種“新常態(tài)”相關(guān)的風(fēng)險(xiǎn)。例如，美國(guó)總統(tǒng)拜登在2021年頒布了一項(xiàng)行政命令，以改善美國(guó)的網(wǎng)絡(luò)安全。這是一個(gè)很好的例子，說(shuō)明這些問(wèn)題事關(guān)國(guó)家安全。而這種壓力反過(guò)來(lái)又轉(zhuǎn)移到必須承擔(dān)合規(guī)負(fù)擔(dān)的安全團(tuán)隊(duì)身上。

關(guān)鍵的監(jiān)管變化

保護(hù)公民和服務(wù)(尤其是那些至關(guān)重要的服務(wù))免受攻擊，無(wú)疑是監(jiān)管機(jī)構(gòu)和政策制定者正在進(jìn)行的一場(chǎng)斗爭(zhēng)。事實(shí)上，許多政府部門往往會(huì)成為網(wǎng)絡(luò)攻擊的受害者，因?yàn)樗鼈儞碛写罅坑袃r(jià)值的數(shù)據(jù)。隨著技術(shù)的進(jìn)步，監(jiān)管政策也必須跟上步伐，以保護(hù)企業(yè)免受日益復(fù)雜和頻繁的網(wǎng)絡(luò)攻擊。

近年來(lái)最大的監(jiān)管變化是歐盟在2018年發(fā)布的GDPR法規(guī)。這促進(jìn)數(shù)據(jù)保護(hù)和隱私領(lǐng)域發(fā)生了重大變化，強(qiáng)調(diào)了安全措施的重要性，并規(guī)定了企業(yè)管理數(shù)據(jù)和客戶信息的方式。在某些部門，監(jiān)管標(biāo)準(zhǔn)要求在處理關(guān)鍵和機(jī)密數(shù)據(jù)時(shí)實(shí)施身份驗(yàn)證方法和安全訪問(wèn)控制。

然而，并不是所有的認(rèn)證方法都能應(yīng)對(duì)當(dāng)今的網(wǎng)絡(luò)威脅。雖然采用了用戶名和密碼組合等基本身份驗(yàn)證，甚至基于短信的一次性密碼(OTP)等雙因素身份驗(yàn)證(2FA)形式，但在保護(hù)數(shù)據(jù)、系統(tǒng)和應(yīng)用程序免受網(wǎng)絡(luò)攻擊者攻擊方面，它們還不夠強(qiáng)大。作為回應(yīng)，發(fā)布的一些行業(yè)法規(guī)開(kāi)始解決訪問(wèn)和控制的認(rèn)證問(wèn)題，而其他法規(guī)則依靠零信任等框架提供指導(dǎo)。

2021年6月，歐盟委員會(huì)公布了其修訂電子身份識(shí)別、身份驗(yàn)證和信任服務(wù)(eIDAS)授權(quán)的計(jì)劃，旨在確保企業(yè)、政府機(jī)構(gòu)和個(gè)人在旅行時(shí)進(jìn)行安全的數(shù)字交互。該法規(guī)將涉及在線身份驗(yàn)證、數(shù)字簽名和國(guó)家電子身份證政策。

網(wǎng)絡(luò)攻擊概況

新冠疫情以驚人的速度加速了網(wǎng)絡(luò)犯罪的增長(zhǎng)。隨著企業(yè)快速部署遠(yuǎn)程系統(tǒng)和網(wǎng)絡(luò)以支持家庭工作，網(wǎng)絡(luò)攻擊者利用了越來(lái)越多的安全漏洞。一旦目標(biāo)受到攻擊和破壞，網(wǎng)絡(luò)犯罪分子就可以自由地從受害者那里尋找并獲取有價(jià)值的數(shù)字資產(chǎn)，尤其是那些身份驗(yàn)證和訪問(wèn)憑據(jù)薄弱的企業(yè)。網(wǎng)絡(luò)犯罪分子可以使用多種方法，這些方法專門用于竊取安全措施不強(qiáng)的企業(yè)的憑據(jù)。

例如中間人(MitM)攻擊，其中網(wǎng)絡(luò)攻擊者秘密中繼并可能改變認(rèn)為他們直接相互通信的兩方之間的通信。當(dāng)一些在線用戶在創(chuàng)建他們的各種帳戶時(shí)選擇通用或常用密碼時(shí)，就會(huì)發(fā)生密碼泄露的情況。這樣，網(wǎng)絡(luò)攻擊就可以使用這些密碼登陸用戶的帳戶，以獲取他們的私人信息。

當(dāng)網(wǎng)絡(luò)攻擊者欺騙移動(dòng)提供商將目標(biāo)的手機(jī)號(hào)碼更改為他們可以控制的SIM卡時(shí)，就會(huì)發(fā)生SIM交換。用戶和身份驗(yàn)證設(shè)備(他們的手機(jī))基本上都已被克隆，服務(wù)只是在回復(fù)該號(hào)碼。從那里，針對(duì)原始用戶的OTP和其他憑據(jù)驗(yàn)證被定向到網(wǎng)絡(luò)攻擊者。

網(wǎng)絡(luò)釣魚通過(guò)偽裝成受信任或合法來(lái)源的方式進(jìn)行，通常是通過(guò)電子郵件并誘騙目標(biāo)打開(kāi)網(wǎng)站或提供的鏈接實(shí)現(xiàn)的。然后將提示目標(biāo)將他們的登錄詳細(xì)信息提供給被認(rèn)為是受信任的網(wǎng)站，并在不知情的情況下與網(wǎng)絡(luò)攻擊者共享其信息。這種方法的使用是非常廣泛和普遍的。

實(shí)施的安全解決方案

最基本的雙因素身份驗(yàn)證(2FA)以及傳統(tǒng)的用戶名和密碼，在保護(hù)數(shù)據(jù)和免受現(xiàn)代網(wǎng)絡(luò)威脅的復(fù)雜程度方面并不先進(jìn)。為了繼續(xù)進(jìn)行新的數(shù)字化轉(zhuǎn)型，同時(shí)更好地保護(hù)自己，企業(yè)應(yīng)考慮采用更強(qiáng)大的身份驗(yàn)證和安全性的新方法，以有效抵御和防止新出現(xiàn)的網(wǎng)絡(luò)威脅。

多因素身份驗(yàn)證(MFA)和強(qiáng)大的雙因素身份驗(yàn)證(2FA)已被證明可以提供這一功能，要求用戶提供多個(gè)驗(yàn)證步驟來(lái)證明其身份。為了最好地保護(hù)個(gè)人和企業(yè)的數(shù)據(jù)，并防止公共服務(wù)大規(guī)模中斷，安全協(xié)議需要結(jié)合更強(qiáng)大的身份驗(yàn)證并遵守政府法規(guī)。例如，通過(guò)基于硬件的身份驗(yàn)證和線上快速身份驗(yàn)證服務(wù)( FIDO2 )增強(qiáng)驗(yàn)證，可以進(jìn)一步應(yīng)對(duì)破壞安全憑證的嘗試。

這種創(chuàng)新方式能夠抵御中間人攻擊和網(wǎng)絡(luò)釣魚，同時(shí)阻止用戶受到損害。作為其數(shù)字化轉(zhuǎn)型計(jì)劃的一部分，谷歌公司于2021年10月宣布計(jì)劃將其1.5億用戶自動(dòng)注冊(cè)到雙因素身份驗(yàn)證(2FA)計(jì)劃中，并使其成為200萬(wàn)YouTube創(chuàng)作者的必需流程。

很多的網(wǎng)絡(luò)攻擊集中在憑據(jù)盜竊上，強(qiáng)大的身份驗(yàn)證是大幅降低網(wǎng)絡(luò)攻擊影響的關(guān)鍵。隨著越來(lái)越多的企業(yè)開(kāi)始實(shí)施數(shù)字化轉(zhuǎn)型計(jì)劃，他們必須確保部署的安全程序既符合法規(guī)又結(jié)合了強(qiáng)大的身份驗(yàn)證來(lái)阻止網(wǎng)絡(luò)攻擊。例如，通過(guò)基于硬件的身份驗(yàn)證進(jìn)行的額外驗(yàn)證，這有助于抵消與被盜憑據(jù)相關(guān)的風(fēng)險(xiǎn)。硬件支持的安全設(shè)備在消除網(wǎng)絡(luò)釣魚和中間人攻擊方面處于領(lǐng)先地位，可以保證用戶的憑據(jù)不被泄露，并保護(hù)企業(yè)的利益不受侵犯。