?近幾個(gè)月，你可能已經(jīng)注意到，采用雙重或多重驗(yàn)證來驗(yàn)證消費(fèi)者和企業(yè)帳戶的驗(yàn)證方式不斷增多。這些工具幫助消費(fèi)者和企業(yè)在面對(duì)防范身份欺詐、數(shù)據(jù)泄露、密碼竊取和網(wǎng)絡(luò)釣魚/勒索軟件攻擊等方面，獲得更多支持。

根據(jù)身份盜竊資源中心( ITRC )近期的統(tǒng)計(jì)數(shù)據(jù)顯示，約 92% 的數(shù)據(jù)泄露與網(wǎng)絡(luò)攻擊有關(guān)，2022 年第一季度的數(shù)據(jù)泄露比 2021 年同期高出 14%。

ITRC統(tǒng)計(jì)數(shù)據(jù)還顯示，僅在 2022 年第一季度，就有近一半（在 367 份里有154 份）的數(shù)據(jù)泄露通知中未囊括泄露原因，被指定為“未知”。這個(gè)“未知”數(shù)量比 2021 年全年的“未知”數(shù)據(jù)泄露原因高出 40%。

那么，CISO 如何讓公司阻止這些網(wǎng)絡(luò)安全攻擊呢？他們必須保持對(duì)新興技術(shù)的關(guān)注，以打擊不斷變化的威脅、系統(tǒng)漏洞和不良分子，適應(yīng)不斷變化的環(huán)境。

2022 年的網(wǎng)絡(luò)黑客

事實(shí)證明，今年是企業(yè)安全漏洞遍地的一年。一個(gè)名為 Lapsus$ 的知名組織在南美開展活動(dòng)，已經(jīng)實(shí)施了多次的網(wǎng)絡(luò)黑客攻擊。該組織被證實(shí)是攻擊 NVIDIA、三星、T-Mobile 和 Vodafone 的肇事者。

在 T-Mobile 案例中， 2022 年 3 月 Lapsus$ 成員通過網(wǎng)絡(luò)釣魚或其他形式的社交平臺(tái)，入侵 T-Mobile 的網(wǎng)絡(luò)，危害員工賬戶。一旦進(jìn)入 T-Mobile 的客戶賬戶數(shù)據(jù)庫，網(wǎng)絡(luò)犯罪分子就會(huì)試圖找到與美國國防部和 FBI 相關(guān)聯(lián)的 T-Mobile 賬戶。

Lapsus$還聲稱對(duì)微軟的網(wǎng)絡(luò)攻擊負(fù)責(zé)。這家軟件巨頭證實(shí)，其內(nèi)部  Azure DevOps 源代碼庫和被盜數(shù)據(jù)是通過員工帳戶被黑客入侵的，但補(bǔ)充說只授予了部分訪問權(quán)限。

最近另一起安全漏洞，是通過社交平臺(tái)利用了一家公司的銷售團(tuán)隊(duì)。一名偽裝成公司 IT 部門員工的網(wǎng)絡(luò)犯罪分子，聯(lián)系了該公司的銷售人員，要求提供 CRM 登錄憑證。諷刺的是，這一請(qǐng)求是為用戶及其核心系統(tǒng)，安裝額外的安全插件以變得更加安全的幌子下提出的。

不幸的是，至少有一名銷售人員上當(dāng)受騙，犯罪分子能夠獲取他們的憑證，訪問公司的 CRM 系統(tǒng)，并在客戶數(shù)據(jù)庫中下載目標(biāo)數(shù)據(jù)。

這種類型的攻擊正變得越來越普遍，并且傳統(tǒng)的訪問控制方法使這些攻擊更難以解決。

實(shí)施多重身份驗(yàn)證

對(duì)于 CISO 而言，訪問所有計(jì)算機(jī)、服務(wù)器、基礎(chǔ)設(shè)施服務(wù)和商業(yè)應(yīng)用程序時(shí)，必須至少實(shí)施雙重身份驗(yàn)證 (2FA)，并已成為當(dāng)務(wù)之急。增加 2FA 將有助于阻止黑客和網(wǎng)絡(luò)犯罪分子訪問系統(tǒng)，盡管這些解決方案也可以被各種巧妙的技術(shù)所規(guī)避。

一些公司使用物理安全密鑰，來實(shí)現(xiàn)額外的數(shù)據(jù)保護(hù)。例如，當(dāng)多重身份驗(yàn)證可用時(shí)，物理安全密鑰可以幫助阻止網(wǎng)絡(luò)釣魚攻擊。它們有多種形式，易于使用，通常是保護(hù)數(shù)據(jù)安全的廉價(jià)手段。

利用現(xiàn)有員工設(shè)備引入的其他安全措施，來應(yīng)對(duì)上述毫無戒心的銷售人員提供系統(tǒng)登錄憑據(jù)的案例。例如，一家公司開發(fā)了專供用戶交易的二維碼—— Nametag * 代碼——與公司所有員工匹配，包括 IT 管理員。如果公司中的某個(gè)人收到共享登錄信息，或其他一些關(guān)鍵數(shù)據(jù)的請(qǐng)求時(shí)，則該動(dòng)態(tài)代碼會(huì)驗(yàn)證這一請(qǐng)求——身份、意圖和完成交易的權(quán)限都會(huì)得到驗(yàn)證和批準(zhǔn)。如果沒有它的同意，那么請(qǐng)求是無效的。

解決密碼問題

我們?nèi)绾谓鉀Q用戶密碼問題？技術(shù)解決方案就是答案嗎？例如，IT 專家能否通過將用戶的用戶名/密碼，與其設(shè)備的物理距離相聯(lián)，來提高數(shù)據(jù)安全性嗎？是否有必要從培訓(xùn)、管理和用戶行為角度入手，進(jìn)行更深層次的培訓(xùn)？

創(chuàng)新的機(jī)會(huì)比比皆是。一些初創(chuàng)公司正將行為生物識(shí)別技術(shù)與 IT 身份管理的目的相結(jié)合起來。該平臺(tái)評(píng)估有關(guān)個(gè)人的幾個(gè)因素，例如，用戶如何走路、大聲說話、在鍵盤上打字或移動(dòng)鼠標(biāo)等等。單獨(dú)來看，這些因素可能不足以確認(rèn)用戶身份。但是，當(dāng)其中幾個(gè)結(jié)合起來時(shí)，這些特征可以創(chuàng)建一個(gè)唯一的生物特征，以近乎 100% 的準(zhǔn)確度識(shí)別用戶。

在一個(gè)不穩(wěn)定的世界中，面對(duì)日益偏遠(yuǎn)程/混合的工作性質(zhì)，CISO 必須以多種方式保護(hù)對(duì)數(shù)據(jù)的訪問，并努力做到以下幾點(diǎn)：

• 學(xué)習(xí)、理解并警惕網(wǎng)絡(luò)犯罪分子一直嘗試使用不斷變化的工具和攻擊方式。
• 準(zhǔn)備好一份網(wǎng)絡(luò)攻擊計(jì)劃或事件響應(yīng)手冊(cè)。
• 為攻擊期間（或之后）的事件，準(zhǔn)備好遏制和緩解的策略指南。
• 了解并掌握基于 AI 的新技術(shù)，它有助于最大限度地降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
• 與其他企業(yè)和政府/網(wǎng)絡(luò)安全社區(qū)共享數(shù)據(jù)知識(shí)和安全警報(bào)，以幫助其他人更加了解潛在威脅，以及如何最好地緩解這些潛在的破壞性事件。

隨著外部惡意勢(shì)力的崛起，以及烏克蘭戰(zhàn)爭(zhēng)造成額外的 IT 安全壓力，CISO 必須確保這種最基本的訪問形式得到保障，并警惕新的和不斷變化的安全風(fēng)險(xiǎn)。

來源：www.cio.com?