数字化转型战略推动了技术变革的快速发展。随着网络攻击者寻求采用更多新技术,网络攻击的频率也越来越高。为了应对这种情况,全球监管机构和政策制定者一直在制定或修改相关法律,以保护各级敏感和关键数据。例如,欧盟通用数据保护条例(GDPR)如今成为数据保护和用户隐私的主要标准,并加快了监管变革的步伐。
由于发生的新冠疫情加速了全球数字化转型的努力,世界各地的企业不得不迅速适应并实现数字化,这给监管机构和政策制定者带来了更大的压力,以保护公众免受与这种“新常态”相关的风险。例如,美国总统拜登在2021年颁布了一项行政命令,以改善美国的网络安全。这是一个很好的例子,说明这些问题事关国家安全。而这种压力反过来又转移到必须承担合规负担的安全团队身上。
关键的监管变化
保护公民和服务(尤其是那些至关重要的服务)免受攻击,无疑是监管机构和政策制定者正在进行的一场斗争。事实上,许多政府部门往往会成为网络攻击的受害者,因为它们拥有大量有价值的数据。随着技术的进步,监管政策也必须跟上步伐,以保护企业免受日益复杂和频繁的网络攻击。
近年来最大的监管变化是欧盟在2018年发布的GDPR法规。这促进数据保护和隐私领域发生了重大变化,强调了安全措施的重要性,并规定了企业管理数据和客户信息的方式。在某些部门,监管标准要求在处理关键和机密数据时实施身份验证方法和安全访问控制。
然而,并不是所有的认证方法都能应对当今的网络威胁。虽然采用了用户名和密码组合等基本身份验证,甚至基于短信的一次性密码(OTP)等双因素身份验证(2FA)形式,但在保护数据、系统和应用程序免受网络攻击者攻击方面,它们还不够强大。作为回应,发布的一些行业法规开始解决访问和控制的认证问题,而其他法规则依靠零信任等框架提供指导。
2021年6月,欧盟委员会公布了其修订电子身份识别、身份验证和信任服务(eIDAS)授权的计划,旨在确保企业、政府机构和个人在旅行时进行安全的数字交互。该法规将涉及在线身份验证、数字签名和国家电子身份证政策。
网络攻击概况
新冠疫情以惊人的速度加速了网络犯罪的增长。随着企业快速部署远程系统和网络以支持家庭工作,网络攻击者利用了越来越多的安全漏洞。一旦目标受到攻击和破坏,网络犯罪分子就可以自由地从受害者那里寻找并获取有价值的数字资产,尤其是那些身份验证和访问凭据薄弱的企业。网络犯罪分子可以使用多种方法,这些方法专门用于窃取安全措施不强的企业的凭据。
例如中间人(MitM)攻击,其中网络攻击者秘密中继并可能改变认为他们直接相互通信的两方之间的通信。当一些在线用户在创建他们的各种帐户时选择通用或常用密码时,就会发生密码泄露的情况。这样,网络攻击就可以使用这些密码登陆用户的帐户,以获取他们的私人信息。
当网络攻击者欺骗移动提供商将目标的手机号码更改为他们可以控制的SIM卡时,就会发生SIM交换。用户和身份验证设备(他们的手机)基本上都已被克隆,服务只是在回复该号码。从那里,针对原始用户的OTP和其他凭据验证被定向到网络攻击者。
网络钓鱼通过伪装成受信任或合法来源的方式进行,通常是通过电子邮件并诱骗目标打开网站或提供的链接实现的。然后将提示目标将他们的登录详细信息提供给被认为是受信任的网站,并在不知情的情况下与网络攻击者共享其信息。这种方法的使用是非常广泛和普遍的。
实施的安全解决方案
最基本的双因素身份验证(2FA)以及传统的用户名和密码,在保护数据和免受现代网络威胁的复杂程度方面并不先进。为了继续进行新的数字化转型,同时更好地保护自己,企业应考虑采用更强大的身份验证和安全性的新方法,以有效抵御和防止新出现的网络威胁。
多因素身份验证(MFA)和强大的双因素身份验证(2FA)已被证明可以提供这一功能,要求用户提供多个验证步骤来证明其身份。为了最好地保护个人和企业的数据,并防止公共服务大规模中断,安全协议需要结合更强大的身份验证并遵守政府法规。例如,通过基于硬件的身份验证和线上快速身份验证服务( FIDO2 )增强验证,可以进一步应对破坏安全凭证的尝试。
这种创新方式能够抵御中间人攻击和网络钓鱼,同时阻止用户受到损害。作为其数字化转型计划的一部分,谷歌公司于2021年10月宣布计划将其1.5亿用户自动注册到双因素身份验证(2FA)计划中,并使其成为200万YouTube创作者的必需流程。
很多的网络攻击集中在凭据盗窃上,强大的身份验证是大幅降低网络攻击影响的关键。随着越来越多的企业开始实施数字化转型计划,他们必须确保部署的安全程序既符合法规又结合了强大的身份验证来阻止网络攻击。例如,通过基于硬件的身份验证进行的额外验证,这有助于抵消与被盗凭据相关的风险。硬件支持的安全设备在消除网络钓鱼和中间人攻击方面处于领先地位,可以保证用户的凭据不被泄露,并保护企业的利益不受侵犯。