盗用管理员凭证的冒充攻击,证明了身份验证现是网络安全的核心要求。由于暗网上有数百万个被盗密码,而深度伪造(Deepfake)甚至威胁到生物识别,因此组织需要一种与风险相匹配的分层身份验证方法。此外,整个过程必须尽可能顺畅,以免阻碍运营。
密码是组织的致命弱点,通常由用户共享或被盗。为了防止利用被盗凭证的账户泄露攻击,组织必须根据风险级别持续监控身份和活动。
要实现身份验证的连续性,就需要转向更安全、更方便用户使用的方法。传统方法,例如依赖基于知识的信息,如姓氏或生日日期,越来越容易受到攻击。相反,这些方法可以被数字身份钱包、身份验证推送通知或实时身份验证所取代。
使用多层验证方法对新老用户进行身份验证,可以更可靠地抵御不断演变的威胁。在这种动态环境中,安全、效率和隐私之间的平衡至关重要。用户不仅追求便利,还关心保护自己的个人信息,尤其是在《加州消费者隐私法案》(CCPA)和欧盟《通用数据保护条例》(GDPR)等法规的背景下。
利用新兴技术解决隐私问题
因此,向身份验证的过渡需要更好的隐私控制。同态加密和多方计算(MPC)等新兴技术在解决数据处理中的隐私问题方面日益突出。同态加密允许对加密数据进行计算,提供结果而无需暴露底层数据。这有助于确保敏感数据可以在不冒隐私泄露风险的情况下进行分析和处理。多方计算促进了一种设置,其中多个方可以“联合计算其输入的函数,同时将这些输入彼此保密”。当数据必须在竞争对手之间或具有严格数据保护法的司法管辖区之间共享时,这尤其有用。
使用先进的验证方法打击Deepfake威胁
生物特征认证的使用日益增多,再加上恶意攻击者将深度伪造作为攻击媒介,这加速了对强大身份验证的需求。一种有效的对策是使用面部识别技术,结合注入攻击防御和活体检测算法。活体检查有助于确保被验证的实体是实际存在的,而不是视频或数字处理的图像。ISO/IEC30107-1标准就是为实现这种类型的演示攻击检测而制定的。
此外,对来自多个独立来源的身份数据进行三角测量,例如结合生物特征数据、设备元数据和行为信号,可提高身份验证的可靠性。这种多模式方法有助于区分合法用户和冒名顶替者,并可显著降低欺诈活动的可能性。
遵循CISO的最佳实践
为了实施支持行业准则和零信任原则的身份优先安全方法,组织应考虑以下最佳实践:
身份验证的多层次方法
集成先进的生物识别认证方法,如指纹,面部识别和虹膜扫描,确保它们符合最新的ISO/IEC性能和安全性标准。采用人工智能文档验证系统,该系统可以检测篡改、验证真实性并使用OCR技术自动提取数据。与第三方验证服务连接,可以根据公共和信用记录数据库验证个人数据,以降低欺诈风险。
了解行业标准和法规
定期审查NIST800-63-3标准和其他相关指南的更新。进行年度合规性审计,并参加行业研讨会和培训课程,以确保安全团队及时了解最新的监管变化。实施合规性跟踪工具,以监控对这些标准的持续遵守情况。
投资灵活的身份验证方法
开发一个集成各种身份验证方法的身份验证基础设施,并可轻松更新以纳入新兴技术。利用自适应身份验证技术,可根据与用户活动相关的风险扩展安全措施。尝试使用分散式身份解决方案,让用户无需依赖中央机构即可控制和证明自己的身份。
要想领先攻击者一步,就需要超越单一的身份验证安全方法。相反,实施多层次、可定制的持续身份验证方法可以平衡风险和用户体验,并有助于防止账户入侵攻击、欺诈和身份泄露。
