數(shù)字化轉(zhuǎn)型戰(zhàn)略推動了技術(shù)變革的快速發(fā)展。隨著網(wǎng)絡(luò)攻擊者尋求采用更多新技術(shù)，網(wǎng)絡(luò)攻擊的頻率也越來越高。為了應(yīng)對這種情況，全球監(jiān)管機構(gòu)和政策制定者一直在制定或修改相關(guān)法律，以保護各級敏感和關(guān)鍵數(shù)據(jù)。例如，歐盟通用數(shù)據(jù)保護條例(GDPR)如今成為數(shù)據(jù)保護和用戶隱私的主要標準，并加快了監(jiān)管變革的步伐。

由于發(fā)生的新冠疫情加速了全球數(shù)字化轉(zhuǎn)型的努力，世界各地的企業(yè)不得不迅速適應(yīng)并實現(xiàn)數(shù)字化，這給監(jiān)管機構(gòu)和政策制定者帶來了更大的壓力，以保護公眾免受與這種“新常態(tài)”相關(guān)的風(fēng)險。例如，美國總統(tǒng)拜登在2021年頒布了一項行政命令，以改善美國的網(wǎng)絡(luò)安全。這是一個很好的例子，說明這些問題事關(guān)國家安全。而這種壓力反過來又轉(zhuǎn)移到必須承擔(dān)合規(guī)負擔(dān)的安全團隊身上。

關(guān)鍵的監(jiān)管變化

保護公民和服務(wù)(尤其是那些至關(guān)重要的服務(wù))免受攻擊，無疑是監(jiān)管機構(gòu)和政策制定者正在進行的一場斗爭。事實上，許多政府部門往往會成為網(wǎng)絡(luò)攻擊的受害者，因為它們擁有大量有價值的數(shù)據(jù)。隨著技術(shù)的進步，監(jiān)管政策也必須跟上步伐，以保護企業(yè)免受日益復(fù)雜和頻繁的網(wǎng)絡(luò)攻擊。

近年來最大的監(jiān)管變化是歐盟在2018年發(fā)布的GDPR法規(guī)。這促進數(shù)據(jù)保護和隱私領(lǐng)域發(fā)生了重大變化，強調(diào)了安全措施的重要性，并規(guī)定了企業(yè)管理數(shù)據(jù)和客戶信息的方式。在某些部門，監(jiān)管標準要求在處理關(guān)鍵和機密數(shù)據(jù)時實施身份驗證方法和安全訪問控制。

然而，并不是所有的認證方法都能應(yīng)對當(dāng)今的網(wǎng)絡(luò)威脅。雖然采用了用戶名和密碼組合等基本身份驗證，甚至基于短信的一次性密碼(OTP)等雙因素身份驗證(2FA)形式，但在保護數(shù)據(jù)、系統(tǒng)和應(yīng)用程序免受網(wǎng)絡(luò)攻擊者攻擊方面，它們還不夠強大。作為回應(yīng)，發(fā)布的一些行業(yè)法規(guī)開始解決訪問和控制的認證問題，而其他法規(guī)則依靠零信任等框架提供指導(dǎo)。

2021年6月，歐盟委員會公布了其修訂電子身份識別、身份驗證和信任服務(wù)(eIDAS)授權(quán)的計劃，旨在確保企業(yè)、政府機構(gòu)和個人在旅行時進行安全的數(shù)字交互。該法規(guī)將涉及在線身份驗證、數(shù)字簽名和國家電子身份證政策。

網(wǎng)絡(luò)攻擊概況

新冠疫情以驚人的速度加速了網(wǎng)絡(luò)犯罪的增長。隨著企業(yè)快速部署遠程系統(tǒng)和網(wǎng)絡(luò)以支持家庭工作，網(wǎng)絡(luò)攻擊者利用了越來越多的安全漏洞。一旦目標受到攻擊和破壞，網(wǎng)絡(luò)犯罪分子就可以自由地從受害者那里尋找并獲取有價值的數(shù)字資產(chǎn)，尤其是那些身份驗證和訪問憑據(jù)薄弱的企業(yè)。網(wǎng)絡(luò)犯罪分子可以使用多種方法，這些方法專門用于竊取安全措施不強的企業(yè)的憑據(jù)。

例如中間人(MitM)攻擊，其中網(wǎng)絡(luò)攻擊者秘密中繼并可能改變認為他們直接相互通信的兩方之間的通信。當(dāng)一些在線用戶在創(chuàng)建他們的各種帳戶時選擇通用或常用密碼時，就會發(fā)生密碼泄露的情況。這樣，網(wǎng)絡(luò)攻擊就可以使用這些密碼登陸用戶的帳戶，以獲取他們的私人信息。

當(dāng)網(wǎng)絡(luò)攻擊者欺騙移動提供商將目標的手機號碼更改為他們可以控制的SIM卡時，就會發(fā)生SIM交換。用戶和身份驗證設(shè)備(他們的手機)基本上都已被克隆，服務(wù)只是在回復(fù)該號碼。從那里，針對原始用戶的OTP和其他憑據(jù)驗證被定向到網(wǎng)絡(luò)攻擊者。

網(wǎng)絡(luò)釣魚通過偽裝成受信任或合法來源的方式進行，通常是通過電子郵件并誘騙目標打開網(wǎng)站或提供的鏈接實現(xiàn)的。然后將提示目標將他們的登錄詳細信息提供給被認為是受信任的網(wǎng)站，并在不知情的情況下與網(wǎng)絡(luò)攻擊者共享其信息。這種方法的使用是非常廣泛和普遍的。

實施的安全解決方案

最基本的雙因素身份驗證(2FA)以及傳統(tǒng)的用戶名和密碼，在保護數(shù)據(jù)和免受現(xiàn)代網(wǎng)絡(luò)威脅的復(fù)雜程度方面并不先進。為了繼續(xù)進行新的數(shù)字化轉(zhuǎn)型，同時更好地保護自己，企業(yè)應(yīng)考慮采用更強大的身份驗證和安全性的新方法，以有效抵御和防止新出現(xiàn)的網(wǎng)絡(luò)威脅。

多因素身份驗證(MFA)和強大的雙因素身份驗證(2FA)已被證明可以提供這一功能，要求用戶提供多個驗證步驟來證明其身份。為了最好地保護個人和企業(yè)的數(shù)據(jù)，并防止公共服務(wù)大規(guī)模中斷，安全協(xié)議需要結(jié)合更強大的身份驗證并遵守政府法規(guī)。例如，通過基于硬件的身份驗證和線上快速身份驗證服務(wù)( FIDO2 )增強驗證，可以進一步應(yīng)對破壞安全憑證的嘗試。

這種創(chuàng)新方式能夠抵御中間人攻擊和網(wǎng)絡(luò)釣魚，同時阻止用戶受到損害。作為其數(shù)字化轉(zhuǎn)型計劃的一部分，谷歌公司于2021年10月宣布計劃將其1.5億用戶自動注冊到雙因素身份驗證(2FA)計劃中，并使其成為200萬YouTube創(chuàng)作者的必需流程。

很多的網(wǎng)絡(luò)攻擊集中在憑據(jù)盜竊上，強大的身份驗證是大幅降低網(wǎng)絡(luò)攻擊影響的關(guān)鍵。隨著越來越多的企業(yè)開始實施數(shù)字化轉(zhuǎn)型計劃，他們必須確保部署的安全程序既符合法規(guī)又結(jié)合了強大的身份驗證來阻止網(wǎng)絡(luò)攻擊。例如，通過基于硬件的身份驗證進行的額外驗證，這有助于抵消與被盜憑據(jù)相關(guān)的風(fēng)險。硬件支持的安全設(shè)備在消除網(wǎng)絡(luò)釣魚和中間人攻擊方面處于領(lǐng)先地位，可以保證用戶的憑據(jù)不被泄露，并保護企業(yè)的利益不受侵犯。