随着虚拟世界越来越依赖基于身份的授权,基于身份的网络攻击已成为日益严重的威胁。最新发布的 "2023 年数字身份安全趋势 "报告指出 报告报告显示,在过去一年中,90% 的组织至少遇到过一次与数字身份有关的漏洞。
基于身份的攻击专门针对并破坏个人、组织或实体的数字身份。这些攻击包括网络犯罪分子使用的各种技术和方法,利用与身份和访问管理相关的漏洞。
基于身份的攻击旨在窃取、操纵或滥用与身份有关的信息,如用户名、域名、电子邮件地址、密码、个人数据或数字证书。其主要目的通常是在伪装成合法用户或实体的情况下,未经授权访问系统、数据或资源,实施欺诈或进行恶意活动。这些攻击主要利用与计算机或网络环境中身份管理、验证或认证方式有关的漏洞。
它们的形式多种多样,对网络安全、隐私以及在线系统和服务的完整性构成重大威胁。最常见的类型包括
网络钓鱼攻击通常涉及冒充合法组织或个人等可信实体,诱骗用户泄露用户名、密码或银行信息等敏感信息。网络钓鱼电子邮件、网站或信息被用来窃取这些凭证。
凭证填充或 凭据网络钓鱼利用了人类在多个平台上使用同一组密码的心理,因为这样就无需记住多个密码。
这种攻击的一个著名案例是 2013 年臭名昭著的 Target 数据泄露事件就是基于这种恶意方法。
这次入侵事件是历史上最重大的基于身份的攻击事件之一,攻击者利用窃取的登录凭证潜入与 Target 网络连接的供应商系统,最终泄露了超过 4100 万消费者的个人和财务数据。随后,塔吉特的销售点 (POS) 系统被安装了恶意软件,造成了巨大的经济损失,包括调查成本、网络安全增强成本和法律和解成本,总计达 $18.5M.
米特米攻击拦截双方之间的通信,允许攻击者窃听或更改传输的数据。这可能涉及冒充通信双方中的一方,以获取敏感信息。
社交工程攻击以导致身份泄露而闻名,主要依靠操纵人的心理而非技术漏洞。社会工程人员使用的方式包括 冒充攻击利用人类行为、信任和社会规范来实现其恶意目标。
仅靠技术来控制这种人为因素是一项艰巨的挑战。因此,尽管员工培训和提高认识计划并非无懈可击,但也至关重要。
基于身份的攻击有多种形式,之所以被视为重大威胁,有几个原因。
网络犯罪分子可以利用被盗身份从事各种恶意活动,如金融欺诈、税务欺诈或身份盗用。被盗身份还经常提供对敏感数据和资源的访问权限。例如,被泄露的员工身份可用于未经授权访问公司的内部系统、机密数据或商业机密。
成为身份攻击受害者的个人可能会因欺诈交易、未经授权访问银行账户或未经授权使用信用额度而遭受重大经济损失。对于组织而言,涉及被盗身份的漏洞会严重损害其声誉。客户和合作伙伴可能会对企业保护敏感信息的能力失去信任。
因此,企业正在积极采取措施,以防范这一威胁。根据 2023 年 IDSA 调查超过 60% 的公司已将数字身份的管理和安全提升为三大优先事项。此外,这些公司中约有一半已投资网络保险,以防范身份相关事件。
基于身份的攻击在不断演变,其复杂程度也在不断提高。攻击者使用先进的技术来窃取身份信息,例如钓鱼电子邮件,这些电子邮件与合法通信非常相似,或者利用社会工程学策略来操纵个人泄露他们的凭据。
犯罪分子经常进行有针对性的攻击,将重点放在特定的个人或组织上。为了制造更难以察觉的攻击,他们投入时间收集情报,针对选定的目标调整战术。这些攻击者采用一系列技术和工具来掩盖他们的活动,包括通过多个服务器路由他们的行动,以及利用 Tor 等匿名技术。被窃取的数据通常在暗网上进行货币化,这给破坏分发和共享链条造成了巨大障碍,从而使将攻击归咎于特定个人或团体的工作变得更加复杂。
即使减轻了基于身份的攻击,仍然存在后续攻击的风险。攻击者可能在最初的攻击中获取了有价值的信息,并在未来的攻击中加以利用。
法律,如 欧盟《通用数据保护条例》(GDPRGDPR)和 加州消费者隐私法CCPA)对企业的个人数据保护提出了严格要求。违规行为可能导致巨额罚款和法律诉讼。除法律处罚外,企业还可能面临与诉讼相关的成本,包括律师费和和解费。
在一起重大事件中,Equifax 被要求支付高达 5.75 亿美元由于数据泄露,Equifax 被要求向受影响的消费者支付高达 5.75 亿美元的赔偿金,并向各州支付 1.75 亿美元的民事罚款。这次数据泄露事件的起因是该公司未能及时处理其系统中的一个已知漏洞。
要防止基于身份的攻击,就必须采取全面、主动的安全措施,包括技术措施和用户教育。以下是一些建议措施
鼓励用户创建包含大小写字母、数字和特殊字符组合的强密码。避免使用 "password123 "等容易被猜到的密码。
鼓励使用信誉良好的密码管理器安全地生成和存储复杂的密码。
MFA 要求用户提供两个或两个以上的身份验证因素,大大增加了攻击者获得未经授权访问的难度。除了标准的用户名和密码,常见的 MFA 方法还有 OTP、生物识别或回答个人问题。
部署 DMARC是加强电子邮件安全、抵御无处不在的电子邮件欺骗和网络钓鱼攻击威胁的关键一步。DMARC 是一种强大的电子邮件验证协议,旨在保护您的域名在数字领域的完整性和声誉。
DMARC 的核心功能是使组织能够定义严格的电子邮件政策,明确说明如何处理未通过 SPF 和/或 DKIM 等验证检查的电子邮件。该策略体现在DMARC 记录中,该记录发布在域名系统 (DNS) 中以进行验证。通过指定遇到未经授权的电子邮件时应采取的措施,DMARC 有助于确保只有合法来源才能使用您的域名发送电子邮件。
使用我们免费的 DMARC 生成器为您的域名创建记录。
使用最新的安全补丁更新所有软件,包括操作系统和应用程序,以解决攻击者可能利用的已知漏洞。
对传输中和静态的敏感数据进行加密。加密有助于保护数据,即使数据落入坏人之手,攻击者也很难获取有意义的信息。
采用 零信任安全采用零信任安全方法,即从不假定信任,并在持续验证和授权的基础上实施严格的访问控制。这种模式最大限度地减少了攻击面,降低了基于身份的攻击风险。
淘汰和替换过时的 旧系统淘汰并替换可能存在未修补漏洞或安全控制薄弱的过时旧系统。旧系统可能成为攻击者的目标。
通过实施这些预防措施并在企业内部培养网络安全意识文化,可以大大降低身份攻击的风险,并增强整体安全态势。重要的是要保持警惕,适应新出现的威胁,并不断教育员工和利益相关者了解不断变化的网络安全形势。