Okta:網絡攻擊者針對多重身份驗證

  •  
  •  
  •  

身份識別公司Okta發表年度企業工作報告《2023 Okta企業工作模式趨勢》,審視現今機構和人們的工作模式,如何透過應用程式和服務提高工作效率。Okta亞太區及日本高級副總裁兼總經理Ben Goodman表示:「隨著數碼渠道和動態工作的轉變,機構應該視數碼身份為資產負債表上的一種新資產,就像現金、儲備和財產一樣。」

企業應視數碼身份為新資產

Ben Goodman指出,身份應該被視為基礎技術,使人們的工作更有效,並能夠改善員工和客戶的體驗。Okta可以幫助機構製定營運策略,將身份 (無論是對內還是對外) 轉變為資產。透過正確的身份認證技術和執行、成本控制和客戶體驗都得以完善。流暢的客戶體驗更容易吸引客戶和回頭客。

Okta亞太區及日本高級副總裁兼總經理Ben Goodman指出,身份盜竊對網絡安全構成重大威脅,多重身份驗證 (MFA) 不是最安全方法,採用無密碼驗證等加強身份管理有助提升用戶體驗及留住客戶。

遙距工作安全的應用程式

隨著遙距工作和混合工作模式將會持續,因此確保在家辦公和咖啡店等場所的網絡訪問存取是許多公司的首要任務。不少企業於多變的雲環境下減少在外圍防禦,並透過加強多重身份驗證措施,以達至更高安全保證。

  • Okta的報告指出,全球低保證安全的的應用程式的整體增長速度最慢 (客戶數量比去年同期增長只有3% ) ,而高保證安全的應用程式如密鑰 / 生物識別技術 (包括WebAuthentication) 的增長則較快—客戶數量比去年同期增長46%,用戶的增長為211%,位居榜首。
  • Okta客戶希望透過零信任 (Zero Trust) 尋求針對用戶、裝置和網絡的解決方案。
  • 在網絡環境中,針對風險制定的政策在過去兩年的使用增加了147%。
  • 用戶方面,使用嶄新全球無密碼網絡身份驗證標準 WebAuthn的客戶數量則增加了60%。
  • 裝置方面,利用裝置信任配置的客戶數量增加了21%。

Okta還公佈了第二份年度安全身份識別報告:Okta《安全身份識別報告 2022》,該亞太區調查結果指出,負責管理數碼身份識別的網絡安全專家主要的憂慮,包括個案數目極速增加的欺詐註冊和憑據填充的攻擊,以及外洩憑據遭到大量使用等。

Okta《安全身份識別報告 2022》 (2022 State of Secure Identity Report) 重點:

  • 欺詐註冊的威脅持續存在並不斷擴大:在2022年的首三個月內,Okta觀察到近3億次企圖欺詐創建帳戶,比去年同期高15%。
  • 憑據填充有著破天荒的發展速度:在2022年的首三個月內,該平台偵測到近100億次憑據填充活動,佔總流量或身份識別驗證事件約34%。
  • 網絡攻擊者正針對多重身份驗證 (multi-factor authentication, MFA):在亞太區,繞過多多重身份驗證的攻擊比註冊/ 登記活動攻擊更多。多重身份驗證的優點已得到廣泛了解,所以越來越多的應用程式和服務供應商都推薦或要求使用多重身份驗證。網絡攻擊者針對重要防禦措施的攻擊漸趨成熟,正確地實現多重身份驗證及選用強大的次要因素,變得極為重要。
  • 每間公司都面對獨特挑戰:任何特定應用程式或服務所面對的威脅,會因地理位置、行業和品牌知名度等因素而出現很大差異。因此,安全措施引入的適當風險摩擦程度亦因公司而有差異。
  • 隨著攻擊者更著重攻擊身份識別系統和完善攻擊策略、技術和程序 (TTP),本報告指出,應用程式和服務供應商必須:
    • 使用深度防禦工具,結合用戶、應用程式和網絡三個層面 。
    • 持續監控應用程式以發現的攻擊跡象和TTP的變化。
    • 按需要進行調整 (例如,調整參數、收緊限制、引入新工具等)。
  • 不同職能部門的主管需通力合作,在所需用例、客戶類型、數據類型、行業特定風險和風險偏好的背景下,實現客戶身份識別和存取管理,以平衡客戶體驗質素和系統安全性。
  • 該報告推薦的幾種解決方案都涉及組合多種安全工具,於不同層面皆能運作,並形成統一的防禦模式。
  • 其中包括實現多重身份驗證 (MFA) 、使用不洩露系統詳細資料的一般失敗訊息、限制失敗登錄次數以及實現安全管理。
Okta亞太區及日本高級副總裁兼總經理Ben Goodman表示,網絡攻擊者利用身份盜竊進行攻擊,例如網絡釣魚等。企業必須視網絡安全和數碼身份為推動業務策略的主要因素。

五項行動加強身份安全防禦

Ben Goodman過去幾年因疫情加速企業轉型,遙距工作及學習更普及,也更容易遭受網絡攻擊。Okta預測企業將在2023年採取五項行動來加強防禦,其中包括:

  • 針對打擊網絡釣魚投放更多資源:更多亞太區機構將轉用網絡身份驗證機制,例如多重身份驗證,以加強防禦,對抗實時中間人 (AiTM) 的攻擊。
  • 無密碼驗證可減少摩擦:許多機構會在登錄時考慮其他安全因素,例如生物識別輸入或硬件令牌 (token) 等。
  • 重新思考常設特權:透過整合行政管理身份以及特權訪問管理器的功能,確保資訊科技人員對訪問管理擁有更多權限和控制權。
  • 去中心化身份漸趨普及:區塊鍊等技術將幫助企業減輕中央保護數碼身份的負擔,並加強對身份盜竊的防禦。
  • 身份管理擴展到客戶層面:這有助簡化跨裝置、堆棧和平台的註冊和登錄,使企業能夠通過更好的體驗來獲取和留住客戶。

  •  
  •  
  •  

benny

Benny Yeung ~ 企業IT傳媒人,經常四周穿梭科技巨企及論壇,熱愛探討新商機。性格貪玩,但喜歡閱讀沉悶的企業賺蝕數字,最重視辦事效率。