Okta：網絡攻擊者針對多重身份驗證

身份識別公司Okta發表年度企業工作報告《2023 Okta企業工作模式趨勢》，審視現今機構和人們的工作模式，如何透過應用程式和服務提高工作效率。Okta亞太區及日本高級副總裁兼總經理Ben Goodman表示：「隨著數碼渠道和動態工作的轉變，機構應該視數碼身份為資產負債表上的一種新資產，就像現金、儲備和財產一樣。」

企業應視數碼身份為新資產

Ben Goodman指出，身份應該被視為基礎技術，使人們的工作更有效，並能夠改善員工和客戶的體驗。Okta可以幫助機構製定營運策略，將身份 (無論是對內還是對外) 轉變為資產。透過正確的身份認證技術和執行、成本控制和客戶體驗都得以完善。流暢的客戶體驗更容易吸引客戶和回頭客。

遙距工作安全的應用程式

隨著遙距工作和混合工作模式將會持續，因此確保在家辦公和咖啡店等場所的網絡訪問存取是許多公司的首要任務。不少企業於多變的雲環境下減少在外圍防禦，並透過加強多重身份驗證措施，以達至更高安全保證。

• Okta的報告指出，全球低保證安全的的應用程式的整體增長速度最慢 (客戶數量比去年同期增長只有3% ) ，而高保證安全的應用程式如密鑰 / 生物識別技術 (包括WebAuthentication) 的增長則較快—客戶數量比去年同期增長46%，用戶的增長為211%，位居榜首。
• Okta客戶希望透過零信任 (Zero Trust) 尋求針對用戶、裝置和網絡的解決方案。
• 在網絡環境中，針對風險制定的政策在過去兩年的使用增加了147%。
• 用戶方面，使用嶄新全球無密碼網絡身份驗證標準 WebAuthn的客戶數量則增加了60%。
• 裝置方面，利用裝置信任配置的客戶數量增加了21%。

Okta還公佈了第二份年度安全身份識別報告：Okta《安全身份識別報告 2022》，該亞太區調查結果指出，負責管理數碼身份識別的網絡安全專家主要的憂慮，包括個案數目極速增加的欺詐註冊和憑據填充的攻擊，以及外洩憑據遭到大量使用等。

Okta《安全身份識別報告 2022》 (2022 State of Secure Identity Report) 重點：

• 欺詐註冊的威脅持續存在並不斷擴大：在2022年的首三個月內，Okta觀察到近3億次企圖欺詐創建帳戶，比去年同期高15%。
• 憑據填充有著破天荒的發展速度：在2022年的首三個月內，該平台偵測到近100億次憑據填充活動，佔總流量或身份識別驗證事件約34%。
• 網絡攻擊者正針對多重身份驗證 (multi-factor authentication, MFA)：在亞太區，繞過多多重身份驗證的攻擊比註冊/ 登記活動攻擊更多。多重身份驗證的優點已得到廣泛了解，所以越來越多的應用程式和服務供應商都推薦或要求使用多重身份驗證。網絡攻擊者針對重要防禦措施的攻擊漸趨成熟，正確地實現多重身份驗證及選用強大的次要因素，變得極為重要。
• 每間公司都面對獨特挑戰：任何特定應用程式或服務所面對的威脅，會因地理位置、行業和品牌知名度等因素而出現很大差異。因此，安全措施引入的適當風險摩擦程度亦因公司而有差異。

• 隨著攻擊者更著重攻擊身份識別系統和完善攻擊策略、技術和程序 (TTP)，本報告指出，應用程式和服務供應商必須：
  • 使用深度防禦工具，結合用戶、應用程式和網絡三個層面 。
  • 持續監控應用程式以發現的攻擊跡象和TTP的變化。
  • 按需要進行調整 (例如，調整參數、收緊限制、引入新工具等)。
• 不同職能部門的主管需通力合作，在所需用例、客戶類型、數據類型、行業特定風險和風險偏好的背景下，實現客戶身份識別和存取管理，以平衡客戶體驗質素和系統安全性。
• 該報告推薦的幾種解決方案都涉及組合多種安全工具，於不同層面皆能運作，並形成統一的防禦模式。
• 其中包括實現多重身份驗證 (MFA) 、使用不洩露系統詳細資料的一般失敗訊息、限制失敗登錄次數以及實現安全管理。