2022年网络安全和身份验证的发展趋势

admin管理员组

文章数量:1530311

2024年1月6日发(作者：)

计算机与网络防火墙

2022■隆雪芬在按需经济中，很多用户希望能够与他们的服务提供商互动（无论是流媒体服务、在线零售商还是银行），并且只需点击键盘和鼠标就可以轻松完成。而新冠疫情带来的远程工作加速了这种需求。很显然，客户行为上的许多变化都将继续存在。Sinch公58%的受访者表示司在2021年进行的一项消费者研究发现，52%的受访者表示将避免出差旅行，将继续避免人群聚集，46%的受访者将会减少在商店内的购物时间。而且场景切换更少，但它仍然代表着一种颠覆，而在网络世界中，消费者对产品或服务的满意度可能会因糟糕的体验而降低，因此将摩擦保持在最低限度至关重要。此外，虽然双因素身份验证是一种基本的安全措施，但消费者并不总是愿意使用，Yubico公司在2020年进行的一项研23%的受访者认为短信密码非常不方便。究发现，双因素身份验证的成本也可能很昂贵。它取决于移动运营商或聚合商提供的短信批发价格（在新加坡等一些国家的短信批发价格很高，因此令人望而却步）。大型零售银行严重依赖双因素身份验证，预计每月会发送数百万条短信消息。而如果取消这一步骤可能意味着节省大量的成本。采用适应性强的方法移动设备身份验证和全渠道参与已经发展。新的身份验证技术现在变得可用，通常是通过通信平台启用的API。于是出现了2种选择：数据验证数据验证的工作原理是：移动网络运营商在用户使用移动数据时分配给其电话号码的IP地址之间的相互作用。验证的工作原理是：确认与试图执行验证的最终用户的身份相关联的电话号码与最终用户移动数据会话相关联的号码相同。该服务非常快（不到2s）并且非常安全，因为不可能通过“中间人攻击”或社交工程进行拦截，因为它不依赖于用户在某些时候必须记住的任何信息。Flash呼叫验证金融服务提供商需要利用数据、人工智能和自动化来提供个性化和无缝的客户体验，无论客户是在线、通过应用程序或聊天机器人，还是拨打客户服务电话，因此面临着越来越大的压力。通过提供数字接触的客户体验对于赢得和留住客户至关重要。平衡风险和用户体验事实上，银行的数字化转型是建立在数字信任的基础上，其中包括入职、身份验证和支持对话。然而，银行业在提供数字化客户体验方面仍然落后，并降低了客户满意度。在任何情况下，验证用户似乎都是以牺牲用户体验为代价的一个安全问题，或者更糟糕的是缺乏参与度。企业可以从其他行业吸取经验教训，在这些行业中，可以实现有针对性、但有价值的参与，尽管安全门槛较低。对于许多企业或部门来说，确保访问安全的首选方法是双因素身份验证（2FA）。身份验证有3个公认的因素：知道的东西（例如密码）、拥有的东西（例如硬件令牌或智能手机）以及身份（例如指纹）。双因素身份验证（2FA）意味着需要使用其中2个选项，而最常见的是用户通过简单的短信接收数字代码。尽管使用短信验证实现双因素身份验证（2FA），对于使用SIM欺诈的网络攻击为者并非完全可靠，但银行业严重依赖这种方法，并证明其表现良好，尤其是在交易批准方面。但是，金融机构的安全措施需要的不仅仅是一次性密码。虽然应始终使用适当的身份验证技术，但这里要指出的是，使用短信的双因素身份验证（2FA）可能会以用户体验为代价。它会打断用户的流程。即使是一个简单的过程，例如输入一次性数字密码，也需要用户等待短信到达、更改应用程序、复制代码，然后返回应用程序或笔记本电脑，并粘贴或输入验证码，然后再返回。虽然移动设施操作系统让输入一次性密码变得更容易，在最终用户设备上发起和终止语音通话。主叫方号码是从与服务相关联的专用号码池中随机选择的。智能手机会自动接听电话，并使用主叫方号码作为身份验证，而不是通常通过短信发送的一次性密码进行验证。与数据验证类似，Flash呼叫比短信更快、通常更安全且更便宜，因为移动网络运营商只是将连接确认为未应答呼叫。研究机构估计，采用Flash呼叫可以节省高达25%的身份验证成本，并且可以将交付速度提高70%。当考虑一些银行可能使用数百万个短信作为他们唯一的客户身份验证渠道时，这一点很重要。还需要考虑可访问性，这是银行致力改进的领域，并且需要满足合规规范。例如，对于基于短信的双因素身份验证（2FA），对视力受损者的身份验证几乎没有灵活性。然而现在，电话验证（用户收到自动电话并读出数字密码）已通过通信平台广泛使用。Copyright©博看网. All Rights Reserved.

49

防火墙

计算机与网络5■利北晶随着近年来网络攻击变得更加肆无忌惮，企业采用一些预防措施，阻止数据泄露比以往任何时候都更加重要。人们在2021年目睹了一些可怕的数据泄露事件。最糟糕的一次事件是黑客入侵了MicrosoftExchange的安全系统，并访问了超过25万个全球企业的帐户。Colonial管道公司和SolarWinds公司也成为了黑客攻击的受害者。结构，以降低系统对企业团队、最终用户或二者的可用性。DDOS攻击属于这一类，其他企业破坏行为也是如此。破坏性攻击通常是最难处理的，因为它们的动机最终可能是政治性的，而不是由利润驱动的。这意味着破坏性的网络攻击者可能会删除企业的所有文件，甚至不会让他们有机会支付赎金来赎回数据。虽然网络攻击的大量方法和动机听起来可能很可怕，但并不都是悲观的消息。好消息是，大多数网络攻击不是针对性的，例如网络攻击通常选择企业进行攻击，并不断试图找到侵入他们的系统方法，这并不罕见。与其相反，也有一些网络攻击者选择了1~2种攻击方法，然后一次性攻击数百家企业，其最终目标是那些在网络安全方面比较薄弱的企业。这意味着只要确保企业不是一个容易攻击的目标，就可避免绝大多数的网络攻击。以下方法可以帮助确保这一策略。电子邮件安全培训如果企业员工点击恶意攻击者发送的链接就有可能破坏企业网络，如果他们决定下载并运行从不受信任的电子邮件地址获取的内容，那么损害可能会更大。但是这些并不是唯一的风险。大量与电子邮件相关的数据泄露事件是由社交工程和人为错误造成的。第一个方法是：网络攻击者可能联系企业的员工，并说服他们泄露敏感信息———通常假装是感兴趣的一方。第二种方法更简单：数据泄露经常是由于员工不小心将电子邮件发送到了错误的地址。好消息是，有一些网络安全公司提供员工电子邮件安全培训。这些课程介绍了常见的网络攻击类型以及如何避免它们。另一个解决方案是向员工播放电子邮件安全培训视频，然后每隔一段时间通过向团队发送虚假电子邮件进行模拟。数据划分通过与IT团队合作，确保只有需要数据的人员才能访问数据，可以极大地提高企业的数据安全性，并且保证那些可以访问它的人员只有他们需要的权限。例如，会计师可能需要获因此，它们不仅安全且便宜得多，而且是无缝的。在不久的将来，就像许多其他即服务平台一样，人们可能会看到提供单一统一的API，这些API可以提供身份验证，能够根据消费者对流畅的用户体验、可访问性和服务特征的期望来确定最合适的方法。帐户注册、交易批准或登录，以及任何给定企业的业务目标，例如增加新银行应用程序的成功登录，或只是降低运营成本。虽然大企业将继续成为数据泄露的目标，但中小企业也会面临风险，规模较小的企业不能对其网络安全松懈。数据安全的重要性怎么强调都不为过。企业根据其经营的业务类型，网络攻击不仅仅意味着消费者数据被泄露，它可能会显著地降低企业的运营能力，甚至可能导致企业破产。研究发现，受到攻击的60%的小企业在数据泄露之后的6个月内申请破产。以下是当今市场上一些最常见的企业网络攻击类型，以及可以采取哪些措施来保护企业的数据。网络攻击的世界如今有很多方法可以对网络攻击进行分类，通常的方法是根据目标对其进行分类。网络攻击通常由想要窃取、勒索或破坏的不良行为者实施。以盗窃为重点的网络攻击旨在窃取数据，而且通常会尝试不留下任何痕迹。这通常是作为企业商业间谍活动进行的，或者是为了利用私人数据谋取利润。例如，消费者数据可以在黑市上大量出售，用于身份盗窃和信用欺诈操作，黑客还可以利用这些数据做一些可怕的事情。基于敲诈勒索的网络攻击正在寻找直接利用他们从企业窃取的数据来获得赎金的方法。这通常是通过窃取敏感数据并威胁将其公开，或窃取关键文件并删除原始文件来实现的，因此企业赎回这些文件的唯一方法是向勒索攻击者付费。这些类型的攻击非常常见，并且其数量被低估，大型企业通常会支付费用。为了避免鼓励其他网络攻击者有些企业选择不支付赎金。网络攻击的第3个动机是破坏，其中涉及攻击企业的IT用户体验正成为重中之重随着银行和与之集成的支付平台越来越多地在网上转移，用户体验正在成为头等大事。大多数精通安全的企业都已经明白，启用双因素身份验证是保护在线帐户的最佳方式之一。这让人们想到了关于Flash呼叫验证和数据验证身份验证技术的最重要的一点。它们都在后台发生，无需用户干预。Copyright©博看网. All Rights Reserved.

50

本文标签： 企业数据身份验证可能用户