如何解決身份驗(yàn)證系統(tǒng)的安全問(wèn)題

2021-08-20 09:23 作者：admin 瀏覽量：

關(guān)于身份驗(yàn)證系統(tǒng)如何發(fā)揮作用以提供本地和國(guó)際不同部門之間的信任和互操作性，行業(yè)人士存在一些不同的觀點(diǎn)。與此同時(shí)，這些解決方案應(yīng)確保適當(dāng)?shù)碾[私水平。需要采用全面的安全工具和措施來(lái)應(yīng)對(duì)威脅，例如某些特權(quán)參與者在身份驗(yàn)證生態(tài)系統(tǒng)中濫用權(quán)力。

問(wèn)題的國(guó)際范圍

當(dāng)前的身份管理方法存在許多薄弱環(huán)節(jié)，這些薄弱環(huán)節(jié)成為網(wǎng)絡(luò)犯罪分子的目標(biāo)。此外，這些孤立的系統(tǒng)沒(méi)有整合或重疊，這使執(zhí)法機(jī)構(gòu)無(wú)法在國(guó)際層面上進(jìn)行協(xié)調(diào)。

在這一點(diǎn)上，身份驗(yàn)證的方法正在轉(zhuǎn)變。安全專業(yè)人員提出了新的原則，開(kāi)發(fā)了輔助技術(shù)，并指定了測(cè)試這些服務(wù)的新方案。

現(xiàn)代身份驗(yàn)證服務(wù)的實(shí)施與各行業(yè)各個(gè)部門之間的交互程度密切相關(guān)。高端解決方案已經(jīng)在企業(yè)層面和國(guó)家層面上創(chuàng)建，但是其中大多數(shù)忽略了互操作性的需求。一些行業(yè)專家正在積極討論這些問(wèn)題，以試圖找到相關(guān)的解決辦法。

下一代身份驗(yàn)證系統(tǒng)可以應(yīng)對(duì)相關(guān)領(lǐng)域的安全問(wèn)題，例如通過(guò)人工智能算法進(jìn)行身份識(shí)別，然而新的風(fēng)險(xiǎn)也在不斷出現(xiàn)。

商業(yè)和數(shù)字服務(wù)正變得越來(lái)越相互關(guān)聯(lián)。數(shù)字交易要求不同系統(tǒng)之間有足夠的信任和保密性，這只能通過(guò)統(tǒng)一的身份解決方案來(lái)實(shí)現(xiàn)。換句話說(shuō)，全球各地的組織需要?jiǎng)?chuàng)建一個(gè)統(tǒng)一的數(shù)字身份模型來(lái)降低安全風(fēng)險(xiǎn)。

安全身份驗(yàn)證的風(fēng)險(xiǎn)

下一代身份驗(yàn)證系統(tǒng)的發(fā)展將使社會(huì)在關(guān)鍵領(lǐng)域越來(lái)越依賴這項(xiàng)技術(shù)。因此，針對(duì)這種環(huán)境的網(wǎng)絡(luò)攻擊將不斷升級(jí)。惡意行為者將試圖發(fā)現(xiàn)并利用設(shè)備和識(shí)別機(jī)制中的漏洞來(lái)訪問(wèn)敏感數(shù)據(jù)。

就是說(shuō)，需要了解在這種情況下面臨的最大威脅以及破壞此類系統(tǒng)動(dòng)機(jī)的不同方面。

• 內(nèi)部威脅。動(dòng)機(jī)：服務(wù)中斷或獲利。偽裝成可信任個(gè)體的入侵者可以利用通過(guò)規(guī)避物理安全性獲得的訪問(wèn)權(quán)限。

• 不道德的競(jìng)爭(zhēng)。動(dòng)機(jī)：獲得競(jìng)爭(zhēng)優(yōu)勢(shì)。網(wǎng)絡(luò)犯罪分子可以利用內(nèi)部人員和其他第三方實(shí)施攻擊。

• 敵對(duì)國(guó)家的攻擊行為。動(dòng)機(jī)：政治和經(jīng)濟(jì)利益。這種類型涵蓋間諜活動(dòng)、帳戶接管、身份驗(yàn)證系統(tǒng)入侵和監(jiān)視。

• 有組織的犯罪。動(dòng)機(jī)：獲利。這些狡猾的措施和手段包括身份盜竊、賬戶接管、數(shù)據(jù)濫用、認(rèn)證系統(tǒng)泄露、中間人(MITM)攻擊和文件偽造。

• 黑客行為。動(dòng)機(jī)：影響企業(yè)目標(biāo)，造成聲譽(yù)損害。帳戶接管和模擬，以及身份驗(yàn)證和授權(quán)。

以下概述目前身份驗(yàn)證系統(tǒng)的主要安全風(fēng)險(xiǎn)。

• 隱私：犯罪者可能會(huì)獲取大量個(gè)人數(shù)據(jù)，其中包括生物特征識(shí)別、行為和地理位置詳細(xì)信息。

• 完整性：破壞這些解決方案的完整性可能會(huì)減少生態(tài)系統(tǒng)參與者之間的信任。

• 可用性：網(wǎng)絡(luò)攻擊者可能試圖入侵身份驗(yàn)證基礎(chǔ)設(shè)施，破壞參與者嚴(yán)重依賴的服務(wù)，從而造成級(jí)聯(lián)效應(yīng)。

在構(gòu)建安全的數(shù)字身份環(huán)境并確保這些服務(wù)的可用性和完整性時(shí)，信息安全專業(yè)人員將面臨新的挑戰(zhàn)。違約可能會(huì)帶來(lái)更嚴(yán)重的系統(tǒng)性后果，破壞參與者之間的信任，從而支持網(wǎng)絡(luò)空間的有效運(yùn)行。

安全解決方案

未來(lái)的身份驗(yàn)證將由分布式異構(gòu)基礎(chǔ)設(shè)施提供支持。信任和透明度以及服務(wù)的可靠性將在全球范圍內(nèi)發(fā)揮根本性作用。在這種模式下降低安全風(fēng)險(xiǎn)是一項(xiàng)復(fù)雜的任務(wù)，取決于集體方法。

除非以協(xié)調(diào)的方式解決所有安全問(wèn)題，否則這項(xiàng)技術(shù)就無(wú)法發(fā)揮其全部潛力。信息安全專家需要參與開(kāi)發(fā)一種用于數(shù)字身份驗(yàn)證的防篡改技術(shù)。

這里有一些可能的方法來(lái)應(yīng)對(duì)在不久的將來(lái)可能面臨的挑戰(zhàn)。

(1) 保證、信任和透明度：身份驗(yàn)證基礎(chǔ)設(shè)施組件的彈性是通過(guò)參與者之間所有交互的透明性來(lái)實(shí)現(xiàn)的。社區(qū)將需要了解這種系統(tǒng)中的信任級(jí)別，并準(zhǔn)確衡量信任差距。這將有助于實(shí)施防御措施以保持完整性。

盡管在區(qū)域和國(guó)家兩級(jí)為自主身份驗(yàn)證服務(wù)制定方法和安全標(biāo)準(zhǔn)方面取得了重大進(jìn)展，但對(duì)于分布式身份框架仍沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)，以確保不同網(wǎng)絡(luò)空間部門方法的兼容性，并建立良好的信任度。這些標(biāo)準(zhǔn)需要在國(guó)際范圍內(nèi)形成，借鑒以前的經(jīng)驗(yàn)(開(kāi)源代碼和FIDO或DID等聯(lián)盟)，并提供新的方法。

(2) 共享的管理原則：在國(guó)際范圍內(nèi)對(duì)身份驗(yàn)證系統(tǒng)進(jìn)行標(biāo)準(zhǔn)化和認(rèn)證的共同努力將為所有參與者提供網(wǎng)絡(luò)安全的基線水平。例如，已經(jīng)為支付交易安全(PCI DSS)和航空業(yè)(SARP和ICAO)制定了此類標(biāo)準(zhǔn)。這些基本原則將為數(shù)字身份認(rèn)證過(guò)程指定技術(shù)要求和性能標(biāo)準(zhǔn)，同時(shí)還要解決隱私挑戰(zhàn)。

最終用戶需要控制個(gè)人數(shù)據(jù)，并了解如何處理這些數(shù)據(jù)以及向誰(shuí)傳輸這些數(shù)據(jù)。為企業(yè)和政治制定額外的激勵(lì)模型將鼓勵(lì)所有相關(guān)實(shí)體支持身份驗(yàn)證服務(wù)的互操作性和創(chuàng)新，同時(shí)深入了解誰(shuí)負(fù)責(zé)確保分布式環(huán)境不同部分的安全。

(3) 使參與者聚集在一起：將不同行業(yè)參與者聚集在一起將有助于探索其各個(gè)部門的互操作性，為制定管理原則以確保適當(dāng)?shù)陌踩詣?chuàng)造激勵(lì)。這樣，就有可能選出身份驗(yàn)證領(lǐng)域的主要實(shí)體(政府、私營(yíng)部門、社會(huì))和主要參與者(銀行、電信服務(wù)提供商、科技公司)。

這樣將為組織各部門之間的合作提供新的機(jī)會(huì)，不僅確定建立全球身份驗(yàn)證基礎(chǔ)設(shè)施的主要障礙，而且還規(guī)避了這些障礙。經(jīng)濟(jì)、政治甚至危機(jī)因素(例如發(fā)生的冠狀病毒疫情)都強(qiáng)調(diào)了采取協(xié)作行動(dòng)的必要性，并自然形成了下一代身份驗(yàn)證服務(wù)。

(4) 合作運(yùn)營(yíng)安全性(OPSEC)：信息安全團(tuán)隊(duì)必然要面對(duì)嚴(yán)峻的挑戰(zhàn)，保護(hù)未來(lái)分布式、異構(gòu)和固有的復(fù)雜身份驗(yàn)證系統(tǒng)免受黑客及其惡意代碼的攻擊。這些應(yīng)該是數(shù)字身份領(lǐng)域所有安全專業(yè)人員的全新方法和協(xié)調(diào)行動(dòng)。

隨著其他技術(shù)的發(fā)展和下一代身份驗(yàn)證系統(tǒng)的部署，專家將需要考慮未來(lái)的潛在威脅。待辦事項(xiàng)清單上的一件事是確保適當(dāng)水平的分布式組件量子加密。雖然某些檢測(cè)、跟蹤和消除欺詐活動(dòng)的方法可用于隔離的身份驗(yàn)證系統(tǒng)，但尚未為此類端到端解決方案創(chuàng)建這些方法。需要系統(tǒng)的風(fēng)險(xiǎn)和威脅建模，以考慮不同行業(yè)參與者的特權(quán)。

通用的事件報(bào)告框架將是評(píng)估當(dāng)前風(fēng)險(xiǎn)和優(yōu)化事件響應(yīng)率的關(guān)鍵。在信息安全區(qū)層面的協(xié)調(diào)努力以及國(guó)際身份驗(yàn)證安全標(biāo)準(zhǔn)和數(shù)據(jù)共享的制定，將確保生態(tài)系統(tǒng)所有成員的安全水平，并釋放下一代數(shù)字身份技術(shù)的真正潛力。

中國(guó)首款IT服務(wù)微信小程序“企如意”，一款真心實(shí)意為企業(yè)謀福利的知音。IT產(chǎn)品一切應(yīng)有盡有，讓您的企業(yè)輕松提升工作效率！自小程序上線以來(lái)，用戶注冊(cè)量已超過(guò)50000人，IT服務(wù)產(chǎn)品下單量已達(dá)到6500單。因?yàn)閷Ｗⅲ詫I(yè)，工單服務(wù)好評(píng)率也高達(dá)98%以上。小程序，大作為，真正成為您企業(yè)績(jī)效倍增的加速器！幫助企業(yè)的同時(shí)還有更多好禮相送。

更多活動(dòng)請(qǐng)關(guān)注“企如意”小程序！