如何构筑身份安全防线，避免被黑客“登入”企业网络？

当黑客最常用的攻击手段，从用尽十八般武艺、不可告人的“侵入”，变成凭借有效账户、大摇大摆的“登入”，你会不会觉得不可思议？

在2023年，这种情况已经成为常态。IBM监测了130多个国家/地区的超1500亿个安全事件形成的《2024年X-Force威胁情报指数报告》（以下简称《报告》）显示，一场围绕身份信息的安全危机正蔓延全球。2023年，利用身份信息形成的网络攻击激增71%，黑客使用的信息窃取恶意软件增长了266%，在暗网上被泄露的身份信息多达数十亿个。更可怕的是，利用有效账户直接"登入"关键基础设施网络发起网络攻击已经越来越普遍。

面对这场前所未有的身份安全危机，企业有些难以招架。《报告》显示，对于攻击者使用有效账户引起的重大安全事件，企业的应对措施的复杂度比普通事件平均高出近200%，主要是因为企业难以区分哪些是合法用户活动，哪些是恶意用户活动。

更大的雷还在后面。2023年，IBM在暗网论坛上观察到了超过80万篇关于人工智能和GPT相关的帖子，这表明了黑客们正准备用AI搞个大新闻，网络钓鱼的爆发式增长不过是他们利用AI窃取身份信息的前奏。

危机当前，如何构筑身份安全防线，避免被黑客“登入”企业网络，已经成为了企业迫在眉睫的问题。

身份信息，为何成了黑客的“香饽饽”？

企业的身份信息管不好，有内、外两方面的原因。在内部，企业普遍存在三大问题：

1.部分企业对身份安全的重视程度不高。 在网络安全建设上，企业往往重点关注网络防御和外部威胁，对身份安全不够重视，没有意识到身份安全是网络安全的基础，一旦攻击者获取合法用户的身份凭证，他们可以绕过外部防御，“登入”内部网络。

2.对身份的管理难以满足安全需求。 即使企业重视身份安全的防护，但是随着信息化建设的不断加强，信息系统数量不断增加，身份信息分散各个信息系统中，管理费时费力，且容易发生纰漏。由于没有相应的安全管控和认证手段，协同不同系统之间身份安全策略和控制需要，极易导致安全事件发生。

3.企业IT环境越发复杂。 现在企业往往拥有复杂多样的IT环境，包括云端和本地的系统、移动设备、第三方应用等，这些多样性给身份安全管理带来了挑战。

在企业外部，日益严重的个人信息泄露也给企业身份安全带来了挑战：

1.员工身份凭证可能被泄露。 近年来，大规模个人信息泄露事件频频发生，其中不乏身份凭证被直接泄露的情况。即使员工的个人账户信息被泄露，企业也可能因此遭受撞库攻击。

2.个人信息泄露为钓鱼攻击提供了便利。 借助员工的个人信息，攻击者更容易获取企业员工的信任，降低实施钓鱼攻击的难度。

IAM，企业构筑身份安全防线的必由之路

想要防范愈演愈烈的身份安全危机，能够一站式为企业提供身份信息统一管理、多因素认证、最小化授权、单点登录等功能，更适应复杂IT环境的用户身份和访问管理平台（IAM），成为了企业的最佳选择。

芯盾时代用户身份和访问管理平台（IAM），基于零信任理念打造，采用自主研发的统一终端全技术、增强型身份认证技术、连续自适应风险信任评估技术，结合芯盾时代丰富的身份安全项目经验，帮助企业构建智能、动态、高效的身份安全防护体系，实现对身份信息、身份认证、访问权限、安全审计的统一管理，全面提升身份安全水平。 



1.创建唯一身份，权限、审计统一管理

整合企业零散的组织用户数据，创建唯一用户身份标记，形成权威的组织用户体系，建立自动化流转的用户全生命周期管理机制，让员工使用一个账号登录多个业务应用，减少需要记录、使用的密码数量，实现“一个身份，访问全网”。

统一员工身份后，运维人员能够统一设置多个应用的访问权限，统一审计多个应用的访问日志，大幅减少运维量，提升工作效率。

2.统一认证管理，实施全局多因素认证

为企业建设应用门户，统一业务应用的登录入口，并借助单点登录功能，让员工只需认证一次，就能登录所有权限内的业务应用，实现“一次认证，全网通行”。

为企业建立移动认证App，结合员工所知、所持、所有进行多因素身份认证，提供密码、App扫码、短信验证码、动态口令、指纹识别、人脸识别等多种认证方式，让员工在进行身份认证时少输密码、甚至不输密码，兼顾企业网络安全与员工操作便利。



3.提升权限管理能力，实施动态访问控制

芯盾时代IAM支持多种权限管理模型，访问权限粒度细至页面级。运维人员能够根据应用和数据重要等级，选择RCBC、ACBC等权限管理模型，灵活配置访问控制策略，实现基于风险行为的动态授权。

借助芯盾时代用户身份和访问管理平台（IAM），企业能够有效提升身份安全水平，避免因身份信息泄露造成的安全风险，还能够识别合法用户活动和恶意用户活动，降低身份信息泄露给企业带来的威胁。
 

审核编辑：刘清