身份定义的安全联盟的网络安全专家小组身份管理日2022建议大量采用多因素身份验证(MFA)和无密码解决方案,并强调有关基于数字身份的攻击的教育,以防止安全漏洞的祸害。
在活动的小组预防与身份相关的攻击的小组中,专家试图回答为什么预防与数字身份相关的违规行为的进展仍然停滞不前,以及组织和个人如何缩小差距。
Semperis服务总监小组负责人Sean Deuby向小组提出,人类是身份安全链中最弱的联系。罗伯特一半的首席信息安全官克林特·枫树(Clint Maples)说,这个问题出现了,因为“我们这样做了。” Maples说,计算机系统和授权是“可怕的”,因为它们很复杂,需要太多步骤,这意味着身份和身份验证必须仅以做出正确的决定为中心。
Maples补充说,以身份为中心的攻击已从2020年到2021年翻了一番,成为第二个最常见的攻击,距离漏洞的安全性错误接近,并预计它们超过了第一名,突显了提高安全性和身份验证方式的重要性,并使其更容易。
星巴克全球网络安全服务总监Manish Gupta认为,重新训练人们习惯使用计算机方式的人们是一个更广泛的挑战。世界各地的法规,文化差异和技术挑战也被列为与身份相关的安全性的障碍。 Gupta的名称示例例如偏爱QR代码而不是MFA和Google在中国没有使用,这意味着没有Google Play商店可以为Android智能手机下载身份应用程序。干扰使用面部识别的远程交易的环境环境甚至可以包括口罩顶部的厚墙壁和地下室。
Target网络安全高级总监汤姆·谢菲尔德(Tom Sheffield)指出,“差距是我们跌倒的地方。”他说,要插入它们,必须建立身份,以执行MFA,需要强大密码,保护共享帐户并部署强大的生命周期功能的治理基础建立身份。谢菲尔德强调有必要对上述治理能力的重要性发声,并倡导他们对客户的必要性。然后,他建议,网络安全专家发现要填补的漏洞。
“我们有一个技能差距,我们仍然有一种看法,这整个事情非常复杂,” Kuppingercole的创始人兼首席分析师Martin Kuppinger对中小型组织的网络安全。他补充说:“我们必须投资于对身份安全的许多事情进行教育。”他提到MFA是有助于这一运动的简化身份安全过程。
小组成员经常将MFA命名为当今网络安全产品的必备品。枫树说一个硕士菲多由于“ MFA轰炸攻击”的威胁要捕食人们的不耐烦和SMS身份验证的弱势安全性,因此令牌将是他“爱”看到的东西。他总结说:“ MFA万物,摆脱系统密码。”他也提供了对无密码解决方案的支持。
谢菲尔德说,任何MFA总比没有好,这是Microsoft的分析,该分析说,MFA可以解决99.9%的帐户折衷攻击,并表示,FIDO注册和生物识别登录(如Target上的笔记本电脑上的指纹读取器)取得了成功。但他指出,关键部分是认识到端点和漏洞在哪里,然后应分阶段推出MFA,以识别风险,并简化安全环境以最大程度地减少攻击面。
“归根结底,这取决于我们的身份和网络安全专业人员,不仅要做更多的教育,而且要多得多。我们必须在我们的空间中做更多的事情,以使我们的决定确实很难,如果不是不可能的,做出了错误的决定。您如何做出正确的决定成为唯一可能的决定?”谢菲尔德说,指的是逐个设计的原则。
为了防止成为网络安全攻击的下一个受害者,古普塔说:“我们必须通过开始将密码视为déclassé的动作来走开,”使用无密码的解决方案。
谢菲尔德告诉小组和受众了解其业务,威胁,风险,用户和客户与当前头条新闻。 “对于某些人来说,您必须立即忽略这种炒作,专注于您的旅途中的位置,今天的风险,然后对您的风险和风险和风险水平进行实施,然后从那里开始。
活动期间的其他演讲者包括代表Miter Corporation,,,,福犬, 和ping身份。
IDSA还在第二届年度赛事上推出了身份管理奖的获奖者。 Allstate和West-Mark分别以企业和SMB类别的“年度身份管理项目”获得授予,而Adobe则以“基于最佳身份的Zero Trust Initiative”和Comcast Identity and Access Managect Management Rajnish Bhatia赢得了冠军。
