和许多科技界一样,GlobalSign正在庆祝世界互联网日。万维网日是一个感谢我们通过互联网的出现以及自由浏览和获取信息的能力而建立的连接的日子。
除了免费、开放地获取无穷无尽的信息外,互联网还为企业提供了更快的全球化沟通、更高效的日常业务行为和财务管理,以及采用可持续的混合和远程工作模式的能力,将世界各地的企业及其员工连接起来。这样的例子还有很多。然而,随着我们的效率、速度和连通性的提高,我们的系统和数字身份也暴露于不良行为者的恶意攻击。
在万维网日之际,GlobalSign将密切关注数字身份,以及我们如何在保护数字身份安全的同时继续为企业利用万维网。
什么是数字身份,为什么需要保护它?
数字身份可以是任何东西;它是用户、对象(例如文档)或服务的数字表示或足迹。数字身份的例子包括;网站上的数字证书、身份证明或简单的电子邮件。这取决于上下文以及授权和验证的严格程度。
数字身份有三个主要组成部分:
- 需要标识的人、对象或服务的详细信息
- 第三方,如GlobalSign,用于验证身份
- 最后,信任。用户需要信任所提供的身份。
当我们创新新方法来改善我们的在线体验和更有效地经营业务时,不良行为者也会创新新方法来破坏这一局面。
攻击者多次展示了他们识别和利用我们系统弱点的能力,例如2017年臭名昭著的WannaCry勒索软件攻击,它使整个NHS的运营停止,或者今年最近的Clop攻击,它入侵了一些家喻户晓的企业,以获取它们的工资和其他关键信息。
不保护数字身份会暴露整个业务的运作。
然而,这样的攻击不仅会影响业务本身,还会导致财务和法律问题,以及影响那些未经同意而访问个人数据的个人。
根据GDPR,如果企业发现自己受到攻击,导致数据泄露,他们可能面临高达20万欧元(1750万英镑)或年营业额的4%(以较大金额为准)的罚款,以及管理受泄露影响的个人的个人后果。
3个地方可以识别企业中常见的安全弱点
1. 云计算
云计算是21世纪的关键创新之一,它已经被大大小小的企业所采用,几乎适用于金融、数据存储、项目管理,当然也适用于物联网(IoT)。
然而,如果安全保护不当,云可能成为黑客通过文件和物联网设备访问组织数据的门户,这些设备特别容易受到安全设备妥协或拒绝服务(DoS)攻击。
2. 电子邮件
商务电子邮件攻击 (BEC) 是一种网络钓鱼攻击,通常从已知来源的电子邮件开始,比如供应商甚至是同事,详细描述了联系方式的变更或付款细节,而且越来越难发现。通常罪犯甚至会通过有针对性的社会工程进行研究,从而更容易了解受害者、公司并引诱你上钩。在很短的时间内,网络钓鱼攻击的情报越来越多,目标也越来越精确;WannaCry丑闻本身始于一封电子邮件中的一个钓鱼链接。
3. 网站域名
对于企业来说,通过web服务来运营其大部分业务是一种常见的做法,但这些也可能特别容易受到多种类型的域名系统(DNS)攻击。
通过代码中的漏洞或糟糕的身份验证过程,犯罪分子能够控制网站,访问用户和提供商的数据,将用户重定向到恶意地址,或者仅仅是使网站崩溃。对于企业来说,最常见的情况可能是访问关键数据,如用户的个人或金融数据。
预防法
即使只是简单地探索所有可能导致攻击数字身份的漏洞,也可能使保护数字身份的努力看起来是徒劳的,但有许多方法可以防止这种情况,即通过使用公钥基础设施(PKI)。PKI指的是使用公钥和私钥的组合,仅与经过授权的团体或数字身份保护和共享信息。
-
SSL / TLS
SSL 或 TLS证书建立在PKI加密之上,确保用户访问web域时的端到端安全。这将通过加密私有信息来保护用户的身份,同时证明域是安全的,通常在URL中显示为https (S代表安全)或在浏览器中显示为挂锁。
- 多因素认证
多因素认证 (或双因素身份验证), 通常与应用程序或单点登录(SSO)一起使用,它允许用户在登录系统或服务器时以多种方式证明他们的数字身份,这使得攻击变得更加困难。这有助于确保只有经过授权的方才能访问云存储数据和物联网设备,比单一密码更安全。
- 邮件加密
电子邮件加密,例如S/MIME,通过数字签名来保护电子邮件的安全,以防止在传输过程中对电子邮件内容的任何更改,从而保护任何关键信息不丢失或泄露。使用数字签名的电子邮件,发送者会被第三方验证,并帮助提供信任,确保电子邮件来自发送者(而不是欺骗)。
- 证书自动化
证书自动化是管理数字证书最有效的方法。自动化证书管理意味着企业可以通过确保证书在到期时更新而不是在到期后更新来弥补安全漏洞,同时使证书易于跟踪,从而确保它们符合最新的法规要求。
最终想法
防止对数字身份的攻击,并最终保护业务的最佳方法是确保没有安全漏洞。当攻击者获得一个或大量数字身份时,通常是由于人为错误或企业系统中的薄弱环节。加强潜在的弱点可以防止攻击,并使网上业务能够继续运行。
在GlobalSign,数字身份是我们的工作。通过大量的数字身份服务,我们为组织提供信任,确保其端点、文档、数据等的安全。