在这次Help Net Security采访中,Push Security首席执行官Adam Bateman谈到了基于身份的攻击的兴起,它们如何逐年变得更加复杂,以及人工智能和机器学习如何助长这些威胁并帮助抵御这些威胁。
贝特曼还讨论了员工培训的作用,以及企业如何平衡强大的安全性和用户友好体验。
当今基于身份的攻击规模如何?
基于身份的攻击每年都在成为一个更大的问题。2023年,全球发生了超过220亿次凭证填充攻击。到2024年,近80%的网络事件与被盗或泄露的凭据有关——尽管多因素身份验证已经存在了一段时间。
它们不仅越来越广泛,攻击者使用的技术和工具也越来越复杂。网络钓鱼攻击现在在MFA到位时可以可靠地绕过MFA,攻击者正在工业规模上利用会话偷竊信息。
2024年身份攻击的分水岭时刻是对Snowflake客户的攻击,攻击针对全球165个组织,使用2020年在信息窃取器感染中被盗的凭据。在违规事件发生后,共有9名公共受害者被点名,共同影响了数亿个客户。这不仅仅是今年最大的违规事件,也可能是有史以来最大的违规事件之一。
为了提高人们对这一不断变化的环境的认识,我们的研究团队创建了一个开源矩阵,其中讨论了最新的基于身份的技术,特别是那些针对云身份和相关SaaS服务的技术。这么多漏洞涉及知名公司,这一事实表明,基于身份的攻击规模变得多么严重。
人工智能和机器学习等新兴技术在身份攻击的推进和防御的发展中发挥着什么作用?
人工智能和机器学习是网络安全的一把双刃剑。一方面,网络犯罪分子正在使用这些技术来使他们的攻击更快、更明智。他们可以创建极具说服力的网络钓鱼电子邮件,生成深度造假内容,甚至找到绕过传统安全措施的方法。例如,生成式人工智能可以制作看起来几乎真实的电子邮件或视频,欺骗人们上当受骗。
另一方面,AI和ML也在帮助后卫。这些技术允许安全系统快速分析大量数据,发现可能表明凭证被盗的异常行为。使用ML的自适应身份验证甚至可以根据风险级别调整安全措施。因此,从受信任的设备登录将很容易,但如果您使用的是新设备,可以触发额外的安全步骤来保护您的安全。
员工培训在防止社会工程和基于身份的攻击方面有多重要,组织应该采用哪些最佳实践?
人为错误是一个大问题,因此您可以拥有最好的安全系统,但如果员工没有接受过培训,您仍然面临风险:Verizon的2024 DBIR发现,69%的漏洞涉及人为因素。
有针对性的安全培训可能是有用的,但一般来说,您希望尽可能减少对人类的依赖。这就是为什么能够满足用户所在位置的控制至关重要。如果您能提供时间点指导,或者直接在技术上防止用户在网络钓鱼网站中输入密码等事情,这大大减少了对人类每次在没有辅助的情况下做出正确决定的依赖。当您考虑即使是安全专业人员发现更复杂的网络钓鱼网站有多难时,我们必须通过技术控制尽可能地帮助人们。
即使经过世界上所有的培训,人们也不可避免地会犯错——例如,我们看到的密码重复使用量确实凸显了这一点。即使是用于跨多个服务的单点登录(SSO)的最敏感的IdP creds,也无法免受密码重复使用。这是员工教育和技术可以齐头并进的地方。员工可以接受停止重复使用密码的培训,但安全团队必须有工具来指导他们——例如强制自动重置密码或MFA部署,或在他们试图将他们的cred输入网络钓鱼网站时进行干预。
企业如何平衡安全性和可用性,确保他们的防御不会成为合法用户活动的障碍?
当然,这是一个棘手的平衡。严格的安全性可能会让用户感到沮丧并减慢工作流程,而过于访问的便利性可能会使系统容易受到攻击。此外,如果安全措施过于严格,人们会感到沮丧,并寻找削弱安全的捷径。SSO和无密码身份验证等工具使登录更容易,同时保持强大的保护。
我觉得组织必须查看他们的攻击表面——他们正在使用的应用程序、员工如何登录、这些身份如何相互连接——并有权相应地定制这些控制或限制。
例如,一些应用程序总是比其他应用程序具有更高的灵敏度,因此您绝对希望确保密码强,无凭据重复使用,抗网络钓鱼MFA等。另一方面,在其他情况下,您可以更宽容一些,但在影响其中一个应用程序的持续第三方漏洞的背景下,这种情况可能会迅速改变。我们理念的很大一部分是为公司提供尽可能用户友好的工具,但也有能力在需要时拨出这些安全保护措施。
文章来源:helpnetsecurity
暂无评论内容