许多组织尚未投资 PAM 解决方案,因为它们可能成本
数字身份是指代表一个实体的线上数据总和。 数字身份可以代表用户、阻止或电子设备,包括它们的帐户、凭证、证书、行为和使用模式。 在身份访问管理 (IAM) 中,需要使用数字身份来验证用户身份,并授权他们访问敏感数据。
数字身份通常与物理 ID、数字 ID、用户、帐户和数字足迹(用户的线上可追踪数据)交替使用。 然而,数字身份囊括了所有这些不同的身份识别要素。 数字身份通常代表用户试图访问某个组织的系统。 用户的数字身份将使用与用户相关的帐户、数字足迹、数字 ID 和物理 ID,来获取访问权限。
继续阅读,详细了解数字身份、数字身份的构成要素、数字身份的类型、数字身份为何重要、网络犯罪分子如何窃取数字身份以及如何保护数字身份。
数字身份的构成要素
数字身份由能够代表某个实体的所有线上数据组成。 数字数据的类型被称为属性或标识符,对数字身份的所有权进行分类。 这些属性可能基于实体的固有属性、已分配给它们的属性以及它们在网上积累的属性。
构成数字身份的属性示例包括:
数字身份的类型
数字身份可以以数字方式代表用户、组织或电子设备。 通常而言,数字身份可分为三类:
人类数字身份
人类数字身份支持人类用户访问组织内的网络和资源,并拥有访问权限。 这些身份可适用于员工、客户、合作伙伴和供应商。
机器数字身份
机器数字身份可对应用程序、服务器、软件及其他物联网 (IoT) 设备等非人类实体进行身份验证,从而允许其访问组织的网络或系统。
云数字身份
云数字身份提供对云端资源和服务的访问。 人类或机器可以利用此类数字身份访问政府、金融机构、员工和客户的云端系统。
数字身份为何重要?
数字身份在 IAM 中发挥着重要作用。 借助数字身份,用户和机器等实体可以安全访问某个组织的网络、系统和敏感数据。 组织将使用实体的数字身份验证其身份,并确保其经授权可访问组织的系统。
然后,组织可以基于数字身份确定其对组织特定资源的授权。 数字身份允许实体访问现有帐户、创建新帐户,并防止未经授权的用户访问组织的资源。
网络犯罪分子如何窃取数字身份
网络犯罪分子发起基于身份的攻击,以窃取个人和组织的数字身份。基于身份的攻击试图窃取、篡改并滥用某个实体的身份相关信息,如登录凭证、域名、个人身份信息 (PII) 和数字证书。 网络犯罪分子利用组织 IAM 框架的漏洞,窃取数字身份,并在未经授权的情况下访问组织的网络。 以下是网络犯罪分子用来窃取数字身份的常见身份攻击。
网络钓鱼
网络钓鱼是一类社交工程攻击,网络犯罪分子通过冒充同事或合法企业等熟悉面孔或身份,诱骗用户透露个人信息。 网络犯罪分子向受害者发送消息的目的是让受害者点击恶意附件或链接。 如果受害者点击了恶意链接,他们会被重定向至欺骗网站,该网站会在其设备上安装恶意软件或诱骗他们提供登录凭证等个人信息。
中间人攻击
中间人 (MITM) 攻击是网络犯罪分子拦截交换双方之间的数据的一种网络攻击。 网络犯罪分子依赖未加密的网络,如公共或伪造的 WiFi,来查看连接到其中的用户的网络流量。 他们充当交换双方的中间人,窃听、窃取或篡改通过该未加密网络传输的数据,如登录凭证或 IP 地址。
密码相关攻击
密码相关的攻击依赖不良的密码使用习惯,如重复使用密码或使用弱密码。 网络犯罪分子试图通过猜测弱密码或窃取登录凭证,未经授权访问账户或系统。 一些密码相关的攻击包括:
- 暴力攻击:网络犯罪分子利用试错来猜测登录凭证直到猜中的一类网络攻击。 网络犯罪分子使用自动程序猜测常用的字典单词或字母数字组合。
- 凭证填充:使用一组从数据泄露或暗网中窃取的经过验证的登录凭证,并利用它们访问重复使用相同登录凭证的多个帐户的一类网络攻击。
- 密码喷洒:网络犯罪分子使用一个常用密码并试图将其与用户名列表匹配直到匹配成功的一类网络攻击。 若该密码与用户名列表无匹配,网络犯罪分子会使用不同的常用密码重复这一过程。
哈希传递攻击
哈希传递攻击是一种网络攻击,它窃取哈希密码来绕过系统的身份验证协议,获得对某个网络的未经授权的访问权限。 哈希密码是一种加密密码,被编码呈不可读格式,无法解码以显示明文密码。 网络犯罪分子使用哈希密码获取对组织网络的访问权限时,会试图获得更多的未经授权的访问,并在网络内横向移动。
如何保护数字身份
为防止网络犯罪分子窃取数字身份,并获取对某个组织网络的未经授权的访问,您的组织需要采取以下措施。
使用一个商务密码管理器
企业密码管理器是供员工在加密的数字保险库中安全存储、管理并访问其登录凭证及其他敏感数据的工具。 员工只需输入主密码,即可访问数字保险库。
企业密码管理器通过识别弱密码并提示用户设置强密码,有助于保护员工的帐户。 借助此类密码管理器,IT 管理员还可以全面了解员工的密码使用习惯,确保他们使用唯一的强密码。 使用企业密码管理器,员工可以与组织内的成员安全分享密码。
启用 MFA
多因素身份验证 (MFA) 是一种安全措施,要求用户提供额外的身份证明,才能访问某个帐户、设备或网络。MFA 添加额外一层安全,并确保只有获得授权的用户才能访问组织的系统和文件。 即使员工的登录凭证被盗,网络犯罪分子也无法访问敏感信息,因为敏感信息附加身份验证因素的保护。
实行最小权限访问原则
最小权限原则是一个网络安全概念,其中组织赋予用户恰好足够的权限访问他们完成工作所需的资源,仅此而已。 通过实施最小权限访问原则,组织可限制用户对敏感信息的访问,并保护组织的数据。 最小权限访问可减少组织的攻击面,防止威胁行为者横向移动,并最大限度减少内部威胁。
组织可以使用权限访问管理 (PAM) 解决方案,实施最小权限访问原则。 PAM 是指管理并保护可访问高度敏感数据和系统的特权帐户。 PAM 解决方案支持管理员查看整个数据基础架构,并控制哪些人员有权限访问组织的资源。
为员工提供网络威胁识别培训
为保护员工的数字身份,您需要为他们提供识别网络威胁的培训。 网络犯罪分子以员工为目标,通过网络威胁窃取他们的数字身份,并获取对组织系统的未经授权的访问。 通过向员工普及网络威胁并提供规避网络威胁的培训,组织就可以保护其敏感数据免遭安全漏洞事件。
投资更多网络安全解决方案
网络犯罪分子会使用各种技术来窃取您的数据。 您的组织需要投资网络安全解决方案,如杀毒软件和 VPN,来确保您的在线安全。
- 杀毒软件:一种监控、检测、预防和删除已知恶意软件、防止其感染您的设备的程序。 杀毒软件可保护您的组织免遭试图在您的设备上安装恶意软件以窃取用户数字身份属性的攻击。
- 虚拟专用网络 (VPN):一种可以加密您的互联网连接并屏蔽您的 IP 地址的服务,可保护您的在线隐私数据。 通过加密您的互联网连接,VPN 可保护您的数据免遭试图拦截并利用您的数据以获取未经授权的访问的网络犯罪分子攻击。
确保您组织的软件始终更新至最新版本
网络犯罪分子会试图利用在未修复或过时软件中发现的漏洞,以获取对组织系统的未经授权的访问。 为防止网络犯罪分子利用已知的软件漏洞,您的组织需要定期使用补丁更新软件,以消除任何安全漏洞和缺陷。
使用 Keeper® 保护数字身份
数字身份对于验证用户身份并赋予他们访问组织敏感数据的权限非常重要。 网络犯罪分子试图窃取数字身份,来获得对某个组织的网络的未经授权的访问。 组织需要保护其数字身份,以防安全漏洞和数据泄漏事件。 保护数字身份的最佳方式是使用 PAM 解决方案。
KeeperPAM™ 是一种权限访问管理解决方案,允许组织通过综合使用 Keeper 的企业密码管理器 (EPM)、Keeper Secrets Manager® (KSM) 和 Keeper Connection Manager® (KCM),保护其数字身份。 借助 KeeperPAM,组织可以更好地管理特权帐户。申请 KeeperPAM 演示,保护组织的数字身份。