小新采用更强大的身份认证、最新的意识培训和数据驱动的方法来对抗网络威胁是企业可以为其网络安全计划进行的最大投资之一。
部署(或加强)多因素身份验证
在信息安全投资回报率方面,多因素身份验证是难以匹敌的。事实证明,除了用户名和密码之外,还需要第二种形式的身份验证来防止绝大多数基于凭据的攻击。但是,并非所有形式的 MFA 都是平等的。最近,黑客一直在使用网络钓鱼等技术绕过一些常见的 MFA 方法,例如发送到 SMS 和移动推送通知的一次性密码。因此,虽然尚未拥有 MFA 的企业仍然可以从部署任何类型的技术中受益,但那些想要“不可钓鱼”的 MFA 的企业将希望考虑推出硬件安全密钥,这需要用户物理触摸按键才能完成登录。在可用的情况下,号码匹配——用户将浏览器中显示的代码输入手机,而不是相反——是 MFA 安全性的另一个潜在步骤。
探索无密码身份验证
虽然它仍然是一个新概念,但无密码身份验证为企业带来了很多希望,尽管在这个阶段无密码的方法确实有所不同。有些只是允许用户跳过输入密码——例如,通过使用指纹或面部识别等生物识别技术。其他选项完全消除密码,例如完全依赖移动设备的身份验证功能,或者通过使用将凭据嵌入设备的生物特征和密码学的组合。与此同时,一项旨在扩大无密码技术使用的新行业努力也在进行中:苹果、谷歌和微软已承诺在他们的平台上支持“密码”身份验证,旨在允许登录第三方应用程序和服务而无需密码。
让意识培训保持最新
由于人类本身往往是最薄弱的环节,因此许多组织此时都了解对员工进行安全意识培训的价值。但是,当训练方案落后于当前的攻击者趋势时,这个价值可能会降低。例如,许多培训计划已经警告用户在试图发现网络钓鱼攻击时寻找“关闭”的细节。但是今天,许多网络钓鱼攻击并不那么明显;事实上,用户越来越多地指向的网络钓鱼邮件和网站看起来非常合法. 试图让员工发现虚假信息可能不再是最好的关注点。然而,没有改变的是,网络钓鱼请求通常是突然出现的,并且主要强调情况的紧迫性,这仍然可以作为可疑事件发生的线索。
使员工能够安全地工作
除了培训之外,企业还可以做一些其他事情——或者在某些情况下不做——来帮助鼓励员工的安全行为。责骂员工使用未经授权的应用程序,也就是“影子 IT ”,越来越多地被认为是“不应该做”的事情。北极狼首席信息安全官 Adam Marrè 表示,与其告诫员工这种冒险但通常是出于善意的做法,不如让员工觉得他们可以在出于生产力原因使用未经批准的应用程序时进行自我报告。他说,理想情况下,员工在他们使用的应用程序方面会感到有能力“做正确的事”——如果员工害怕遇到麻烦,这种情况就不会发生。
正确看待风险
企业总是可以选择优先考虑哪些类型的网络威胁。但根据 CrowdStrike 的说法,尽管人们担心来自恶意软件的威胁,但现实情况是绝大多数恶意活动不包括对恶意软件的任何使用。该公司的 Falcon OverWatch 威胁搜寻部门最近的一份报告发现,现在 71% 的恶意活动完全没有恶意软件——而是依赖于使用其他策略,例如窃取凭据。CrowdStrike 首席技术官 Michael Sentonas 表示,为了将风险保持在正确的角度,“我们确实必须提高对对手使用的实际贸易手段的认识。” 他说,与基于恶意软件的攻击相比,基于凭证的攻击所带来的威胁“需要比现在更多的关注”。
川公网安备 51019002003012号