黑客六道:移动身份是新的安全边界

Perimeter.jpg


根据Verizon的移动安全指数2019,86%的企业高管表示移动威胁的增长速度超过任何其他企业,67%的企业高管对其移动设备的安全性与其他IT资产相比缺乏信心。


据Statistica称,移动设备是黑客最喜欢的攻击平台,仅今年第一季就安装了超过905,000个恶意软件包,2018年安装了超过530万个恶意软件包。


根据MobileIron的全球威胁报告, 38%的移动设备根据隐私和安全设置分析为组织带来了不必要的风险。


移动设备在您和他们选择参与的众多应用程序,数据和持续活动中反映您和您客户的身份。每个希望通过扩展数字业务战略来重塑自身的企业都将移动设备置于增长计划的中心,因为他们是每个人的身份。

根据IDG最近与MobileIron联合完成  的一项调查显示,89%的安全领导者认为移动设备将成为您在不久的将来访问企业服务和数据的数字身份证,名为Say Goodbye to Passwords。您可以在此处下载该研究的副本。移动设备越来越多地成为企业在其组织中创建和扩展以移动为中心的零信任安全网络所依赖的ID 。


企业比以往任何时候都更依赖移动设备,为每个员工或员工个性化,以启动和扩展新的业务计划。这些因素加在一起导致移动设备的快速扩张和依赖,因为单个数字身份识别企业依靠这些设备来实现无边界边界。以下IDG调查结果反映了企业安全领导者对移动设备何时验证身份访问管理(IAM)的预测:

ZTS-1.jpg


密码不足以实现零信任世界   

最重要的是,密码是零信任世界中最薄弱的防御。在阻止特权基于凭据的违规行为时,由于内部人员共享最有特权的系统访问凭证并且有时会被转售,密码使黑客成为企业系统门的关键。他们不再需要破解他们的方式; 被盗或购买的密码以及Dark Web上提供的特权访问凭证使黑客能够使用企业IT的前门。

无论是IDG公布会同研究在iTunes上,  告别密码   和  密码认证:跨越高安全性和低摩擦的身份管理之间的鸿沟由  企业管理协会(EMA)验证密码有多弱处于零信任的世界,他们需要走的原因很多。以下是一些有利于超越密码的因素,以及以移动为中心的零信任安全框架

  • 虽然95%的企业高管表示他们实施了多因素身份验证(MFA),但有一半以上的用户使用它。高级安全管理人员表示,他们怀疑安全利益(36%),费用(33%)以及用户无法访问敏感信息的决定(45%),这使得MFA毫无意义。

  • 如果可能的话,86%的高级安全管理人员会将密码使用作为身份验证方法事实上,接受调查的人中有近一半的人认为消除密码是减少近一半违规行为的一种方法。感知到的安全缺陷是几乎四分之三的安全领导者表示他们正在积极寻找密码验证替代品的关键原因。

  • 62%的高级安全管理人员表示,密码锁定会对用户造成极大的刺激在员工人数超过5,000人的公司中,报告密码锁定时极度用户受挫的受访者比例上升至67%。用户必须在IT帮助下更改密码,这会严重影响生产力和工作人员的时间。高级安全管理人员希望放弃密码,因为他们需要支持高维护,以及如何从任何组织中消耗时间和生产力。  

创建移动零信任网络

任何企业的新现实都是移动设备身份是新的安全边界。从智能手机到平板电脑的移动设备正在以指数方式扩展企业需要保护的威胁表面,并且密码无法扩展以完成工作。安全访问不仅仅依赖于密码,还需要通过“永不信任,始终验证”的方法来确定,该方法需要在授予访问权限之前验证设备,用户,应用程序,网络以及威胁存在的评估。

确保移动设备身份是新安全边界的无边界企业的巨大挑战需要以移动为中心的零信任网络才能取得成功。零信任在授予对任何设备或用户的安全访问权限之前,验证设备,建立用户上下文,检查应用程序授权,验证网络,检测并修复威胁。零信任平台建立在统一端点管理(UEM)系统及其支持技术之上,包括零登录(ZSO)用户和设备身份验证,多因素身份验证(MFA)和移动威胁检测(MTD)。下图反映了为移动零信任网络配置,授予访问权限,保护,实施和配置访问权限的最佳实践。

ZTS-2.jpg

公众号:一个黑客创业者

发表评论 / Comment

用心评论~