新型攻击手段频发，企业如何提升身份安全防护力？

新型攻击手段频发，企业如何提升身份安全防护力？

随着网络威胁的日益复杂，传统的多因素认证（MFA）已难以应对新型攻击手段。本文将探讨当前企业面临的常见身份认证攻击方式，并介绍基于AI、区块链和后量子密码学的下一代身份认证解决方案。

企业遇到常见的攻击方式

中间人（MitM）攻击

中间人（MitM）攻击是一种常见的网络安全威胁，攻击者通过在通信双方之间进行插入或拦截，从而获取敏感信息或操纵信息传输。Uber在2022年遭遇了一起针对MFA的严重网络安全事件。攻击者通过向员工发送虚假的MFA通知，结合社会工程学手段，诱骗其点击恶意链接并输入凭证，最终获得了内部系统的访问权限。可见，即使启用了MFA，员工的安全意识薄弱也可能导致身份认证被破坏。

SIM卡交换攻击

通过SMS文本发送一次性密码是传统MFA技术最常用的身份验证方法之一。攻击者首先会冒充真正的用户，声称原始的SIM卡丢失或被盗，并通过伪造身份信息或其他方式促使电信服务商尽快补发新的SIM卡。一旦攻击者安装新的SIM卡，可以用新卡来完成MFA检查、重置账户凭据，从而非法访问公司资源。据统计，2023年此类攻击造成的损失超过6800万美元，影响了大量个人和企业账户的安全。尤其是对于金融行业用户，SIM卡交换攻击往往直接导致账户资金的损失。

Pass-the-cookie攻击

在身份认证中，cookie就像“驾驶执照”，它在未过期之前能够验证用户的合法身份，允许他们免去多次登录的麻烦，并且可以不受限制地访问资源。会话cookie是用户浏览网站时浏览器与服务器之间交换的重要凭证，一旦被窃取，攻击者就可以绕过了传统的身份认证步骤，直接获得了进入系统的“通行证”，使得他们能够随意访问目标账户内的所有内容。攻击者可能会利用这一权限中断业务，进行非法交易或窃取商业机密。由于许多企业依赖云服务进行日常运营，Pass-the-Cookie攻击可能带来长期的业务中断和收入损失。

MFA疲劳

MFA疲劳攻击是近年来不断升级的网络攻击手段，攻击者利用用户的注意力和疲劳来绕过多因素认证（MFA）的防御措施。具体而言，攻击者会反复向用户发送大量的MFA推送通知，即所谓的“通知轰炸”。这些频繁的通知会让用户因疲于应对而产生混淆或厌烦心理，从而在不加细查的情况下“默认通过”验证请求。通过向他们发送大量伪造的MFA通知，增加出错几率，使攻击者得以成功绕过MFA验证并获得访问权限。

下一代三大身份认证方式，快速提升身份安全防护力

基于AI实现的CAMFA

「持续自适应多因素认证（Continuous Adaptive Multi-Factor Authentication，CAMFA）」是一种安全身份验证方法，它在自适应多因素认证（基于上下文属性判断当前安全状况以增加因素认证）的基础上增加了实时风险评估技术对用户进行动态评估安全系数。CAMFA通过集成AI和机器学习算法，能够从用户的行为数据中识别潜在威胁，实时监测并评估用户风险。当系统从断层登录检测到用户时，或尝试访问其平时不常接触的的敏感资源时，AI会标记这些异常行为并触发相应的安全响应步骤，如动态增加认证要求。基于AI的分析能够在短时间内完成风险评估，自动决定是否进行额外的验证步骤，确保对异常活动的快速反应。

基于区块链技术的身份管理

基于区块链的身份认证系统允许用户对自己的身份信息进行掌控，选择性地与第三方共享必要的信息，而无需依赖中心化的身份提供商。这种自主身份( Self-Sovereign Identity，SSI )模型不仅增强了隐私保护，也使身份认证过程更加透明和安全。智能合约作为区块链的重要特性，可以自动化访问控制流程，消除人为错误，提高合规性。

后量子密码系统

随着量子计算的发展，传统加密算法面临被破解的风险。而后量子密码学致力于开发能够抵御量子计算攻击的密码算法，如格基密码和哈希签名等。抗量子密码（PQC），也称后量子密码，是能够抵抗量子计算对公钥密码算法攻击的新一代密码算法，旨在研究密码算法在量子环境下的安全性，并设计在经典和量子环境下均具有安全性的密码系统。其基于数学原理，以软件和算法为主，依赖计算复杂度，易于实现标准化、集成化、芯片化、小型化和低成本，能够提供完整的加密、身份认证和数字签名等解决方案。PQC的出现，可有效地防止攻击者窃取和破解加密信息，为网络信息安全提供保障。

除了抗量子密码外，将现有密码系统向能够抵御量子计算攻击的后量子密码系统迁移也是一项重要任务。后量子迁移过程需对现有的密码系统进行评估和分析，确定其在量子计算机攻击下的脆弱性，并设计出能够抵御量子攻击的替代方案。