你知道你在网络里面谁谁?

由迈克尔布恩

黑客攻击。您的公司反应。这是大多数公司发现自己的默认位置,尽管他们最好的意图。

积极主动安全是理想的,但是当大多数组织考虑接受性时,他们认为入侵预防......然后他们停止思考。人们忘记的是基本面:身份和访问管理(IAM)。

IAM控制谁进入网络以及他们在内部可以做的事情。很多违规是由粗心的错误引起的,例如向伙伴授予行政权力,其工作人员可以在没有限制的情况下改变或采取他们想要的任何东西。今年早些时候发生了类似的东西,当亚马逊被摧毁的黑客违反了弱密码和贫困的安全卫生来将来自亚马逊供应商的资金转移到黑客自己的银行账户中。

像这样的违规是常见的,但他们不必是。企业领导者需要询问他们的Cisos正在进行的是防止未经授权或过度特权的访问,网络安全专业人员需要重新思考其IAM策略,以确保每个合作伙伴和供应商都完全是他们所需的访问,而不是单个字节。

再见,机器人先生。你好,托尼女高音。
在Not-So-Soid的过去,单独的密码为普通企业提供了足够的保护程度。当用笔和纸进行关键业务运营时,可以使用简单的密码保护用户帐户,并且可以在没有太多风险的情况下共享密码。他们总是有黑客,但他们的低数量和技能水平限制了他们可能造成的损害。这一切都改变了。

连帽衫的黑客的刻板印象已经过时了。黑客现在更有可能成为一个训练,组织和由刑事组织或国家资助的机组人员成员,这些类型的攻击者擅长他们所做的事情。例如,在英国,报告的所有罪行中的36%是网络犯罪,这只是报告的罪行。许多公司不宣传违规,因为宣传可能比攻击更为费用。

网络犯罪分子可能是成功的,因为该方法业务用于相互连接,可以创建大量的解锁门和打开窗口。 SaaS,Cloud,API和供应商自助服务工具的​​兴起模糊了典型网络的界限;您知道您的供应商是您网络的一部分,但您的供应商的供应商呢?了解需要受保护的内容,谁应该有访问,以及所有网络参与者必须到位的安全协议应该是每个人的工作,所以有时它会成为没有人的工作。

密码是passé吗?
每个人都知道123456不是一个很好的密码。然而,人们不仅继续使用123456,而且它实际上也是2016年的最常见的密码......和2015年,以及2014年,以及2013年和2013年。Savvy网络管理员通过定期使用户将密码更改为包含的字符串来quash quashess某个数字和类型的字符。然后它支持团队花费它的日子回答丢失的密码请求,因为没有人可以记住如何登录。也许它队伍应该感激;至少打电话给服务台的人没有在粘滞便笺上写下他们的密码,现在挂在他们的监视器上,窃取,这是任何典型用户群的一半的实践。

群众的多因素身份验证
用于验证身份的三个因素:您知道的东西,如密码;你有什么东西,就像一个fob;或者你就像一个指纹或视网膜一样。黄金标准现在是将至少两个因素纳入IAM计划。这称为多因素身份验证或MFA。

MFA已被用于关键技术环境,如数据中心多年。但是,虽然服务器家伙与使用卡读卡器或虹膜扫描仪一起进入引脚,但典型的最终用户仍然只是使用密码进入其公司系统。与整个劳动力管理物理令牌或生物识别数据相关的问题对于大多数组织来说都是太大的负担。

但是,智能手机已更改了最终用户查看MFA的方式。由于大多数人都有智能手机,他们已经携带了物理令牌,因为大多数人都使用指纹识别来解锁这些手机,他们已经使用了生物识别。员工可能会反抗向公司提供生物识别数据的想法,但他们不介意使用生物识别数据来解锁他们的手机以检索由文本发送的临时密码。

身份验证作为服务
没有人反对多因素认证。常识将表明,如果一个锁是好的,两个锁更好。但商业领袖必须让他们的组织在所有方式确保,他们可能会察觉到实施MFA作为风险的成本和困难。

但是,包括MFA的IAM解决方案不必很难。公司可以通过使用云运行运行运行操作软件的方式来控制访问。

作为服务(AAAS)的身份验证的好处与任何SaaS产品相同:无需维护,更新,升级或安装。但也有额外的福利。与必须按照用户需求发展的CRM或BI解决方案不同,IAM解决方案必须满足更改用户需求和变化的威胁景观。黑客始终致力于改善其技术,策略和程序,因此IAM解决方案需要敏捷。在一个盒子里或需要一个项目经理和工程师的软件来更新的是太慢和笨重,以便在以光速移动的危险世界中提供足够的保护。

整个公司硬化
打开AAAS解决方案就像签订合同一样简单,但与任何IAM实施一样,需要策略策划访问。确定交易圈的哪些成员需要访问哪些服务和数据将为成功的AAAS计划奠定基础。也就是说,有些东西比没有好,所以不要推迟采用AAAS解决方案,直到你的策略完成。基于云的产品的美丽是它的灵活性,因此您可以在演化程序时进行更改。

众所周知,安全不是技术问题;这是一个人的问题。通过删除人们选择123456作为密码的能力,可以防止他们在粘滞便笺上写下他们的密码,并在登录后紧密控制他们的活动,可以建立真正的主动安全性。一个周到的IAM战略是整体安全姿势的重要组成部分。

关于作者
Michael Brengs在软件行业拥有超过23年的经验,并在2000年加入OpenNetwork技术(由BMC软件收购),并随后使用左侧(由Oracle收购),部署身份管理解决方案。他目前是一个具有最佳IDM的管理伙伴。布伦先生参加了南佛罗里达大学,在那里他在管理信息系统中获得了本科学位。我强烈建议您查看我们的解决方案,获得免费试用的OptimalCloud。 SELUCE,可扩展和可自定义,最佳optionalCloud是一个完整的AS-AS-SERVICE(IDAAS)解决方案,具有委派管理和工作流功能,可以自定义,以满足其客户端的特定需求。 OptimalCloud提供私有,安全和专用的云,这对于满足公司安全和合规性限制至关重要。多因素身份验证 - AS-Service产品允许客户使用其现有的上普普或云联合解决方案来实现各种MFA解决方案,包括基于时间的一次性密码(TOTP),短消息服务(SMS),电子邮件和推送身份验证。此外,OptimalCloud的内置云报告系统提供了所有活动的实时历史记录,包括存储在专用专用数据库中的详细粒度报告。最佳最佳方式被计入为经济实惠的平面月费,适合预算和批准要求。

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请