目前的身份管理方法存在許多薄弱環節,這些薄弱環節構成了多種形式的網絡犯罪。此外,由于這些孤立的系統沒有重疊,執法機構無法在國際一級進行協調行動。
關于這一點,ID驗證的方法正在進行轉換。安全專業人員提出了新的原則,開發了輔助技術,并指定了測試這些服務的新場景。
現代身份驗證服務的實施與行業各部門之間的互動程度密切相關。在企業和國家級別已經創建了高端解決方案,但其中大多數忽略了互操作性的需要。專家團體正在積極討論這些問題,試圖找到相關的解決方案。
下一代身份驗證系統可以應對相關領域的安全問題,比如通過人工智能算法進行身份欺騙。然而,新的風險仍在繼續出現。
企業和數字服務越來越緊密地聯系在一起。數字交易需要不同系統之間有足夠的信任和機密性,這只能通過統一的身份解決方案來實現。換言之,國際社會需要建立統一的數字身份模型,以降低安全風險。
安全身份驗證的風險
下一代身份驗證系統的發展將使社會在關鍵領域越來越依賴這項技術。因此,針對這種環境的網絡攻擊將會升級。惡意參與者將試圖找到并利用設備和識別機制中的漏洞來訪問敏感數據。
在此背景下,最嚴重的威脅以及破壞此類系統的動機往往來自以下幾個不同層面:
內部威脅,主要以中斷服務或金錢為動機,入侵者通過偽裝成受信任的個人,可以通過繞過物理安全獲取訪問權限;
惡意競爭,主要動機是以此來獲得競爭優勢。犯罪分子可以讓內部人士和其他第三方協同完成攻擊;
國家間的政治對抗,主要以政治和經濟收益為動機。這種類型包括間諜活動、帳戶接管、認證系統妥協和監視等;
有組織犯罪,主要動機是獲取金錢。欺詐手段包括身份盜竊、賬戶接管、數據濫用、認證系統妥協、中間人攻擊和文件偽造;
黑客行為,以擾亂目標運作為動機,對目標造成聲譽損害。可以應用帳戶接管和模擬,以及身份驗證和授權泄漏。
接下來,讓我們了解下當前身份驗證系統的主要安全風險:
隱私:犯罪者可能會獲得大量的個人數據,包括生物識別、行為和地理位置細節。
完整性:破壞這些解決方案的完整性可能會降低生態系統參與者之間的信任。
可用性:攻擊者可能試圖入侵身份驗證基礎架構,以破壞參與者嚴重依賴的服務,從而造成級聯效應。
信息安全專業人員在構建安全的數字身份環境并確保這些服務的可用性和完整性時將面臨新的挑戰。違反可能會導致更嚴重的系統后果,破壞參與者之間的信任,從而破壞網絡空間的有效運行。
安全解決方案
未來的ID驗證將由分布式和異構的基礎設施支持。信任和透明度,以及服務的可靠性,將在全球范圍內發揮重要作用。在這種模式下,減少安全風險是一項復雜的任務,它依賴于一種集體的方法。
由于所有的安全問題都以協調的方式解決,因此該技術無法充分發揮其潛力。信息安全專家需要介入,開發一種數字身份驗證的防篡改技術。
以下是一些在不久的將來可能發生挑戰的應對方法:
保證、信任和透明性:ID驗證基礎架構組件的彈性是通過參與者之間所有交互的透明性來實現的。社區需要了解這樣一個系統中的信任水平,并準確衡量信任差距。這將促進防御的實施,以保持完整性;
共享管理原則:協作國際標準化和認證身份驗證系統將為所有參與者提供基線水平的網絡安全。例如,已經形成了支付交易安全(pcidss)和航空工業(SARPs,ICAO)的標準。這些基本原則將指定數字身份過程的技術要求和性能標準,同時還將解決隱私挑戰。
最終用戶需要控制個人數據,并了解其處理方式以及將數據傳輸給誰。開發針對企業和政治的其他激勵模型將鼓勵所有參與的實體支持ID驗證服務的互操作性和創新,并深刻了解誰負責確保分布式環境不同部分的安全性。
聚集參與者:由不同行業參與者組成的大會將有助于探索其各個部門的互操作性,從而激勵人們制定管理原則以確保適當的安全性。這樣,就有可能在ID驗證區域中選出主要實體(政府,私營部門,社會)和關鍵參與者(銀行,電信服務提供商,技術公司)。這樣的聚集將為部門之間的合作提供新的機會,能夠及時找出并規避建立全球ID驗證基礎設施的主要障礙。
合作運營安全性:信息安全社區必然會迎接嚴峻的挑戰,保護未來分布式的、異構的和內在復雜的身份驗證系統免受黑客及其惡意代碼的攻擊。這應該是數字身份領域所有安全專業人員采取的全新方法和協調行動。
隨著其他技術的發展和下一代身份驗證系統的部署,專家們需要考慮未來潛在的威脅。他們的待辦事項之一是確保分布式組件的量子密碼學達到適當的水平。雖然一些檢測、跟蹤和中和欺詐活動的方法可以用于獨立的身份驗證系統,但它們還沒有為這類端到端解決方案創建。建立系統風險和威脅模型,考慮不同行業參與者的特權很有必要。
通用的事件報告框架將是評估當前風險和優化事件響應率的關鍵。在信息安全社區層面的協調努力以及國際身份驗證安全標準和數據共享的開發將會確保生態系統所有成員的安全水平,并釋放出下一代數字身份技術的真正潛力。
