目前的身份管理方法存在許多薄弱環(huán)節(jié),這些薄弱環(huán)節(jié)構(gòu)成了多種形式的網(wǎng)絡(luò)犯罪。此外,由于這些孤立的系統(tǒng)沒有重疊,執(zhí)法機(jī)構(gòu)無法在國際一級進(jìn)行協(xié)調(diào)行動。
關(guān)于這一點,ID驗證的方法正在進(jìn)行轉(zhuǎn)換。安全專業(yè)人員提出了新的原則,開發(fā)了輔助技術(shù),并指定了測試這些服務(wù)的新場景。
現(xiàn)代身份驗證服務(wù)的實施與行業(yè)各部門之間的互動程度密切相關(guān)。在企業(yè)和國家級別已經(jīng)創(chuàng)建了高端解決方案,但其中大多數(shù)忽略了互操作性的需要。專家團(tuán)體正在積極討論這些問題,試圖找到相關(guān)的解決方案。
下一代身份驗證系統(tǒng)可以應(yīng)對相關(guān)領(lǐng)域的安全問題,比如通過人工智能算法進(jìn)行身份欺騙。然而,新的風(fēng)險仍在繼續(xù)出現(xiàn)。
企業(yè)和數(shù)字服務(wù)越來越緊密地聯(lián)系在一起。數(shù)字交易需要不同系統(tǒng)之間有足夠的信任和機(jī)密性,這只能通過統(tǒng)一的身份解決方案來實現(xiàn)。換言之,國際社會需要建立統(tǒng)一的數(shù)字身份模型,以降低安全風(fēng)險。
安全身份驗證的風(fēng)險
下一代身份驗證系統(tǒng)的發(fā)展將使社會在關(guān)鍵領(lǐng)域越來越依賴這項技術(shù)。因此,針對這種環(huán)境的網(wǎng)絡(luò)攻擊將會升級。惡意參與者將試圖找到并利用設(shè)備和識別機(jī)制中的漏洞來訪問敏感數(shù)據(jù)。
在此背景下,最嚴(yán)重的威脅以及破壞此類系統(tǒng)的動機(jī)往往來自以下幾個不同層面:
內(nèi)部威脅,主要以中斷服務(wù)或金錢為動機(jī),入侵者通過偽裝成受信任的個人,可以通過繞過物理安全獲取訪問權(quán)限;
惡意競爭,主要動機(jī)是以此來獲得競爭優(yōu)勢。犯罪分子可以讓內(nèi)部人士和其他第三方協(xié)同完成攻擊;
國家間的政治對抗,主要以政治和經(jīng)濟(jì)收益為動機(jī)。這種類型包括間諜活動、帳戶接管、認(rèn)證系統(tǒng)妥協(xié)和監(jiān)視等;
有組織犯罪,主要動機(jī)是獲取金錢。欺詐手段包括身份盜竊、賬戶接管、數(shù)據(jù)濫用、認(rèn)證系統(tǒng)妥協(xié)、中間人攻擊和文件偽造;
黑客行為,以擾亂目標(biāo)運作為動機(jī),對目標(biāo)造成聲譽損害。可以應(yīng)用帳戶接管和模擬,以及身份驗證和授權(quán)泄漏。
接下來,讓我們了解下當(dāng)前身份驗證系統(tǒng)的主要安全風(fēng)險:
隱私:犯罪者可能會獲得大量的個人數(shù)據(jù),包括生物識別、行為和地理位置細(xì)節(jié)。
完整性:破壞這些解決方案的完整性可能會降低生態(tài)系統(tǒng)參與者之間的信任。
可用性:攻擊者可能試圖入侵身份驗證基礎(chǔ)架構(gòu),以破壞參與者嚴(yán)重依賴的服務(wù),從而造成級聯(lián)效應(yīng)。
信息安全專業(yè)人員在構(gòu)建安全的數(shù)字身份環(huán)境并確保這些服務(wù)的可用性和完整性時將面臨新的挑戰(zhàn)。違反可能會導(dǎo)致更嚴(yán)重的系統(tǒng)后果,破壞參與者之間的信任,從而破壞網(wǎng)絡(luò)空間的有效運行。
安全解決方案
未來的ID驗證將由分布式和異構(gòu)的基礎(chǔ)設(shè)施支持。信任和透明度,以及服務(wù)的可靠性,將在全球范圍內(nèi)發(fā)揮重要作用。在這種模式下,減少安全風(fēng)險是一項復(fù)雜的任務(wù),它依賴于一種集體的方法。
由于所有的安全問題都以協(xié)調(diào)的方式解決,因此該技術(shù)無法充分發(fā)揮其潛力。信息安全專家需要介入,開發(fā)一種數(shù)字身份驗證的防篡改技術(shù)。
以下是一些在不久的將來可能發(fā)生挑戰(zhàn)的應(yīng)對方法:
保證、信任和透明性:ID驗證基礎(chǔ)架構(gòu)組件的彈性是通過參與者之間所有交互的透明性來實現(xiàn)的。社區(qū)需要了解這樣一個系統(tǒng)中的信任水平,并準(zhǔn)確衡量信任差距。這將促進(jìn)防御的實施,以保持完整性;
共享管理原則:協(xié)作國際標(biāo)準(zhǔn)化和認(rèn)證身份驗證系統(tǒng)將為所有參與者提供基線水平的網(wǎng)絡(luò)安全。例如,已經(jīng)形成了支付交易安全(pcidss)和航空工業(yè)(SARPs,ICAO)的標(biāo)準(zhǔn)。這些基本原則將指定數(shù)字身份過程的技術(shù)要求和性能標(biāo)準(zhǔn),同時還將解決隱私挑戰(zhàn)。
最終用戶需要控制個人數(shù)據(jù),并了解其處理方式以及將數(shù)據(jù)傳輸給誰。開發(fā)針對企業(yè)和政治的其他激勵模型將鼓勵所有參與的實體支持ID驗證服務(wù)的互操作性和創(chuàng)新,并深刻了解誰負(fù)責(zé)確保分布式環(huán)境不同部分的安全性。
聚集參與者:由不同行業(yè)參與者組成的大會將有助于探索其各個部門的互操作性,從而激勵人們制定管理原則以確保適當(dāng)?shù)陌踩浴_@樣,就有可能在ID驗證區(qū)域中選出主要實體(政府,私營部門,社會)和關(guān)鍵參與者(銀行,電信服務(wù)提供商,技術(shù)公司)。這樣的聚集將為部門之間的合作提供新的機(jī)會,能夠及時找出并規(guī)避建立全球ID驗證基礎(chǔ)設(shè)施的主要障礙。
合作運營安全性:信息安全社區(qū)必然會迎接嚴(yán)峻的挑戰(zhàn),保護(hù)未來分布式的、異構(gòu)的和內(nèi)在復(fù)雜的身份驗證系統(tǒng)免受黑客及其惡意代碼的攻擊。這應(yīng)該是數(shù)字身份領(lǐng)域所有安全專業(yè)人員采取的全新方法和協(xié)調(diào)行動。
隨著其他技術(shù)的發(fā)展和下一代身份驗證系統(tǒng)的部署,專家們需要考慮未來潛在的威脅。他們的待辦事項之一是確保分布式組件的量子密碼學(xué)達(dá)到適當(dāng)?shù)乃健km然一些檢測、跟蹤和中和欺詐活動的方法可以用于獨立的身份驗證系統(tǒng),但它們還沒有為這類端到端解決方案創(chuàng)建。建立系統(tǒng)風(fēng)險和威脅模型,考慮不同行業(yè)參與者的特權(quán)很有必要。
通用的事件報告框架將是評估當(dāng)前風(fēng)險和優(yōu)化事件響應(yīng)率的關(guān)鍵。在信息安全社區(qū)層面的協(xié)調(diào)努力以及國際身份驗證安全標(biāo)準(zhǔn)和數(shù)據(jù)共享的開發(fā)將會確保生態(tài)系統(tǒng)所有成員的安全水平,并釋放出下一代數(shù)字身份技術(shù)的真正潛力。
