問題的國際范圍
當前的身份管理方法存在許多薄弱環節,這些薄弱環節成為網絡犯罪分子的目標。此外,這些孤立的系統沒有整合或重疊,這使執法機構無法在國際層面上進行協調。
在這一點上,身份驗證的方法正在轉變。安全專業人員提出了新的原則,開發了輔助技術,并指定了測試這些服務的新方案。
現代身份驗證服務的實施與各行業各個部門之間的交互程度密切相關。高端解決方案已經在企業層面和國家層面上創建,但是其中大多數忽略了互操作性的需求。一些行業專家正在積極討論這些問題,以試圖找到相關的解決辦法。
下一代身份驗證系統可以應對相關領域的安全問題,例如通過人工智能算法進行身份識別,然而新的風險也在不斷出現。
商業和數字服務正變得越來越相互關聯。數字交易要求不同系統之間有足夠的信任和保密性,這只能通過統一的身份解決方案來實現。換句話說,全球各地的組織需要創建一個統一的數字身份模型來降低安全風險。
安全身份驗證的風險
下一代身份驗證系統的發展將使社會在關鍵領域越來越依賴這項技術。因此,針對這種環境的網絡攻擊將不斷升級。惡意行為者將試圖發現并利用設備和識別機制中的漏洞來訪問敏感數據。
就是說,需要了解在這種情況下面臨的最大威脅以及破壞此類系統動機的不同方面。
內部威脅。動機:服務中斷或獲利。偽裝成可信任個體的入侵者可以利用通過規避物理安全性獲得的訪問權限。
不道德的競爭。動機:獲得競爭優勢。網絡犯罪分子可以利用內部人員和其他第三方實施攻擊。
敵對國家的攻擊行為。動機:政治和經濟利益。這種類型涵蓋間諜活動、帳戶接管、身份驗證系統入侵和監視。
有組織的犯罪。動機:獲利。這些狡猾的措施和手段包括身份盜竊、賬戶接管、數據濫用、認證系統泄露、中間人(MITM)攻擊和文件偽造。
黑客行為。動機:影響企業目標,造成聲譽損害。帳戶接管和模擬,以及身份驗證和授權。
以下概述目前身份驗證系統的主要安全風險。
隱私:犯罪者可能會獲取大量個人數據,其中包括生物特征識別、行為和地理位置詳細信息。
完整性:破壞這些解決方案的完整性可能會減少生態系統參與者之間的信任。
可用性:網絡攻擊者可能試圖入侵身份驗證基礎設施,破壞參與者嚴重依賴的服務,從而造成級聯效應。
在構建安全的數字身份環境并確保這些服務的可用性和完整性時,信息安全專業人員將面臨新的挑戰。違約可能會帶來更嚴重的系統性后果,破壞參與者之間的信任,從而支持網絡空間的有效運行。
安全解決方案
未來的身份驗證將由分布式異構基礎設施提供支持。信任和透明度以及服務的可靠性將在全球范圍內發揮根本性作用。在這種模式下降低安全風險是一項復雜的任務,取決于集體方法。
除非以協調的方式解決所有安全問題,否則這項技術就無法發揮其全部潛力。信息安全專家需要參與開發一種用于數字身份驗證的防篡改技術。
這里有一些可能的方法來應對在不久的將來可能面臨的挑戰。
(1)保證、信任和透明度:身份驗證基礎設施組件的彈性是通過參與者之間所有交互的透明性來實現的。社區將需要了解這種系統中的信任級別,并準確衡量信任差距。這將有助于實施防御措施以保持完整性。
盡管在區域和國家兩級為自主身份驗證服務制定方法和安全標準方面取得了重大進展,但對于分布式身份框架仍沒有統一的標準,以確保不同網絡空間部門方法的兼容性,并建立良好的信任度。這些標準需要在國際范圍內形成,借鑒以前的經驗(開源代碼和FIDO或DID等聯盟),并提供新的方法。
(2)共享的管理原則:在國際范圍內對身份驗證系統進行標準化和認證的共同努力將為所有參與者提供網絡安全的基線水平。例如,已經為支付交易安全(PCIDSS)和航空業(SARP和ICAO)制定了此類標準。這些基本原則將為數字身份認證過程指定技術要求和性能標準,同時還要解決隱私挑戰。
最終用戶需要控制個人數據,并了解如何處理這些數據以及向誰傳輸這些數據。為企業和政治制定額外的激勵模型將鼓勵所有相關實體支持身份驗證服務的互操作性和創新,同時深入了解誰負責確保分布式環境不同部分的安全。
(3)使參與者聚集在一起:將不同行業參與者聚集在一起將有助于探索其各個部門的互操作性,為制定管理原則以確保適當的安全性創造激勵。這樣,就有可能選出身份驗證領域的主要實體(政府、私營部門、社會)和主要參與者(銀行、電信服務提供商、科技公司)。
這樣將為組織各部門之間的合作提供新的機會,不僅確定建立全球身份驗證基礎設施的主要障礙,而且還規避了這些障礙。經濟、政治甚至危機因素(例如發生的冠狀病毒疫情)都強調了采取協作行動的必要性,并自然形成了下一代身份驗證服務。
(4)合作運營安全性(OPSEC):信息安全團隊必然要面對嚴峻的挑戰,保護未來分布式、異構和固有的復雜身份驗證系統免受黑客及其惡意代碼的攻擊。這些應該是數字身份領域所有安全專業人員的全新方法和協調行動。
隨著其他技術的發展和下一代身份驗證系統的部署,專家將需要考慮未來的潛在威脅。待辦事項清單上的一件事是確保適當水平的分布式組件量子加密。雖然某些檢測、跟蹤和消除欺詐活動的方法可用于隔離的身份驗證系統,但尚未為此類端到端解決方案創建這些方法。需要系統的風險和威脅建模,以考慮不同行業參與者的特權。
通用的事件報告框架將是評估當前風險和優化事件響應率的關鍵。在信息安全區層面的協調努力以及國際身份驗證安全標準和數據共享的制定,將確保生態系統所有成員的安全水平,并釋放下一代數字身份技術的真正潛力。
