除了FIDO和设备认证…

在我为CIO撰写的最后一篇专栏文章中。com上，我概述了一些关于用户验证消费者和企业帐户的网络安全问题。

除其他事项外，我主张，在这个远程/混合工作时代，CISO必须通过准备好实施网络攻击计划，了解网络窃贼使用的新工具和策略，并意识到可以降低网络安全风险的基于人工智能的新技术，来保护公司对数据的访问。 但首先，我强调，为了更好地保护他们的组织，CISO需要采用（如果他们还没有这样做的话）一些新兴公司提供的不断发展的身份和访问管理技术。

来自其他行业专业人士的回应普遍认为，认证存在一些问题，包括多因素认证（MFA），但一些人问，“FIDO不应该消除所有这些风险吗？FIDO联盟最近不是刚刚宣布了新的用户体验指南，以加快采用FIDO安全密钥的MFA吗？”嗯，是的，但技术专业人士可以做更多的事情。我将在下面解释更多。

为什么是FIDO？

FIDO是一项行业倡议，成立于十年前，旨在标准化对强身份验证/密码技术的需求。它基本上是一套更强的安全认证措施，本质上是设备和第三方服务之间更好的安全“握手”。联盟中的公司包括董事会成员，如苹果、亚马逊、Meta、微软、谷歌和其他科技巨头。总体而言，他们正在寻求解决用户需要创建、维护和记住多个用户名和密码所引起的问题。

虽然这些举措很好，但它们只是解决了设备和终端服务之间的身份验证问题。FIDO为来自浏览器、手机或应用程序的服务提供无缝和安全的身份验证。但现实是，这是一个设备认证，而不是人类认证。 前端还有一个步骤，用户必须使用设备进行身份验证，这可能会受到影响。

身份和访问—用户身份验证挑战

例如，使用我的手机的人脸识别访问，我的孩子可以将我的手机举到我的脸上，然后砰的一声，他们就可以访问了。FIDO提供的所有额外保护都被抹去了。我的孩子可能会使用（和滥用）我的账户。谢天谢地，我把他们养大了。至少我希望如此！

此外，有人可以在他们的设备上创建代表我的假身份。从那时起，第三方服务认为我是用户，因为设备或浏览器已通过身份验证，即使是黑客劫持了我的身份来设置设备。

显然，仍然需要一层连续身份验证和用户身份管理来帮助防止这些攻击。这是关于在持续的基础上识别用户和机器，而不仅仅是在设置或登录时。我们如何才能更好地识别我们真正的用户，同时将以前的用户（员工和承包商）从访问一些最关键系统的用户中剔除？

在这方面，我认为初创企业中出现的一些新产品将非常有利于保护我们的组织。

人与机器

解决人类用户身份和身份验证问题只是问题的一部分。 《安全事务》（Security Affairs）最近的一篇文章指出，“虽然人们需要用户名和密码来识别自己，但机器也需要相互识别自己。但是，机器使用的不是用户名和密码，而是作为机器身份的密钥和证书，以便它们能够安全地连接和通信。”这些也可能受到黑客的危害。

管理云服务、SaaS应用程序和其他系统中使用的设备的身份可能正在成为一个更大的问题。组织通常会建立一个新的web服务，为它及其相关的it资产创建一个标识，一旦它启动并运行，it人员可能不会急于更改或更新这些系统上的安全配置。一旦在设备之间建立了初始依赖关系，就很难切断或更新这些复杂关系。

然而，良好的安全敏锐性将决定是否应该刷新这些数据，这可能是一个巨大的管理问题。 因此，旧的、过时的凭证成为更容易攻击的目标。

黑客越来越多地利用机器而非人类的身份发起攻击。就像愚弄其他人一样，黑客可以愚弄其他机器交出敏感数据。据安全事务部称，鉴于机器身份是企业网络中最不易理解和保护的部分，网络犯罪分子积极利用机器身份也就不足为奇了。从Stuxnet到SolarWinds，攻击者越来越多地滥用未受保护的机器身份发动各种攻击。事实上，在过去四年中，针对弱机器身份的威胁增加了400%。

这是一件大事。

大局

最终，随着公司继续扩大对混合和多云数字服务的使用，需要管理的人和机器实体将越来越多。

首席信息官必须领导IT运营团队，以确保对人和机器的整个身份和访问生命周期进行管理。这可能涉及新的人工智能连接工具，无缝处理集成、检测和自动化。这些工具同样可以限制或扩展人员和自动操作对某些功能的访问，通过修剪不必要的帐户许可证，提高安全性，同时降低成本。

此外，这些解决方案将填补一个空白，这一空白在今天仍然会造成法规遵从性和报告方面的重大问题。 在现有系统中构建完整的审计跟踪是一个开始。自动化已经到位，IT人员可以更好地管理治理。

无论准备好与否，CIO和CISO都需要适应不断变化的身份和访问管理环境，以采用整体战略，否则将面临安全漏洞、法规遵从失败和昂贵罚款的风险。

本文：https://cioctocdo.com/managing-whole-lifecycle-human-and-machine-authen…