2024年最严重的网络安全泄露事件告诉我们一个道理:身份认证是现代网络攻击的核心。从MOVEit黑客攻击到高级网络钓鱼行动,攻击者利用身份认证系统中的薄弱环节制造混乱。
以下清单基于SC Media过去12个月内的专家见解、研究和真实案例,总结了每个组织都需了解的关键教训。专家们分享了关于问题所在及如何解决这些问题的实用建议。
2024年泄露事件的六大教训
1、默认凭证仍是大问题
攻击者仍在利用默认凭证。2023年(并延续至2024年)的MOVEit泄露事件凸显了这一问题。黑客利用文件传输软件中的漏洞和管理不善的凭证,影响了超过1000家组织,并暴露了敏感的员工目录。此次泄露表明,一些第三方软件供应商未能执行基本的安全卫生措施,如更改默认凭证,从而使系统面临风险。
“这不仅仅关乎你所管理的凭证——还关乎确保你的第三方供应商和合作伙伴也这么做,”Trace3的咨询首席信息安全官Michael Farnum在一次关于身份韧性的网络研讨会上表示。
2、攻击者瞄准高风险用户
2024年,针对高风险用户(高管、IT管理员和第三方供应商)的攻击增加是一个显著趋势。CyberArk的Khizar Sultan在一次网络研讨会上指出,攻击者现在专注于高风险用户,因为他们是安全链中的薄弱环节。
“受到最多攻击的是用户,而不是系统。这些用户能够访问更高价值的资产,因此成为网络钓鱼和恶意软件活动的理想目标,”Sultan解释道。
MOVEit泄露事件中特权用户被利用的情况就是一个例子。攻击者使用网络钓鱼和社会工程学手段窃取供应商凭证,然后提升权限以访问关键系统。
3、社会工程学依然奏效
尽管有多因素认证(MFA)等技术防御措施,但社会工程学仍然极具破坏性。2023年的MGM Resorts泄露事件就是一个典型例证。黑客诱骗一名客服人员重置了特权用户帐户上的MFA,使攻击者能够绕过多个安全层。这一事件强调了为员工提供强大的身份意识培训的必要性。
“社会工程学之所以如此有效,是因为它利用了人类的本性,而不仅仅是技术漏洞,”Asurion的首席安全官Jim Desmond表示。
此外,在CyberRisk Alliance的一项调查中,受访者将社会工程学列为导致泄露的主要原因之一,这表明人为错误往往比系统缺陷更容易被利用。
4、必须采用多层防御
像基本MFA这样的单层防御已经不够了。在《2024年身份状态》报告中,采用多层安全(包括零信任框架、行为分析和防钓鱼MFA)的组织在缓解泄露事件方面表现得更为出色。例如,行为分析能够标记传统工具遗漏的异常登录行为,使组织能够在造成损害之前做出反应。
“韧性不仅仅在于阻止第一次尝试。它还在于检测下一次尝试并实时适应,”Enterprise Security Weekly的主持人Adrian Sanabria在一次关于身份韧性的网络研讨会上解释道。
在MOVEit和Okta泄露事件中,得益于这种多层策略,一些组织成功阻止了后续攻击,这证明了多层策略的有效性。
5、第三方访问:安全的后门
MOVEit安全事件揭示了安全规划中经常忽视第三方软件和供应商的问题。Hudson Rock的研究人员指出,此次事件通过被攻破的第三方系统暴露了包括亚马逊在内的详细员工名录。
身份定义安全联盟(Identity Defined Security Alliance)执行主任杰夫·赖希(Jeff Reich)强调:“仅仅保障自身环境的安全是不够的,还必须考虑供应商及其安全实践。”
德斯蒙德(Desmond)的观察与此不谋而合。在2024年末至2025年初关键身份指导网络研讨会上,他表示:“你如今不仅要管理自己的身份,还要管理合作伙伴、承包商,甚至他们所使用的软件的身份。”
6、恢复:最薄弱的环节
2024年,安全事件的恢复时间令人担忧地缓慢。许多组织缺乏身份恢复协议,导致运营中断和声誉受损。例如,MOVEit安全事件使得受影响的公司忙于应对后果,部分公司的恢复工作耗时数周。
在讨论身份韧性时,MightyID的斯坦克(Steinke)表示:“我们花了太多时间防止安全事件,却忽视了最坏情况发生时该怎么办。在降级状态下运行并迅速恢复的能力,必须是每个组织身份与访问管理(IAM)战略的一部分。”
《2024年身份状态》报告中的CyberRisk Alliance调查结果显示,只有27%的受访者对其组织从安全事件中恢复的能力高度自信,这凸显出大多数企业都未做好充分准备。
这些教训中的每一条都指出了当前IAM战略中的关键漏洞。MOVEit安全事件、网络钓鱼攻击以及对高风险用户的依赖,都强调了需要构建多层防御、改进恢复计划以及加强第三方访问控制。通过从这些事件中吸取教训,组织可以加强其在2025年及以后的身份战略。
