賭場和酒店巨頭米高梅最近因遭遇災難性的數據泄露而登上頭條新聞，而這起數據泄露事件正是一場老式的社會工程攻擊造成的。一個勒索軟件組織在 LinkedIn 上獲取了一名員工的信息后，成功通過電話釣魚，然后利用獲取的憑證進入了米高梅的系統。 

其結果是米高梅客戶的姓名、社會安全號碼和駕駛執照遭到嚴重泄露——這清醒地提醒我們一個簡單的身份信息能造成什么樣的后果。

人工智能：身份安全的秘密武器？

歸根結底，身份管理就是在正確的時間為正確的用戶（人類和機器）提供正確的訪問級別。96 % 的組織認為，如果他們專注于適當的安全措施，他們本可以防止違規行為，但65% 的組織尚未實施多因素身份驗證 (MFA) 和單點登錄 (SSO) 等基本身份安全措施。

當您的組織擁有數百或數千個身份時，唯一的出路就是自動化。由于缺乏可視性和控制力，52％的員工身份可以隨時訪問組織最關鍵的系統和敏感數據 – 這是一場即將發生的災難。 

高級 IAM 解決方案使用 AI 和機器學習 (ML) 來自動化盡可能多的身份安全方面。AI和 ML 會在用戶需要時自動提供和取消提供身份，而現代 IAM 解決方案會持續監控資產中的可疑活動、檢測威脅并自動補救。如果正確執行，自動化身份安全將大幅提高生產力，因為不會出現訪問管理延遲或事件響應停機。 

為什么身份信息會面臨如此大的危險？互聯網的集中控制結構意味著，只有少數公司擁有大量數據。如果沒有第三方（很可能是私人公司）的幫助，就無法驗證您的身份。 

相比之下，區塊鏈等去中心化結構以加密方式保護身份信息，因此無法刪除或篡改。此功能使數據更難泄露，這意味著您完全擁有數字身份，無需第三方介入。?

人的因素在其中起什么作用？

不幸的是，即便是最全面、最堅固的網絡安全策略，人類也是最薄弱的環節。需要證據嗎？

90% 的網絡安全漏洞與身份有關，黑客經常通過社交工程策略瞄準員工以獲取身份。例如，網絡釣魚攻擊的狀況已經非常嚴峻，每天有34 億封惡意電子郵件被發送。雖然人工智能等新技術將促進身份安全，但也會阻礙身份安全。37 % 的組織擔心生成式人工智能會讓網絡釣魚攻擊更難以察覺。

您可能會在緊張地更改密碼時問，那么解決方案是什么呢？

網絡意識培訓（如網絡釣魚模擬）可幫助您的員工了解身份安全的基礎知識和復雜性，并支持他們實施更廣泛的 IAM 策略。身份安全最佳實踐的有效性取決于其實施。如果沒有員工的認同和行動，您就無法保證安全文化。

你的員工就是你的未來

隨著世界走向更加規避風險的狀態，員工網絡意識培訓將進一步體現其價值。 

例如，網絡保險公司正在制定更嚴格的公司投保準則，并收緊保單條款和條件，以減少大量攻擊造成的損失。平均每 39 秒就會發生一次攻擊，誰能責怪他們呢？

保險公司才是掌控者。組織買不起保險，但又不能不買。一些身份安全協議（如 MFA）是強制性的，符合保險條件意味著證明您的企業采取了積極主動的安全措施。 

歐盟的《通用數據保護條例》（GDPR）和《加州消費者隱私法案》（CCPA）等監管和合規框架也有類似的嚴格要求，而美國證券交易委員會等機構則要求進行透明的風險管理評估，并讓每位員工都參與其中。

建立身份安全文化 

采用最新的 AI、ML 和 IAM 工具只是解決方案的一部分。網絡安全意識是一項全員參與的工作。組織中的每個人都必須為建立身份安全文化做出貢獻，這對于理解身份安全文化以及滿足合規性和保險法規至關重要。

文章來源：Identity Security: The Next Frontier is Already Here

#你可能也喜歡這些API文章!

將 API 貨幣化：加速增長并減輕工程師的壓力

API治理：有效API管理的最佳實踐和策略

API優先設計：構建可擴展且靈活的軟件的現代方法

API 安全：如何準備和應對攻擊漏洞

Python 集成 NFT構建 API 的實戰指南

API版本控制與微服務：最佳實踐的重要性

通過 Python 使用 當當開放平臺 API 實現書籍推薦系統

掌握 API 數據檢索：過濾和排序的全面指南

2023年12個必備的書籍API