企業採用更多雲端網絡服務導致令身分管理趨向複雜,成為黑客的攻擊目標。身分識別方案廠商 Okta 的報告發現,去年首 3 個月內錄得 100 億次憑證填充(Credential stuffing)(編按:憑證填充是從某些服務的數據外洩中獲得憑證的網絡攻擊,用作嘗試登入另一個無關的服務。)攻擊活動,佔身分識別驗證事件約三分之一。同時黑客擊攻針對多重身分驗證(MFA),迫使企業轉用保安效能更強的第二認證。
Okta 發表第二份《安全身分識別報告 2022》亞太區調查結果,其中欺詐註冊、憑證填充攻擊,以及大量使用外洩憑證等,都成為企業的憂慮。
- 欺詐註冊威脅趨嚴重:在首 3 個月內已觀察到近 3 億次企圖欺詐創建帳戶,比去年同期高 15% 。
- 憑證填充快速擴展:首 3 個月偵測到近 100 億次憑證填充,佔身分識別驗證事件約三分之一。
- 黑客針對 MFA :亞太區內繞過多重身分驗證的攻擊,比登記活動攻擊更多。業界廣泛採用 MFA ,更多網絡服務要求使用 MFA 。惟黑客不休止的攻擊,令企業轉用保安效能更強的第二認證。
Okta 亞太區及日本高級副總裁兼總經理 Ben Goodman 稱,企業近年數碼轉型,無論是內部採用更多雲端服務或建立數碼方案服務客戶,都引起身分管理挑戰。
Okta 另一調查《 2023 企業工作模式趨勢》顯示,遙距工作持續,確保網絡安全成為企業首要任務。不少企業在雲端環境下減少外圍防禦,並透過加強多重身分驗證措施,達至更高安全保證。而全球低保證安全的應用程式整體增長速度最慢,按年只增 3% ,而高保證安全的應用程式,如密鑰或生物識別技術,包括 WebAuthentication 增長則較快,客戶數量按年增 46% ,以用戶計則增 211% 。
報告亦有這些發現:
- Okta 客戶透過零信任(Zero Trust)尋求針對用戶、裝置和網絡的解決方案。
- 網絡環境針對風險制定的政策在過去兩年增加 147%。
- 用戶使用無密碼網絡身分驗證標準 WebAuthn 的客戶數量則增加 60% 。
- 利用裝置信任配置的客戶數量增加 21% 。
