企业始终面临数据泄露的风险,但如今威胁已扩大了许多倍,部分原因是生成式 AI 工具的蓬勃发展。Gartner 最近发现, 自 2019 年以来,每位员工使用的 SaaS 应用程序数量翻了一番,其中很大一部分是员工在没有 IT 监督的情况下使用的 AI 工具。
非托管应用程序不受单点登录 (SSO) 或多因素身份验证 (MFA) 等控制的保护,因此无法了解这些可能包含敏感数据的应用程序是否使用安全凭据进行访问,或者哪些类型的数据或知识产权由于 ChatGPT、Gemini 和其他工具而泄露到更大的互联网中。
Dashlane首席技术官 Fred Rivain 表示:“云端 SaaS 应用的激增为 IT 带来了许多灰色地带。凭证和密码安全的有效性在很大程度上取决于用户的参与,但如今这还不够。仅仅拥有经典的密码管理器、MFA 或单点登录是不够的。您需要所有这些,此外,您还需要在整个组织范围内改善凭证卫生状况。”
SSO、MFA 和凭证保护的挑战
当然,IT 领导者可以控制他们所了解的内容——所有关键系统,并可以在其上部署 SSO 和 MFA。但当今的挑战不仅仅是影子 IT,还有大量与 SSO 不兼容的工具。还有安全专家所说的“SSO 税”,即供应商为添加 SSO 集成而收取的费用。识别需要保护的工具并添加 SSO 集成是一项昂贵的操作,既耗时又耗钱。
许多企业选择不支付这些费用——这是可以理解的,因为企业平均有 53 个凭证没有自动包含在 SSO 中(而且这些密码中很多都是重复的),而且在整个组织内进行应用程序盘点是一项重大任务,需要高管层的支持。与此同时,中小型企业完全被拒之门外,因为他们没有足够的资源来支付 SSO 集成费用。
各种规模的企业通常都采用个人手动密码,因为初始采用成本要低得多。不幸的是,这也存在巨大的隐性管理成本,并且对安全状况有深远的影响,因为每个凭证都是一个风险点,而其中许多风险是看不见的。
“这就是为什么鼓励员工使用凭证管理器为这些系统生成独特而复杂的密码至关重要,”Rivain 说。“这有助于他们养成正确的身份验证习惯和最佳实践。希望员工也能为他们使用的未经授权的应用程序添加这种保护,这至少比其他选择更好。”
然而,员工经常使用和分享他们的凭证,包括他们自己生成的强密码和他们自己设计的弱密码或被盗凭证。让他们了解风险并时刻警惕网络钓鱼往往是一场艰苦的战斗。
添加密钥作为安全保障
Rivain 表示,密钥可以增加另一层安全性,并有助于降低组织某些领域的凭证风险。密钥是一种无密码身份验证形式,由FIDO 联盟开发,并得到主要科技公司的支持。密钥始终独一无二且强大,不需要在服务器上存储私人信息。用户登录网站或应用时需要证明自己的身份。他们可以使用指纹或面部识别等生物特征识别来确认身份,或者相反,他们可以接受凭证管理器的质询。一旦用户确认,他们就会自动登录,无需密码。
密钥比任何密码都安全得多,可以抵御网络钓鱼,并且不会被盗用或猜测。从责任角度来看,由于泄露客户数据可能会使组织陷入重大法律麻烦,因此要求员工尽可能使用密钥可以显著提高安全性。IT 领导者可以明确鼓励团队在他们使用的工具中尽可能使用密钥 – 例如,营销团队可以为大多数社交媒体平台改用密钥。
然而,Rivain 表示,作为企业解决方案的密钥尚未完全成熟。首先,它们并不适用于所有工具或平台。此外,它仍然是一项新兴技术,存在一些可访问性问题,例如 Chrome 和 Apple 的用户体验有些笨拙,以及围绕密钥来源的正确认证、密钥丢失后的账户恢复困难以及无法控制密钥的存储位置等问题。
“当然,IT 管理员想要这种控制权。他们想知道他们把王国的钥匙存放在哪里,”Rivain 说。“对于企业来说,围绕密钥,有很多用例尚未解决。这是 FIDO 联盟工作的一部分,也需要时间。”
随着越来越多的消费者采用密钥(许多大型网站、应用程序和技术公司都支持密钥),密钥将成为企业安全对话中更重要的一部分。Rivain 预测,未来我们将看到企业采用完整的无密码解决方案,但这种情况仍在继续。
“它们并不完美,但它们也是一种为员工设置护栏的方法,这样他们就不会意外泄露密码,他们会使用这项技术,因为它更方便、更安全,”他说。“这就是为什么行业继续努力并不断推广它很重要。这将是一段非常漫长的采用过程,但它比我们以前的更好。”
这对企业的安全意味着什么?即使采取了其他保护措施,密码等不安全的凭证仍会持续不断对组织构成威胁。企业需要一种全新的安全和凭证方法。
改变凭证安全游戏
随着攻击的数量和复杂程度不断上升,以及员工使用的不可见、未经授权的应用程序数量的增加,即使是最好的分层安全策略也并非万无一失。
“我们需要找到一种新方法,确保即使不太考虑安全的员工也能受到保护,我们需要转向主动保护,而不是被动防御,”Rivain 解释道。“这意味着超越传统的密码管理,为每位员工提供实时的凭证安全保护。”
为此,Dashlane 将检测、智能和响应功能集成到可最大程度地洞察凭证风险的工具中。
Dashlane 的 Credential Risk 工具持续监控全公司的凭证数据,以实时检测风险。当员工输入弱凭证、重复使用凭证或被盗凭证,或即将将其信息输入可疑网站时,该工具会自动向 IT 部门发送警报。Dashlane Nudges 通过向员工发送个性化的自动消息来自动响应凭证风险,提醒他们注意风险并要求他们更新凭证。
通过持续扫描应用程序登录方法,IT 可以更清楚地了解员工使用的所有工具和系统中的凭证风险(无论是否授权)。同时,鼓励员工在日常工作中养成良好的安全习惯。
“这种新方法有很大潜力,”他补充道。“我们正试图从全新的角度解决整个组织的凭证问题和安全问题,为强大的安全策略添加一个更重要的保护层。”
原创文章,作者:王 浩然,如若转载,请注明出处:https://www.dian8dian.com/sui-zhe-genai-gong-ju-yue-lai-yue-shou-yuan-gong-huan-ying
