如何保护用户的身份

admin 2024年9月2日23:28:50评论17 views字数 2063阅读6分52秒阅读模式

勒索软件攻击和数据泄露的受害者数量增长如此之深,以至于新的网络防御挑战正好跟上受害者的新攻击和披露的数量。这是网络犯罪分子攻击方法的惊人进步以及许多组织在适应新攻击方法方面反应太慢的产物。正如预测的那样,生成式AI 确实改变了网络犯罪分子攻击组织的游戏规则,它要求紧急调整网络防御策略。

通过威胁的这种显著转变,没有改变的一件事是日常用户固有的人性局限性,这就是他们成为网络犯罪分子首选目标的原因。再多的培训都无法让普通用户掌握检测高级网络钓鱼活动或复杂深度伪造所需的超级技能。

为了了解影响,Token 开始收集网络安全领导者对这一紧迫主题的看法。为了实现这一目标,Token 委托全球领先的数据和咨询服务公司 Datos Insights 进行这项研究,揭示了美国领先的 CISO 和员工 MFA 领导者的见解和观点。Datos Insights 放弃了过度使用的多项选择问卷方法,并进行了 60 分钟的定性视频访谈,以深入研究 CISO 的观点。在本文中,我们将研究从研究中获得的宝贵见解。

CISO 一致认为,用户漏洞是他们的头号风险

通过采用人工智能功能,特别是生成式 AI,攻击媒介的复杂程度越来越高,这使得 CISO 及其团队更难防御。网络犯罪分子最常通过网络钓鱼攻击以大型组织的员工为目标,以获取网络访问权限。CISA 报告称,90% 的勒索软件攻击是网络钓鱼的结果。

高级网络钓鱼攻击仍然是黑客武器库中最有效的工具。随着 Gen AI 的使用,这些攻击变得更加有针对性和复杂。Gen AI 还支持针对组织内的特定个人发起大规模、更详细的鱼叉式网络钓鱼攻击,利用有关组织及其员工的真实数据来显示真实。网络钓鱼电子邮件的迹象正在迅速消失,因为这些电子邮件与合法通信越来越难以区分。这很快就会否定用户培训的价值。

随着 Gen AI 催生了新形式的社会工程攻击,Deepfake 技术的兴起进一步加剧了上述情况。网络犯罪分子现在正在使用 AI 生成的语音和视频来冒充高管和其他受信任的个人。这些任务是通过攻击者欺骗的受信任电话号码拨打的电话以及网络犯罪分子冒充已知和受信任的同事的 Zoom 电话会议来执行的。攻击者已经成功地说服员工转移资金、共享凭证和执行其他可能危及安全性的操作。这些攻击利用了员工对熟悉的声音和面孔的固有信任,使其异常危险。

现在,暗网上的数十亿人可以使用进行这些攻击的工具,而无需专业技能。网络钓鱼和勒索软件攻击曾经是专业网络犯罪分子的专属领域,但随着生成式 AI 和新的网络犯罪工具的出现,任何可以访问暗网的人都可以发起这些攻击,暗网是任何拥有计算设备和互联网连接的人。暗网上提供的勒索软件即服务 (RaaS) 和 AI 驱动工具简化了流程,无需高级技能。这种转变使技术知识最少的个人只需一台计算机和互联网连接即可执行复杂的网络攻击。零工经济迎接下一代网络攻击。

新的攻击需要新的防御策略

防网络钓鱼 MFA 采用至关重要,不再是可有可无。随着网络钓鱼攻击成为企业面临的最大网络威胁,随着受害者数量的增加,传统的 MFA 被证明越来越不足。许多传统的 MFA 解决方案都是几十年前的技术。当前报告强调了部署防网络钓鱼的下一代 MFA 解决方案的紧迫性,尤其是在面对 AI 增强的网络钓鱼攻击时。CISO 应加快向基于硬件、使用生物识别技术且符合 FIDO 标准的 MFA 解决方案的转变。这些方法显著缓解了网络钓鱼和勒索软件攻击,并阻止了当前绝大多数勒索软件攻击,仅在去年就为组织挽救了数十亿美元的损失。

下一代 MFA 最好通过针对特权用户的定向部署来实现。该报告强调了优先将下一代 MFA 部署到企业内的高风险用户(尤其是系统管理员和高管)的重要性。尽管拥有特权访问管理 (PAM) 解决方案,但 CISO 需要改进系统管理员的风险管理。“PAM 解决方案已成为 CISO 管理系统管理风险的历史规范。”网络钓鱼和内部攻击的兴起要求 CISO 在面临这一重要业务风险时优先考虑 MFA 升级部署。该报告发现,许多公司的高级管理人员缺乏与其业务职能和业务风险相一致的强大安全解决方案。几乎没有受访的 CISO 为其高管用户部署了不同的控制措施。随着鱼叉式网络钓鱼和其他技术的兴起,这种差距出乎意料且令人不安。

尊敬的读者:
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。
我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。
如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。
如何保护用户的身份
                               扫描二维码,参与调查

END

点击下方,关注公众号
获取免费咨询和安全服务
如何保护用户的身份
安全咨询/安全集成/安全运营
专业可信的信息安全应用服务商!
http://www.jsgjxx.com

原文始发于微信公众号(信息安全大事件):如何保护用户的身份

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月2日23:28:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   如何保护用户的身份http://cn-sec.com/archives/3120984.html

发表评论

匿名网友 填写信息