文章來源 / Okta Official Blog
身分是每個人與您生態系統中技術之間的連接紐帶,身分在數位生態系統中扮演著關鍵的連接角色,這一角色也使身分成為企業風險概況的核心要素。毫不意外,身分依然是當今威脅環境中的頭號攻擊目標 —— 超過 80% 的數據洩露事件都涉及某種形式的身分洩露及盜用。
要有效應對這一事實,企業必須全面審視其身分管理策略,因為關鍵點在於:身分不僅僅是一個「登入口」。一套嚴謹且現代化的身分安全方法,應能在身分驗證的前、中、後三個階段中減輕威脅的影響。
為了應對身分相關的威脅,技術領導者不應將焦點僅限於防禦威脅上。他們還必須考慮身分解決方案對核心業務目標的影響,例如:營收增長、客戶滿意度、業務增長目標的實現,這意味著,身分安全解決方案的選擇不僅需要保護系統不受攻擊,還需要確保使用者體驗的流暢性,從而避免繁瑣的驗證過程對業務增長產生負面影響。
這篇部落格將深入探討技術領導者如何實現身分安全解決方案,同時推動業務增長。如果您想知道如何在不影響業務目標(例如用戶體驗和增長機會)的前提下,搶先應對日益精密的網路攻擊,這篇資源將為您提供關鍵的見解和指引。
是時候拋棄過時的身分驗證方式和過多的使用者摩擦
保護客戶免受帳號劫持和其他惡意行為的威脅至關重要。然而,當這種保護措施轉變成讓客戶感到厭煩的阻礙時,業務風險便隨之而來。像是複雜的密碼、頻繁的驗證碼 (CAPTCHA) 以及多因子驗證 (MFA) 疲勞,這些繁瑣的體驗可能會讓用戶失去耐心。當用戶在客戶旅程中遇到過多的摩擦,原本出於善意的安全策略反而會適得其反,導致客戶流失、轉換率下降,甚至業務損失。
最糟糕的是,為客戶帶來負擔的身分驗證方法,並不一定能轉化為更高的安全性。例如,傳統的使用者名稱 + 密碼 + SMS 簡訊二次驗證的身分驗證方式,仍然容易受到社交工程攻擊和SIM 交換攻擊的威脅。即使投入大量資源加強這些機制,黑客依然可以找到方法繞過這些防線。
傳統的身分驗證時代已經結束,現在是時候採用一種更現代化的身分安全方法。這種方法不僅僅把「登入口」作為驗證的唯一關卡,而是將身分管理提升為一種增強安全性和推動業務增長的戰略資產。
保護客戶旅程的每個階段
從普遍存在的身分相關數據洩露的統計數據中,我們可以明確認識到一點:依賴舊有的身分驗證方法,已無法應對當前的威脅環境。現今的技術領導者需要一種能發現弱點、保護漏洞,並在攻擊者入侵時限制其存取權限的身分安全解決方案,從而全面保護客戶的整體用戶旅程。
要想推動安全現代化,身分驗證的現代化是首要任務。傳統的登入口已不再足夠,企業必須採用更多層次的防禦策略,而 Okta 的多層防禦策略正是這一方法的典範,透過多層防護機制,結合安全運營 (SecOps) 儀表板、工具和系統整合,在客戶旅程的「登入前、中和後」進行安全保護,為企業提供更強大的威脅檢測、風險管理和使用者體驗(UX)。
登入前
當前,機器人流量佔據了全球網路流量的 42%,其中65% 是惡意機器人。作為一種靈活且可擴展的自動化攻擊工具,機器人不僅威脅企業的安全,還會大量消耗行銷預算。例如,當機器人註冊新帳號時,會佔用原為真實客戶提供的註冊獎金,並阻止企業與潛在客戶建立真實的聯繫。
生成式 AI (Generative AI) 的出現,則進一步助長了機器人威脅的升級。根據預測,從 2023 年到 2030 年,網路犯罪中 AI 的採用率將上升 37%。這意味著,企業即將面臨更大量且更先進的機器人威脅,這些機器人甚至能夠繞過簡單的機器人檢測驗證碼 (CAPTCHA)。
現代身分驗證 (Modern Identity) 應能夠在不影響客戶體驗的情況下,即時攔截惡意機器人,從而保護企業的營收。Okta 的機器人檢測 (Bot Detection) 方案能夠持續監控數億用戶的身分威脅,檢測到惡意機器人後,會立即做出回應,並採用用戶友好的挑戰方法(如基於時間的身分驗證挑戰)來進行防禦。此外,Okta 的機器人檢測解決方案還包含專為註冊攻擊設計的機器學習模型。這些量身定制的模型,能在整個用戶旅程中顯著提升對機器人的檢測和防禦能力,同時減少向真實用戶提出的機器人挑戰。
進一步了解 OKTA 解決方案:
Bot Detection(機器人檢測)
登入中
推動業務增長的關鍵在於為客戶提供簡單且無縫的用戶體驗,同時不妥協於安全性。客戶希望能隨時隨地獲得便利的訪問體驗,這意味著企業的數位團隊需要設計出具備防網路釣魚能力的身分驗證,並確保客戶的旅程快速且便捷。
現代身分驗證 (Modern Identity) 能夠實現這種靈活性、安全性和用戶體驗之間的完美平衡,提供靈活且安全的無密碼登入選項。例如,通行密鑰 (Passkeys) 允許用戶像解鎖手機一樣快速且安全地登入,並且這種方式也被視為防網路釣魚的登入替代方案,比常見的用戶名 + 密碼 + MFA(多因子驗證)組合更加友好且高效。此外,自適應 MFA (Adaptive MFA) 通過風險信號進行動態調整,進一步減少了MFA 疲勞。這些風險信號包括新設備、網路變更、新位置、不可能的移動行程和不受信任的 IP 等,只有在檢測到高風險的身分驗證嘗試時,系統才會觸發第二次驗證挑戰,這在保護安全的同時不會給客戶帶來不必要的干擾。
除了登入選項外,Okta 還為登入提供了多層次的安全功能,Okta 洩露密碼檢測 (Breached Password Detection) 和憑證防護 (Credential Guard) 會檢查並阻止已被洩露的憑證,確保用戶不會重複使用可能已經被黑客攻擊的密碼。Okta 暴力破解保護 (Brute Force Protection) 和可疑 IP 節流 (Suspicious IP Throttling) 可分別防止針對單一和多用戶的帳號接管攻擊。
需要進一步了解的 OKTA 解決方案:
Single Sign-On, SSO(單一登入)
Passwordless, Passkeys (無密碼登入和通行密鑰)
Multi-Factor Authentication, MFA (多因子身分驗證)
Adaptive MFA (自適應 MFA)
Suspicious IP Throttling (可疑 IP 節流)
Brute Force Protection (暴力破解保護)
登入後
登入後威脅的持續增加,使得在用戶旅程的每個階段都必須採取深入防禦 (Defense-in-Depth) 的分層安全方法。這些威脅風險極高,一旦數據洩露,不僅會造成嚴重的財務損失,還會對品牌聲譽和合規性產生重大影響,甚至可能威脅到企業的核心業務。
現代身分驗證 (Modern Identity)可以幫助企業避免這些不良後果,並在登入後的用戶互動和用戶會話中提升安全性、隱私性和用戶體驗。例如,Okta 的高合規身分驗證 (Highly Regulated Identity)允許企業為敏感的客戶互動(如帳戶更新或資金轉賬)配置財務級別的上下文批准請求,並將請求發送到客戶的設備上進行驗證。此外,Okta 的持續會話保護 (Continuous Session Protection)允許企業持續監控用戶會話,以檢測和防止會話劫持嘗試。當系統檢測到可疑行為時,企業可以撤銷可疑會話,並根據具體風險情境設置自定義的會話超時規則,確保用戶安全和數據隱私的持續保護。
需要進一步了解的 OKTA 解決方案:
Highly Regulated Identity(高合規身分驗證)
Continuous Session Protection(持續會話保護)
SecOps
資安是一項團隊運動,因此 Okta 能使安全團隊、產品團隊和開發人員之間能夠更好地協作,透過實時洞察和現成的集成將 Okta 功能連接到更廣泛的安全架構中。
例如,Okta Security Center 幫助企業更快地檢測和響應攻擊,並利用智能洞察和自定義的閾值警報,調整身分相關事件、異常情況以及整體安全效能。安全日誌 (Security Log Streaming) 進一步支持更快速的事件響應,通過將相關的客戶身分雲活動流式傳輸到第三方 SIEM 工具,加速安全事件的處理速度。
需要進一步了解的 OKTA 解決方案:
Security Center (安全中心)
Security Log Streaming (安全日誌流)
安全性與可用性的完美融合
將身分視為一個“勾選框”是很有誘惑的做法。為您的面向客戶的應用程序配備單一登入 (SSO) 和多因子驗證 (MFA) — 完成。這樣一來,就可以拍拍手宣布勝利了,對嗎?如果事情真那麼簡單就好了。
為了應對商業環境中不斷變化的風險,並在安全性和營收之間保持平衡,技術領導者需要一種基於身分的安全方法,這種方法同時也能成為推動業務發展的動力。這意味著,必須將安全、無縫的身分功能整合進您的安全和營收策略,並在每一個客戶接觸點中發揮作用。
傳統的身分處理方式遠未達到這一目標。然而,通過將您的組織身分交給現代身分領域的領軍者,您可以將企業定位為在客戶身分安全和核心業務績效指標 (KPI) 上的領先者。
It all starts with Okta
全球成千上萬的客戶信任 Okta 客戶身分雲 (Okta Customer Identity Cloud),它能在每月超過 100 億次身分驗證中,完美平衡強大的安全性與無縫的客戶體驗。
我們已經投資於分層防禦策略,以在登入前、中和後提升安全性,並為 SecOps 提供儀表板和工具,這些工具不僅提高了可見性,還能加速對潛在和新興威脅的響應。
對於 Okta 客戶身分雲如何幫助您建立與客戶的信任、保護您的應用程序並保護營收,感到好奇嗎?聯繫我們的團隊安排一次演示。
Comments