業界消息新聞

Okta 建議企業視「身份為企業資產」

數碼世代,身份盜竊對網絡安全構成重大威脅,因為網絡攻擊者利用身份盜竊進行攻擊,例如網絡釣魚等。企業要突破重圍,必須視網絡安全和數碼身份為推動業務策略的主要因素。

隨著數碼渠道和動態工作的轉變,機構應該視數碼身份為資產負債表上的一種新資產,就像現金、儲備和財產一樣。身份應該被視為基礎技術,使人們的工作更有效,並能夠改善員工和客戶的體驗。Okta 可以幫助機構製定營運策略,將身份(無論是對內還是對外)轉變為資產。透過正確的身份認證技術和執行、成本控制和客戶體驗都得以完善。流暢的客戶體驗更容易吸引客戶和回頭客。

Okta預測企業將在 2023 年採取五項行動來加強防禦,其中包括:

  • 針對打擊網絡釣魚投放更多資源:更多亞太區機構將轉用網絡身份驗證機制,例如多重身份驗證,以加強防禦,對抗實時中間人 (AiTM) 的攻擊。
  • 無密碼驗證可減少摩擦:許多機構會在登錄時考慮其他安全因素,例如生物識別輸入或硬件令牌(token)等。
  • 重新思考常設特權:透過整合行政管理身份以及特權訪問管理器的功能,確保資訊科技人員對訪問管理擁有更多權限和控制權。
  • 去中心化身份漸趨普及:區塊鍊等技術將幫助企業減輕中央保護數碼身份的負擔,並加強對身份盜竊的防禦。
  • 身份管理擴展到客戶層面:這有助簡化跨裝置、堆棧和平台的註冊和登錄,使企業能夠通過更好的體驗來獲取和留住客戶。

2023 Okta 企業工作模式趨勢》(Businesses at Work 2023) 的重點:

  • Okta年度企業工作報告全面審視現今機構和人們的工作模式,展示現代上班一族如何透過應用程式和服務以提高工作效率。
  • 報告顯示,過去一年的疫情改變了旅行和工作方式,企業用戶已經轉用各種不同應用程式。
  • 最多用戶使用的是網絡安全應用程式、電子簽名應用程式和雲平台,而在亞太地區的增長尤其明顯。
  • 最受歡迎的應用程式類別包括 旅遊、商務用品、 設計軟件 和安全工具。
  • 最多用戶於工作上使用的應用程式:Microsoft 365、Amazon Web Services、Google Workspace。
  • 疫情期間,各行各業都在加速轉型,有助企業獲得更有效率的混合工作支援、更可靠的網絡安全和趨向無縫的全球協作模式。
  • 最受青睞AWS和Google Cloud Platform 出現明顯的增長,是眾多機構多雲策略的一部份。
  • 現在,工作和個人生活的界線越趨模糊,而結合公私兩用的應用程式便尤為普及。
  • 數碼支付平台 Paypal 和新公司 Venmo 及 Stripe 於金融和銀行應用程式類別佔有領先位置。
  • 在健康生活方面,FitBit 的全球客戶數量位居榜首。有趣的是,該類別中客戶數量增長最快的兩個應用程式,均涵蓋心理健康範疇,包括 LiveWell和 Modern Health。
  • 社交媒體:LinkedIn 位居榜首,而 TeamSnap 的客戶數量增長最快。
  • 不少企業於多變的雲端環境下減少在外圍防禦,並透過加強多重身份驗證措施,以達至更高安全保證。
  • Okta 客戶希望透過零信任 (Zero Trust) 尋求針對用戶、裝置和網絡的解決方案。
  • 在這種新常態下,確保這些應用程式具有彈性至關重要。這樣才能放心及安全地使用相關應用程式,以推動長期業務發展目標。

Okta《安全身份識別報告 2022》 (2022 State of Secure Identity Report) 的重點:

  • Okta於今日公佈了第二份年度安全身份識別報告的亞太區調查結果,指出了負責管理數碼身份識別的網絡安全專家主要的憂慮,包括個案數目極速增加的欺詐註冊和憑據填充的攻擊,以及外洩憑據遭到大量使用等。
  • 欺詐註冊的威脅持續存在並不斷擴大: 在 2022 年的首三個月內, Okta觀察到近 3 億次企圖欺詐創建帳戶,比去年同期高15%。
  • 憑據填充有著破天荒的發展速度: 在 2022 年的首三個月內,該平台偵測到近 100億次憑據填充活動,佔總流量或身份識別驗證事件約34%。
  • 網絡攻擊者正針對多重身份驗證 (multi-factor authentication, MFA):在亞太區,繞過多多重身份驗證的攻擊比註冊/ 登記活動攻擊更多。多重身份驗證的優點已得到廣泛了解,所以越來越多的應用程式和服務供應商都推薦或要求使用多重身份驗證。網絡攻擊者針對重要防禦措施的攻擊漸趨成熟,正確地實現多重身份驗證及選用強大的次要因素,變得極為重要。
  • 每間公司都面對獨特挑戰: 任何特定應用程式或服務所面對的威脅,會因地理位置、行業和品牌知名度等因素而出現很大差異。因此,安全措施引入的適當風險摩擦程度亦因公司而有差異。
  • 隨著攻擊者更著重攻擊身份識別系統和完善攻擊策略、技術和程序 (TTP),本報告指出,應用程式和服務供應商必須:
    • 使用深度防禦工具,結合用戶、應用程式和網絡三個層面 。
    • 持續監控應用程式以發現的攻擊跡象和 TTP 的變化。
    • 按需要進行調整(例如,調整參數、收緊限制、引入新工具等)。
  • 不同職能部門的主管需通力合作,在所需用例、客戶類型、數據類型、行業特定風險和風險偏好的背景下,實現客戶身份識別和存取管理,以平衡客戶體驗質素和系統安全性。
  • 該報告推薦的幾種解決方案都涉及組合多種安全工具,於不同層面皆能運作,並形成統一的防禦模式。
  • 其中包括實現多重身份驗證(MFA) 、使用不洩露系統詳細資料的一般失敗訊息、限制失敗登錄次數以及實現安全管理。

Okta 亞太區及日本高級副總裁兼總經理 Ben Goodman 表示:「隨著過去一年經濟的重新啟動,企業及用戶相繼轉用各種不同應用程式以方便處理日常事務,包括預訂商務旅行、或使用安全工具以加強網絡安全等,反映出新的工作環境現已出現,而混合工作安排的需求將繼續存在。」

TechApple.com 編輯部

堅持製作專業科技內容,全員擁有多種不同技術知識的特異科技媒體團隊。 電郵:editor@techapple.com