问题的国际范围
当前的身份管理方法存在许多薄弱环节,这些薄弱环节成为网络犯罪分子的目标。此外,这些孤立的系统没有整合或重叠,这使执法机构无法在国际层面上进行协调。
在这一点上,身份验证的方法正在转变。安全专业人员提出了新的原则,开发了辅助技术,并指定了测试这些服务的新方案。
现代身份验证服务的实施与各行业各个部门之间的交互程度密切相关。高端解决方案已经在企业层面和国家层面上创建,但是其中大多数忽略了互操作性的需求。一些行业专家正在积极讨论这些问题,以试图找到相关的解决办法。
下一代身份验证系统可以应对相关领域的安全问题,例如通过人工智能算法进行身份识别,然而新的风险也在不断出现。
商业和数字服务正变得越来越相互关联。数字交易要求不同系统之间有足够的信任和保密性,这只能通过统一的身份解决方案来实现。换句话说,全球各地的组织需要创建一个统一的数字身份模型来降低安全风险。
安全身份验证的风险
下一代身份验证系统的发展将使社会在关键领域越来越依赖这项技术。因此,针对这种环境的网络攻击将不断升级。恶意行为者将试图发现并利用设备和识别机制中的漏洞来访问敏感数据。
就是说,需要了解在这种情况下面临的最大威胁以及破坏此类系统动机的不同方面。
内部威胁。动机:服务中断或获利。伪装成可信任个体的入侵者可以利用通过规避物理安全性获得的访问权限。
不道德的竞争。动机:获得竞争优势。网络犯罪分子可以利用内部人员和其他第三方实施攻击。
敌对国家的攻击行为。动机:政治和经济利益。这种类型涵盖间谍活动、帐户接管、身份验证系统入侵和监视。
有组织的犯罪。动机:获利。这些狡猾的措施和手段包括身份盗窃、账户接管、数据滥用、认证系统泄露、中间人(MITM)攻击和文件伪造。
黑客行为。动机:影响企业目标,造成声誉损害。帐户接管和模拟,以及身份验证和授权。
以下概述目前身份验证系统的主要安全风险。
隐私:犯罪者可能会获取大量个人数据,其中包括生物特征识别、行为和地理位置详细信息。
完整性:破坏这些解决方案的完整性可能会减少生态系统参与者之间的信任。
可用性:网络攻击者可能试图入侵身份验证基础设施,破坏参与者严重依赖的服务,从而造成级联效应。
在构建安全的数字身份环境并确保这些服务的可用性和完整性时,信息安全专业人员将面临新的挑战。违约可能会带来更严重的系统性后果,破坏参与者之间的信任,从而支持网络空间的有效运行。
安全解决方案
未来的身份验证将由分布式异构基础设施提供支持。信任和透明度以及服务的可靠性将在全球范围内发挥根本性作用。在这种模式下降低安全风险是一项复杂的任务,取决于集体方法。
除非以协调的方式解决所有安全问题,否则这项技术就无法发挥其全部潜力。信息安全专家需要参与开发一种用于数字身份验证的防篡改技术。
这里有一些可能的方法来应对在不久的将来可能面临的挑战。
(1)保证、信任和透明度:身份验证基础设施组件的弹性是通过参与者之间所有交互的透明性来实现的。社区将需要了解这种系统中的信任级别,并准确衡量信任差距。这将有助于实施防御措施以保持完整性。
尽管在区域和国家两级为自主身份验证服务制定方法和安全标准方面取得了重大进展,但对于分布式身份框架仍没有统一的标准,以确保不同网络空间部门方法的兼容性,并建立良好的信任度。这些标准需要在国际范围内形成,借鉴以前的经验(开源代码和FIDO或DID等联盟),并提供新的方法。
(2)共享的管理原则:在国际范围内对身份验证系统进行标准化和认证的共同努力将为所有参与者提供网络安全的基线水平。例如,已经为支付交易安全(PCIDSS)和航空业(SARP和ICAO)制定了此类标准。这些基本原则将为数字身份认证过程指定技术要求和性能标准,同时还要解决隐私挑战。
最终用户需要控制个人数据,并了解如何处理这些数据以及向谁传输这些数据。为企业和政治制定额外的激励模型将鼓励所有相关实体支持身份验证服务的互操作性和创新,同时深入了解谁负责确保分布式环境不同部分的安全。
(3)使参与者聚集在一起:将不同行业参与者聚集在一起将有助于探索其各个部门的互操作性,为制定管理原则以确保适当的安全性创造激励。这样,就有可能选出身份验证领域的主要实体(政府、私营部门、社会)和主要参与者(银行、电信服务提供商、科技公司)。
这样将为组织各部门之间的合作提供新的机会,不仅确定建立全球身份验证基础设施的主要障碍,而且还规避了这些障碍。经济、政治甚至危机因素(例如发生的冠状病毒疫情)都强调了采取协作行动的必要性,并自然形成了下一代身份验证服务。
(4)合作运营安全性(OPSEC):信息安全团队必然要面对严峻的挑战,保护未来分布式、异构和固有的复杂身份验证系统免受黑客及其恶意代码的攻击。这些应该是数字身份领域所有安全专业人员的全新方法和协调行动。
随着其他技术的发展和下一代身份验证系统的部署,专家将需要考虑未来的潜在威胁。待办事项清单上的一件事是确保适当水平的分布式组件量子加密。虽然某些检测、跟踪和消除欺诈活动的方法可用于隔离的身份验证系统,但尚未为此类端到端解决方案创建这些方法。需要系统的风险和威胁建模,以考虑不同行业参与者的特权。
通用的事件报告框架将是评估当前风险和优化事件响应率的关键。在信息安全区层面的协调努力以及国际身份验证安全标准和数据共享的制定,将确保生态系统所有成员的安全水平,并释放下一代数字身份技术的真正潜力。