標(biāo)準(zhǔn)身份驗(yàn)證方法和一次性密碼在受保護(hù)邊界的入口處充當(dāng)過(guò)濾器。但是，如果有人成功欺騙了這些過(guò)濾器或在成功登錄后更改了用戶(hù)，要怎么辦呢?網(wǎng)絡(luò)攻擊者可能使用惡意軟件和不同的網(wǎng)絡(luò)釣魚(yú)技術(shù)來(lái)竊取合法用戶(hù)的憑證，甚至是一次性更改密碼。在沒(méi)有特殊員工監(jiān)控軟件的公司中，員工通常會(huì)與同事無(wú)聊地共享其登錄名和密碼。最后，總是存在一些人擁有可完全訪問(wèn)公司網(wǎng)絡(luò)，關(guān)鍵資源和應(yīng)用程序的公司設(shè)備的風(fēng)險(xiǎn)。連續(xù)身份驗(yàn)證似乎是解決此問(wèn)題的正確方法。在本文中，我們將向您介紹有關(guān)該技術(shù)的更多信息以及通過(guò)連續(xù)身份驗(yàn)證來(lái)提高安全性的一些最佳實(shí)踐。

　　連續(xù)身份驗(yàn)證是確保數(shù)據(jù)訪問(wèn)安全的關(guān)鍵

連續(xù)身份驗(yàn)證基本上是旨在確保整個(gè)會(huì)話中用戶(hù)不斷進(jìn)行重新驗(yàn)證的一組方法和技術(shù)。換句話說(shuō)，該技術(shù)將常規(guī)認(rèn)證從一次事件轉(zhuǎn)變?yōu)檎谶M(jìn)行的過(guò)程。

該技術(shù)旨在幫助您緩解一些網(wǎng)絡(luò)安全問(wèn)題，包括：

· 網(wǎng)絡(luò)釣魚(yú)攻擊和憑據(jù)填充

· 共享的登錄憑據(jù)

· 共享設(shè)備

與傳統(tǒng)的身份驗(yàn)證工具相比，連續(xù)身份和訪問(wèn)管理借助行為生物識(shí)別技術(shù)來(lái)驗(yàn)證用戶(hù)，行為生物識(shí)別技術(shù)是每個(gè)人所獨(dú)有的生理和行為模式，就像視網(wǎng)膜掃描或指紋識(shí)別一樣。機(jī)器學(xué)習(xí)是實(shí)現(xiàn)連續(xù)身份驗(yàn)證并使其能夠不斷重新驗(yàn)證用戶(hù)身份而又不中斷工作流程的技術(shù)之一。借助機(jī)器學(xué)習(xí)，連續(xù)的IAM可以及時(shí)收集和處理有關(guān)用戶(hù)的大量數(shù)據(jù)。

具有連續(xù)身份驗(yàn)證功能的IAM解決方案應(yīng)該能夠完成以下三個(gè)任務(wù)：

· 收集信息-使用不同的傳感器，IAM解決方案應(yīng)不斷收集和更新有關(guān)特定用戶(hù)，其獨(dú)特的生理特征，行為方式等的數(shù)據(jù)。

· 處理數(shù)據(jù)并從中學(xué)習(xí)—連續(xù)身份驗(yàn)證解決方案應(yīng)該能夠分析所收集的信息并為特定用戶(hù)建立行為配置文件。

· 管理訪問(wèn)-基于構(gòu)建的行為配置文件，IAM解決方案應(yīng)該能夠?qū)⒑戏ㄓ脩?hù)與可能的入侵者區(qū)分開(kāi)，并授予或拒絕對(duì)關(guān)鍵數(shù)據(jù)的訪問(wèn)。

連續(xù)身份驗(yàn)證解決方案不斷監(jiān)視和分析特定用戶(hù)與系統(tǒng)交互的方式，以計(jì)算該用戶(hù)成為其聲稱(chēng)的身份的概率。該解決方案用于構(gòu)建質(zhì)量用戶(hù)行為配置文件的數(shù)據(jù)可以分為三類(lèi)：

· 生理數(shù)據(jù)-用戶(hù)手臂的大小，他們用右手/左手按下鍵盤(pán)上的鍵的力等。

· 認(rèn)知數(shù)據(jù)-握住手機(jī)的方式，在鍵盤(pán)上打字的速度，手眼協(xié)調(diào)性等。

· 上下文數(shù)據(jù)-用戶(hù)的位置，當(dāng)前時(shí)區(qū)等。

行為生物識(shí)別技術(shù)最常見(jiàn)的例子是擊鍵動(dòng)態(tài)：您在鍵盤(pán)上鍵入的速度有多快，找到正確的鍵需要花費(fèi)多長(zhǎng)時(shí)間，按下鍵的力度等等。在智能手機(jī)上，這樣的解決方案可以分析您握住手機(jī)或點(diǎn)擊屏幕的方式。

現(xiàn)在，讓我們談?wù)勥B續(xù)身份驗(yàn)證可以提高公司安全性的方法。

　　連續(xù)身份驗(yàn)證的三大好處

實(shí)施連續(xù)身份驗(yàn)證可以為您帶來(lái)很多好處，并可以幫助您大大提高公司的網(wǎng)絡(luò)安全性。這是這項(xiàng)技術(shù)的主要優(yōu)點(diǎn)：

· 正在進(jìn)行的用戶(hù)身份驗(yàn)證

· 快速檢測(cè)會(huì)話中的用戶(hù)更改

· 不間斷的工作流程

　　讓我們仔細(xì)看看這三個(gè)好處

正在進(jìn)行的用戶(hù)身份驗(yàn)證。連續(xù)身份驗(yàn)證的主要思想是將用戶(hù)身份驗(yàn)證變成一個(gè)持續(xù)不斷的過(guò)程。標(biāo)準(zhǔn)身份驗(yàn)證工具只有兩個(gè)選項(xiàng)：授予用戶(hù)對(duì)系統(tǒng)的訪問(wèn)權(quán)限或拒絕它。另一方面，連續(xù)身份驗(yàn)證計(jì)算當(dāng)前用戶(hù)是其登錄帳戶(hù)的實(shí)際所有者的概率。

理想情況下，如果概率達(dá)到一定水平，例如50%，則應(yīng)初始化一個(gè)附加的驗(yàn)證程序。如果概率水平進(jìn)一步降低，則應(yīng)完全終止會(huì)話。

快速檢測(cè)會(huì)話中的用戶(hù)更改。 總是有機(jī)會(huì)讓其他人擁有您的手機(jī)，平板電腦，筆記本電腦甚至臺(tái)式機(jī)。員工可以借用同事的計(jì)算機(jī)來(lái)訪問(wèn)他們不應(yīng)該訪問(wèn)的數(shù)據(jù)或應(yīng)用程序。小孩可能開(kāi)始玩父母的智能手機(jī)，不小心啟動(dòng)了關(guān)鍵應(yīng)用程序，甚至更改甚至刪除了重要數(shù)據(jù)。連續(xù)身份驗(yàn)證可以幫助您及時(shí)檢測(cè)到用戶(hù)的可能更改，因此，可以對(duì)其進(jìn)行足夠快速的響應(yīng)以減輕可能的風(fēng)險(xiǎn)。

不間斷的工作流程。 阻礙連續(xù)認(rèn)證的主要障礙之一是需要限制可能的工作流中斷次數(shù)。人們討厭在工作過(guò)程中不斷被要求重新輸入密碼，回答一個(gè)秘密問(wèn)題或提供其他驗(yàn)證數(shù)據(jù)。但是由于使用了機(jī)器學(xué)習(xí)，連續(xù)身份驗(yàn)證現(xiàn)在可以在后臺(tái)運(yùn)行，而不會(huì)打擾用戶(hù)。

但是，這些好處是否足以使連續(xù)身份驗(yàn)證取代諸如兩因素身份驗(yàn)證或輔助身份驗(yàn)證之類(lèi)的安全黃金標(biāo)準(zhǔn)?這項(xiàng)網(wǎng)絡(luò)安全創(chuàng)新仍需應(yīng)對(duì)的主要挑戰(zhàn)是什么?

　　連續(xù)認(rèn)證與MFA

的確，您可以通過(guò)連續(xù)的身份和訪問(wèn)管理顯著提高安全性。但是，絕不能將此技術(shù)視為MFA，單點(diǎn)登錄，一次性密碼和輔助身份驗(yàn)證之類(lèi)的工具的替代品。如果有的話，這些工具應(yīng)一起使用，以彌補(bǔ)彼此的缺點(diǎn)。

您可能知道，MFA基于三個(gè)因素：

· 知識(shí)

· 擁有

· 繼承

網(wǎng)絡(luò)罪犯已經(jīng)發(fā)明了許多工具和技術(shù)來(lái)竊取這些數(shù)據(jù)，從而繞過(guò)MFA。因此，從理論上講，入侵者總是有可能以合法用戶(hù)身份進(jìn)入公司網(wǎng)絡(luò)的受保護(hù)邊界。

另一方面，行為生物特征不能被攻擊者復(fù)制和重復(fù)使用，因?yàn)樗赡馨l(fā)生在密碼，一次性代碼甚至是視網(wǎng)膜掃描中。因此，使用連續(xù)身份驗(yàn)證，您可以為公司網(wǎng)絡(luò)增加一層保護(hù)。一旦攻擊者的行為開(kāi)始偏離用戶(hù)的行為模式，就可以檢測(cè)到可能的入侵。

同時(shí)，連續(xù)認(rèn)證是一項(xiàng)正在發(fā)展的技術(shù)，有很多問(wèn)題需要解決。 為每個(gè)網(wǎng)絡(luò)用戶(hù)建立質(zhì)量基準(zhǔn)行為配置文件并減少誤報(bào)數(shù)量是該技術(shù)在不久的將來(lái)需要解決的主要挑戰(zhàn)。

　　結(jié)論

連續(xù)身份驗(yàn)證是一種有前途的技術(shù)，可以彌補(bǔ)MFA留下的安全漏洞。使用此技術(shù)，身份驗(yàn)證不再是在會(huì)話開(kāi)始時(shí)進(jìn)行的一次性身份驗(yàn)證過(guò)程。現(xiàn)在，這是一個(gè)持續(xù)的過(guò)程，其中在整個(gè)會(huì)話過(guò)程中不斷檢查和評(píng)估用戶(hù)的身份。

持續(xù)身份驗(yàn)證雖然在緩解網(wǎng)絡(luò)釣魚(yú)攻擊和解決共享密碼和借用設(shè)備問(wèn)題方面具有巨大潛力，但不能替代其他IAM工具。這些工具都追求不同的目標(biāo)，理想情況下，應(yīng)將它們一起使用。想了解更多網(wǎng)絡(luò)安全的信息，請(qǐng)繼續(xù)關(guān)注中培偉業(yè)。