你是否想過(guò)，黑客攻擊你們公司網(wǎng)絡(luò)的方式，不僅僅是代碼橫飛、路徑復(fù)雜、力求隱蔽的“侵入”，而是像一個(gè)普通員工一樣，用偷來(lái)的賬號(hào)密碼直接“登錄”？

這聽(tīng)起來(lái)有些不可思議，但這正是全球企業(yè)面臨的嚴(yán)峻現(xiàn)實(shí)。

IBM最新發(fā)布的《2025年X-Force威脅情報(bào)指數(shù)》報(bào)告（以下簡(jiǎn)稱《報(bào)告》）顯示，利用有效賬戶憑證發(fā)起攻擊是黑客最常用的初始入侵手段，占總攻擊數(shù)量的30%，與利用公開(kāi)應(yīng)用漏洞的攻擊并列第一。一場(chǎng)由大規(guī)模憑證盜竊引發(fā)的身份安全風(fēng)暴，已經(jīng)席卷全球。

黑客為什么能將攻擊手段從“侵入”變?yōu)椤暗卿洝保秷?bào)告》給出了答案：

第一，網(wǎng)絡(luò)釣魚(yú)手段升級(jí)。

《報(bào)告》指出，2024年，通過(guò)網(wǎng)絡(luò)釣魚(yú)郵件傳播的信息竊取程序同比增加了84%，攻擊者很大程度上依靠這種方法來(lái)擴(kuò)大身份攻擊的規(guī)模。為了規(guī)避網(wǎng)絡(luò)安全檢測(cè)，攻擊者采用更快的"退出途徑"，更多網(wǎng)絡(luò)攻擊者選擇竊取數(shù)據(jù)（18%）而非對(duì)數(shù)據(jù)加密（11%），使得攻擊更容易得手。

與此同時(shí)，針對(duì)賬戶憑證的網(wǎng)絡(luò)釣魚(yú)程序增加。惡意網(wǎng)址將受害者重定向到熱門(mén)應(yīng)用程序的虛假登錄頁(yè)面，從而竊取其憑證。在過(guò)去一年中，攻擊者開(kāi)始轉(zhuǎn)向使用云托管服務(wù)，利用云托管服務(wù)提供的可信網(wǎng)址、域名和IP來(lái)規(guī)避安全檢測(cè)手段。

第二，暗網(wǎng)黑市活動(dòng)猖獗。

被盜的憑證最終會(huì)流向何處？答案是暗網(wǎng)。在暗網(wǎng)上，賬戶憑證的售賣已形成龐大的地下產(chǎn)業(yè)。在2024年，僅排名前五的信息竊取程序攻擊者就在暗網(wǎng)上發(fā)布了800多萬(wàn)條廣告，每條廣告都可能包含數(shù)以百計(jì)的憑證信息。更有甚者，他們還在暗網(wǎng)銷售中間人（AITM）釣魚(yú)攻擊的工具包和定制化的攻擊服務(wù)，讓釣魚(yú)攻擊的門(mén)檻更低，更具針對(duì)性。

更讓人擔(dān)憂的是，2024年近三分之一的安全事件導(dǎo)致賬戶憑證失竊。攻擊者們利用竊取、購(gòu)買到的賬戶憑證發(fā)動(dòng)網(wǎng)絡(luò)攻擊，從而非法竊取更多的賬戶憑證，形成了惡性循環(huán)，使得憑證盜竊不斷升級(jí)。

第三，AI助推攻擊升級(jí)。

《報(bào)告》指出，攻擊者已將生成式AI加入他們的武器庫(kù)。從自動(dòng)編寫(xiě)釣魚(yú)郵件到生成惡意代碼，AI正在被用于提升攻擊的規(guī)模和效率。這使得憑證盜竊的成本更低、速度更快，企業(yè)面臨的威脅也呈指數(shù)級(jí)增長(zhǎng)。

芯盾時(shí)代用戶身份訪問(wèn)管理平臺(tái)（IAM）

面對(duì)愈演愈烈的憑證盜竊危機(jī)，構(gòu)建新型身份管理體系，提升身份安全水平是企業(yè)的唯一選擇。

芯盾時(shí)代作為領(lǐng)先的零信任業(yè)務(wù)安全產(chǎn)品方案提供商，基于零信任理念，采用自主研發(fā)的統(tǒng)一終端安全技術(shù)、增強(qiáng)型身份認(rèn)證技術(shù)、連續(xù)自適應(yīng)風(fēng)險(xiǎn)信任評(píng)估技術(shù)，打造了用戶身份與訪問(wèn)管理平臺(tái)（IAM），幫助企業(yè)一站式建立智能化、統(tǒng)一化、標(biāo)準(zhǔn)化的身份安全防護(hù)體系，實(shí)現(xiàn)對(duì)身份信息、身份認(rèn)證、訪問(wèn)權(quán)限、安全審計(jì)的統(tǒng)一管理，避免賬戶憑證被竊取，全面提升身份安全水平，防范網(wǎng)絡(luò)釣魚(yú)、撞庫(kù)、中間人攻擊等網(wǎng)絡(luò)攻擊。

借助芯盾時(shí)代IAM，企業(yè)能夠?qū)崿F(xiàn)以下核心功能：

1.統(tǒng)一員工身份，提升身份管理水平

借助芯盾時(shí)代IAM，企業(yè)能夠整合業(yè)務(wù)應(yīng)用中零散的身份信息，為每一個(gè)員工創(chuàng)建唯一可信的數(shù)字身份，形成權(quán)威的組織架構(gòu)，建立自動(dòng)化流轉(zhuǎn)的用戶全生命周期管理機(jī)制。利用芯盾時(shí)代IAM統(tǒng)一納管業(yè)務(wù)應(yīng)用的身份信息，能夠讓員工使用一個(gè)賬號(hào)登錄所有業(yè)務(wù)應(yīng)用，徹底消滅密碼重復(fù)使用的安全隱患，實(shí)現(xiàn)“一個(gè)身份，訪問(wèn)全網(wǎng)”。

統(tǒng)一員工身份后，運(yùn)維人員能夠在一個(gè)后臺(tái)開(kāi)通、注銷員工賬戶，配置不同應(yīng)用的認(rèn)證策略，設(shè)置應(yīng)用的訪問(wèn)權(quán)限，統(tǒng)一審計(jì)全局訪問(wèn)日志，大幅減少運(yùn)維量，提升工作效率。

2.全局多因素認(rèn)證，有效防范網(wǎng)絡(luò)釣魚(yú)

借助芯盾時(shí)代IAM，企業(yè)能夠建設(shè)應(yīng)用門(mén)戶，統(tǒng)一業(yè)務(wù)應(yīng)用的登錄入口，并借助單點(diǎn)登錄功能，讓員工只需認(rèn)證一次，就能訪問(wèn)所有權(quán)限內(nèi)的業(yè)務(wù)應(yīng)用，實(shí)現(xiàn)“一次認(rèn)證，全網(wǎng)通行”。

芯盾時(shí)代為企業(yè)建立移動(dòng)認(rèn)證App，結(jié)合員工所知、所持、所有進(jìn)行多因素身份認(rèn)證，提供密碼、App掃碼、短信驗(yàn)證碼、動(dòng)態(tài)口令、指紋識(shí)別、人臉識(shí)別等多種認(rèn)證方式，讓員工在進(jìn)行身份認(rèn)證時(shí)少輸密碼、甚至不輸密碼，兼顧企業(yè)網(wǎng)絡(luò)安全與員工操作便利，有效防范網(wǎng)絡(luò)釣魚(yú)。

為了提升身份認(rèn)證的智能化水平，芯盾時(shí)代將IAM與AI大模型深度融合。結(jié)合歷史數(shù)據(jù)、風(fēng)險(xiǎn)情報(bào)對(duì)AI大模型進(jìn)行訓(xùn)練后，IAM能夠?yàn)槊總€(gè)用戶生成獨(dú)一無(wú)二的“行為指紋”，不但能夠評(píng)估口令、設(shè)備、IP、網(wǎng)絡(luò)等信息，更能夠評(píng)估打字速度、鼠標(biāo)操作行為、應(yīng)用交互習(xí)慣等行為是否偏離用戶行為基線，并根據(jù)評(píng)估結(jié)果實(shí)時(shí)生成認(rèn)證策略，實(shí)現(xiàn)“一人一策略，次次不一樣”的身份認(rèn)證模式。

3.落實(shí)“最小化授權(quán)”，杜絕越權(quán)訪問(wèn)

芯盾時(shí)代IAM支持多種權(quán)限管理模型，訪問(wèn)權(quán)限粒度細(xì)至頁(yè)面級(jí)。運(yùn)維人員能夠根據(jù)應(yīng)用和數(shù)據(jù)重要等級(jí)，選擇RBAC、ABAC、ACL等權(quán)限管理模型，靈活配置訪問(wèn)控制策略，實(shí)現(xiàn)對(duì)訪問(wèn)權(quán)限的精細(xì)化、動(dòng)態(tài)化管控。

借助AI大模型，IAM能夠高效的自動(dòng)掃描所有業(yè)務(wù)應(yīng)用中的權(quán)限分配情況，生成格式化報(bào)表，實(shí)現(xiàn)“權(quán)限透明無(wú)死角”。同時(shí)，綜合法律法規(guī)要求、組織管理制度、IT管理制度，審查每一個(gè)員工、每一個(gè)賬號(hào)的訪問(wèn)權(quán)限是否合規(guī)、合理，并對(duì)過(guò)度授權(quán)、職責(zé)沖突、權(quán)限濫用等情況給出處置建議，實(shí)現(xiàn)“權(quán)限隱患一掃空”。

4.身份信息加密，避免賬戶憑證被竊

為保證身份信息的安全性，芯盾時(shí)代自主研發(fā)了移動(dòng)認(rèn)證技術(shù)，通過(guò)對(duì)智能手機(jī)的唯一性識(shí)別，證書(shū)的安全生成、存儲(chǔ)、調(diào)用，以及手機(jī)安全環(huán)境的檢測(cè)，將智能手機(jī)打造成移動(dòng)U盾，為身份認(rèn)證營(yíng)造安全的終端環(huán)境。

芯盾時(shí)代研發(fā)的智能終端密碼模塊，基于傳統(tǒng)證書(shū)認(rèn)證方式，結(jié)合分割密鑰、設(shè)備指紋、白盒算法、環(huán)境清場(chǎng)等技術(shù)，為身份信息的安全存儲(chǔ)提供了底層支持，保證身份信息更安全的傳輸、存儲(chǔ)，即使身份信息被劫持、被泄露也難以被破譯和篡改，有效防范中間人攻擊。

借助芯盾時(shí)代用戶身份和訪問(wèn)管理平臺(tái)（IAM），企業(yè)能夠構(gòu)建更智能、更安全、更高效的身份管理體系，避免因賬戶憑證盜用造成的安全風(fēng)險(xiǎn)，為數(shù)字化轉(zhuǎn)型構(gòu)建安全基座。