如果你的 IT 服務(wù)商僅憑黑客的一個(gè)電話，都沒核驗(yàn)對方身份，就幫對方重置了登錄密碼和多因素認(rèn)證（MFA）憑證，直接將賬號密碼給了對方；

如果IT 服務(wù)商連預(yù)定的核實(shí)身份的流程都不執(zhí)行，驗(yàn)證工具都懶得用，確認(rèn)郵件都沒有發(fā)；

如果黑客拿著IT服務(wù)商給的賬號密碼，順利登錄內(nèi)網(wǎng)，直接導(dǎo)致你的業(yè)務(wù)癱瘓數(shù)周、產(chǎn)品斷供、損失上億美元……

這可不是什么天方夜譚。2023年，全球清潔用品巨頭高樂氏（Clorox）就遭遇了這樣的噩夢。而幫黑客“開后門”的，正是他們的 IT 服務(wù)商高知特（Cognizant）。近日，高樂氏正式因?yàn)榇舜问录鹪V高知特，要求其賠償全部損失——3.8億美元（約合27億元人民幣）！

IT服務(wù)商給黑客“開門”，高樂氏索賠27億元

仔細(xì)回顧這次事件，高知特在每一個(gè)環(huán)節(jié)都顯露著“草臺班子”的氣息。

2023年8月11日，黑客冒充高樂氏的員工撥打服務(wù)臺的電話，一名高知特客服代理隨后為其Okta賬戶重置了訪問權(quán)限。高樂氏稱，該客服雖然曾要求攻擊者連接公司VPN，但對方聲稱無法連接因?yàn)椤皼]有密碼”，客服便未做任何進(jìn)一步身份核驗(yàn)，直接重置了訪問權(quán)限，“這一行為嚴(yán)重違反了高樂氏制定的憑據(jù)支持流程”。

緊接著，黑客又要求重置其微軟多因素認(rèn)證（MFA）憑據(jù)，而該客服在“未進(jìn)行任何身份驗(yàn)證”的情況下，“多次滿足了攻擊者的請求”。

高樂氏進(jìn)一步指出，“該客服從未向員工本人或其主管發(fā)送通知郵件，提醒其密碼已被重置，違反了流程要求”。

高樂氏在訴狀還指出，攻擊者進(jìn)一步請求重置員工（在訴狀中稱為“員工1”）用于短信MFA的綁定手機(jī)號。

高樂氏指控稱：“網(wǎng)絡(luò)犯罪分子利用員工1泄露的憑據(jù)進(jìn)入網(wǎng)絡(luò)，并進(jìn)一步竊取高樂氏內(nèi)部信息。之后，他們將目標(biāo)轉(zhuǎn)向了另一名負(fù)責(zé)IT安全事務(wù)的員工——員工2的憑據(jù)?！?/p>

高樂氏和高知特在2013年就建立了合作關(guān)系，并且多次更新服務(wù)協(xié)議。高樂氏制定的憑據(jù)支持響應(yīng)流程規(guī)定，在高樂氏員工提出密碼重置請求后，客服應(yīng)“引導(dǎo)員工使用高樂氏的身份驗(yàn)證與自助重置工具M(jìn)yID；若MyID不可用，則必須通過驗(yàn)證員工主管姓名與MyID用戶名確認(rèn)其身份，并在重置密碼后，向該員工和其主管的高樂氏郵箱發(fā)送必要的確認(rèn)郵件”。

更讓高樂氏惱火的是，高知特在攻擊事件爆發(fā)后的響應(yīng)非常緩慢。當(dāng)高樂氏緊急要求高知特重新安裝“被攻擊者卸載的一項(xiàng)關(guān)鍵網(wǎng)絡(luò)安全工具”時(shí)，高知特竟花費(fèi)了一個(gè)多小時(shí)完成原本15分鐘內(nèi)應(yīng)完成的任務(wù)。公司還表示，包括數(shù)據(jù)庫恢復(fù)、IP地址列表更新、賬戶停用等關(guān)鍵任務(wù)，也都未能被妥善處理。

管理、技術(shù)都不行，陰溝翻船成必然

高樂氏在此次網(wǎng)絡(luò)攻擊中，暴露出了在身份安全上的巨大問題：

1.管理流程形同虛設(shè)

高樂氏雖然與高知特確立了賬戶密碼重置的流程，但是此流程完全依靠人工執(zhí)行，缺乏相應(yīng)的技術(shù)手段將業(yè)務(wù)流程固化為IT流程，導(dǎo)致密碼重置流程缺乏嚴(yán)格的監(jiān)管與審批。

2.身份認(rèn)證不夠安全

黑客從服務(wù)商獲得員工的賬戶密碼，輕松地通過自有設(shè)備遠(yuǎn)程登錄高樂氏內(nèi)網(wǎng)。高樂氏一則無法阻斷來自非法設(shè)備的異地登錄，二則沒有收到非法登錄的安全預(yù)警，身份認(rèn)證的安全性明顯不足。

3.權(quán)限管理不夠精細(xì)

黑客在登錄高樂氏的內(nèi)網(wǎng)后，進(jìn)行了大量非常操作，包括竊取數(shù)據(jù)、植入勒索軟件等，說明高樂氏對員工的訪問權(quán)限管理存在不足，一則存在過度授權(quán)，二則無法及時(shí)發(fā)現(xiàn)超出權(quán)限的可疑行為，讓黑客在內(nèi)網(wǎng)自由橫移。

正是因?yàn)檫@些管理、技術(shù)上的問題，IT服務(wù)商的人為失誤才會(huì)釀成價(jià)值27億元的大禍。這給全球企業(yè)敲響了警鐘——賬號密碼要安全，管理、技術(shù)都要硬。

芯盾時(shí)代用戶身份與訪問管理平臺（IAM）

想要避免高樂氏式的尷尬，企業(yè)需要構(gòu)建更規(guī)范、更高效、更嚴(yán)格的身份管理體系，一方面建立嚴(yán)格的規(guī)章制度、操作流程，保證每一次操作都安全、合規(guī)，一方面需要部署新型的身份管理產(chǎn)品，提升身份管理水平，將管理制度固化為IT流程，實(shí)現(xiàn)組織管理與IT管理的對齊。

芯盾時(shí)代用戶身份與訪問管理平臺（IAM），基于零信任理念打造，采用自主研發(fā)的統(tǒng)一終端安全技術(shù)、增強(qiáng)型身份認(rèn)證技術(shù)、連續(xù)自適應(yīng)風(fēng)險(xiǎn)信任評估技術(shù)，為企業(yè)一站式建立智能化、統(tǒng)一化、標(biāo)準(zhǔn)化的統(tǒng)一身份管理平臺，實(shí)現(xiàn)對身份信息、身份認(rèn)證、訪問權(quán)限、安全審計(jì)的統(tǒng)一管理。同時(shí)，芯盾時(shí)代憑借豐富的項(xiàng)目經(jīng)驗(yàn)，幫助企業(yè)制定規(guī)章制度、梳理操作流程、明確責(zé)任分工，將操作流程映射為IAM中的審批流程，構(gòu)建“軟硬一體”的身份管理體系，實(shí)現(xiàn)管理、技術(shù)兩手抓，兩手都要硬。

借助芯盾時(shí)代IAM，企業(yè)能一站式實(shí)現(xiàn)以下功能：

1.創(chuàng)建唯一身份，權(quán)限、審計(jì)統(tǒng)一管理

借助芯盾時(shí)代IAM，企業(yè)能夠?qū)崿F(xiàn)對身份信息、身份認(rèn)證、訪問權(quán)限、安全審計(jì)的統(tǒng)一管理，全面提升身份管理的規(guī)范性。

統(tǒng)一員工身份：整合IT系統(tǒng)中分散的身份數(shù)據(jù)，為每一名員工創(chuàng)建唯一的可信身份，形成權(quán)威的組織架構(gòu)，建立自動(dòng)化流轉(zhuǎn)的用戶全生命周期管理機(jī)制，讓員工使用一個(gè)賬號登錄所有業(yè)務(wù)應(yīng)用，減少需要記錄、使用的密碼數(shù)量，實(shí)現(xiàn)“一個(gè)身份，訪問全網(wǎng)”。

統(tǒng)一運(yùn)維管理：統(tǒng)一員工身份后，運(yùn)維人員能夠在一個(gè)后臺統(tǒng)一設(shè)置多個(gè)應(yīng)用的認(rèn)證策略、權(quán)限管理模型，統(tǒng)一審計(jì)多個(gè)應(yīng)用的訪問日志，顯著減少運(yùn)維工作量，提升工作效率。

落實(shí)最小化授權(quán)：芯盾時(shí)代IAM支持多種權(quán)限管理模型，訪問權(quán)限粒度細(xì)至頁面級。運(yùn)維人員能夠根據(jù)應(yīng)用和數(shù)據(jù)重要等級，選擇RBAC、ABAC、ACL等權(quán)限管理模型，靈活配置訪問控制策略，實(shí)現(xiàn)對訪問權(quán)限的精細(xì)化、動(dòng)態(tài)化管控。

2.建立規(guī)章制度，提供自助服務(wù)

在為企業(yè)建立統(tǒng)一身份管理平臺的同時(shí)，芯盾時(shí)代還能夠幫助企業(yè)建立與平臺相適配的管理制度和操作流程，讓身份管理更規(guī)范、更可控。

建立規(guī)章制度：在建設(shè)統(tǒng)一身份管理平臺的同時(shí)，芯盾時(shí)代能夠幫助企業(yè)制定《賬號管理流程和辦法》、《安全標(biāo)準(zhǔn)和接口規(guī)范》等管理制度，編制《應(yīng)用接入和集成規(guī)范》等技術(shù)文檔。借助與管理平臺深度融合的管理制度，企業(yè)能夠?qū)崿F(xiàn)組織管理和IT管理的對齊，讓每一次身份管理行為都可監(jiān)控、可追溯，避免賬戶管理在平臺之外“體外循環(huán)”。

建立員工自助服務(wù)中心：芯盾時(shí)代IAM提供員工自助服務(wù)中心，讓員工自助完成密碼修改與重置、訪問權(quán)限申請、修改個(gè)人信息等操作，管理員只需審批即可。這能從根本上杜絕不受管控的密碼重置，還能減輕管理員的工作量。

引入“智能問答助手”：芯盾時(shí)代將IAM與AI大模型深度融合，在IAM中添加了“智能問答助手”，通過RAG（檢索增強(qiáng)生成）構(gòu)建企業(yè)知識庫，讓AI大模型從向量數(shù)據(jù)庫中檢索相關(guān)性最強(qiáng)的文檔片段，生成針對性的回答，從而快速響應(yīng)員工需求，減少人工支持成本。

3.統(tǒng)一認(rèn)證管理，安全與體驗(yàn)雙優(yōu)

利用芯盾時(shí)代IAM納管業(yè)務(wù)應(yīng)用的身份認(rèn)證之后，企業(yè)能夠?qū)崿F(xiàn)全局多因素認(rèn)證，有效防范非法登錄。

全局多因素認(rèn)證：為企業(yè)建立移動(dòng)認(rèn)證App，結(jié)合員工所知、所持、所有進(jìn)行多因素認(rèn)證（MFA），提供密碼、App掃碼、短信驗(yàn)證碼、動(dòng)態(tài)口令、指紋識別、人臉識別等多種認(rèn)證方式，有效提升身份認(rèn)證的安全性，防范網(wǎng)絡(luò)釣魚、撞庫等網(wǎng)絡(luò)攻擊。

實(shí)施單點(diǎn)登錄：為企業(yè)建設(shè)應(yīng)用門戶，統(tǒng)一業(yè)務(wù)應(yīng)用的登錄入口，并借助單點(diǎn)登錄功能，讓員工只需認(rèn)證一次，就能登錄所有權(quán)限內(nèi)的業(yè)務(wù)應(yīng)用，實(shí)現(xiàn)“一次認(rèn)證，全網(wǎng)通行”。

標(biāo)識設(shè)備身份：芯盾時(shí)代IAM采用自主研發(fā)的設(shè)備指紋技術(shù)，能夠?yàn)槊恳慌_設(shè)備生成唯一標(biāo)識，將員工賬號與設(shè)備進(jìn)行強(qiáng)綁定。當(dāng)賬號在非常用設(shè)備登錄，系統(tǒng)會(huì)按照安全策略采取人臉識別、短信驗(yàn)證碼等二次認(rèn)證措施，并及時(shí)發(fā)出預(yù)警，杜絕非法登錄。

4.自研底層技術(shù)，保障認(rèn)證安全

為了保證身份信息被安全地存儲、傳輸，芯盾時(shí)代自主研發(fā)了移動(dòng)認(rèn)證技術(shù)、智能終端密碼模塊，讓IAM更可控、更安全。

保證終端設(shè)備安全：芯盾時(shí)代自主研發(fā)的移動(dòng)認(rèn)證技術(shù)，通過對智能手機(jī)的唯一性識別，證書的安全生成、存儲、調(diào)用，以及手機(jī)安全環(huán)境的檢測，將智能手機(jī)打造成移動(dòng)U盾，為身份認(rèn)證營造安全的終端環(huán)境。

身份信息加密存儲：芯盾時(shí)代智能終端密碼模塊，結(jié)合分割密鑰、白盒算法、環(huán)境清場等技術(shù)，為身份信息的安全存儲、傳輸提供底層支持，確保身份信息難以被破譯和篡改。

賬號密碼要安全，管理、技術(shù)都要硬。芯盾時(shí)代IAM不但能夠幫助企業(yè)建立統(tǒng)一身份管理平臺，全面提升身份安全能力，還能夠讓企業(yè)把管理制度、操作流程固化為IT流程，實(shí)現(xiàn)組織管理與IT管理的對齊，讓企業(yè)管理、技術(shù)兩手抓，軟硬一體保安全！