AI 时代的企业安全新挑战:密码管理的困境与突破
由 Dashlane 提供
数据泄露风险一直是企业挥之不去的梦魇,而生成式 AI 工具的兴起,更是将这一风险放大至前所未有的程度。Gartner 的最新研究表明,自 2019 年以来,每位员工使用的 SaaS 应用数量翻了一番,其中相当一部分是员工在 IT 部门监管之外使用的 AI 工具。
这些不受管理的应用缺乏单点登录 (SSO) 或多因素身份验证 (MFA) 等安全控制措施,因此无法了解这些可能包含敏感数据的应用是否使用安全凭据进行访问,以及 ChatGPT、Gemini 等工具是否将数据或知识产权泄露到互联网。
“云端 SaaS 应用的爆炸式增长,为 IT 部门带来了许多灰色地带,”Dashlane 首席技术官 Fred Rivain 表示,“凭据和密码安全的有效性在很大程度上取决于用户的参与,但如今这已不再足够。仅仅拥有传统的密码管理器、MFA 或单点登录是不够的,还需要在整个组织范围内提升凭据卫生水平。”
当然,IT 领导者可以控制他们已知的关键系统,并在其上部署 SSO 和 MFA。但如今的挑战不仅是影子 IT,还有大量与 SSO 不兼容的工具。此外,安全专业人士还称之为“SSO 税”,即供应商为添加 SSO 集成而收取的费用。识别需要保护的工具并添加 SSO 集成,在时间和金钱上都将是一项昂贵的操作。
许多企业选择放弃这些成本,这在企业平均有 53 个未被 SSO 自动覆盖的凭据(并且这些密码中有很多可能是重复的)的情况下是可以理解的。对整个组织进行应用清单的盘点是一项重大任务,需要高管层的支持。与此同时,中小企业则完全被排除在外,因为他们没有足够的资源支付 SSO 集成费用。
各种规模的企业通常会转向手动密码,因为其初始采用成本要低得多。不幸的是,这也会带来巨大的隐藏管理成本,以及对安全态势的深远影响,因为每个凭据都是一个风险点,而其中许多风险是不可见的。
“这就是为什么鼓励员工使用凭据管理器为这些系统生成唯一且复杂的密码至关重要,”Rivain 说,“这有助于他们养成正确的身份验证习惯和最佳实践。希望员工也能将这种保护措施添加到他们使用的未经授权的应用中,这至少比没有保护好。”
然而,员工经常使用和共享他们的凭据,包括他们自己生成的强密码和他们自己设计的弱密码或被盗密码。让他们了解风险并保持对网络钓鱼攻击的警惕,往往是一场艰苦的战斗。
Rivain 表示,密钥可以增加另一层安全保障,并帮助减轻组织某些领域的凭据风险。密钥是一种无密码身份验证形式,由 FIDO 联盟开发,并得到主要科技公司的支持。密钥始终是唯一的且强大的,并且不需要在服务器上存储私有信息。用户在登录网站或应用时会被要求证明自己的身份。他们可以使用生物识别身份验证,例如指纹或面部识别来确认身份,或者相反,他们可以满足凭据管理器的挑战。一旦用户身份得到确认,他们就会自动登录,无需密码。
密钥比任何密码都安全得多,具有防钓鱼功能,无法被盗或猜测。从责任的角度来看,由于暴露客户数据可能会让组织陷入重大的法律麻烦,因此要求员工尽可能使用密钥可以显著提高安全性。IT 领导者可以明确鼓励团队在他们使用的工具中尽可能使用密钥,例如,营销团队可以将大多数社交媒体平台切换到密钥。
然而,Rivain 表示,密钥作为企业解决方案尚未完全成熟。首先,并非所有工具或平台都支持密钥。此外,它仍然是一项新兴技术,存在一些可访问性问题,例如 Chrome 和 Apple 中的 UX 比较笨拙,以及围绕密钥来源的适当证明、密钥丢失时的帐户恢复困难以及对密钥存储位置的控制等问题。
“当然,IT 管理员希望拥有这种控制权。他们想知道他们将王国钥匙存储在哪里,”Rivain 说,“围绕密钥,企业还有很多用例尚未解决。这也是 FIDO 联盟的工作的一部分,需要时间。”
随着越来越多的消费者采用密钥(许多大型网站、应用和科技公司都支持密钥),密钥将成为企业安全对话中越来越重要的组成部分。Rivain 预测,未来我们将看到针对企业的完整无密码解决方案,但目前情况仍在不断发展。
“它们并不完美,但它们也是一种为员工设置护栏的方式,让他们不会意外暴露密码,而且他们会使用这项技术,因为它更方便、更安全,”他说,“这就是为什么行业需要继续努力,继续推广这项技术。这将是一个非常漫长的采用过程,但它比我们过去使用的要好。”
那么,企业的安全状况如何呢?即使有其他保护措施,像密码这样的不安全凭据仍然对组织构成持续且不断变化的威胁。企业需要一种全新的安全和凭据方法。
随着攻击的数量和复杂程度不断上升,以及员工使用的不可见、未经授权的应用数量不断增加,即使是最完善的分层安全策略也并非万无一失。
“我们需要找到一种新的方法,确保即使那些不太重视安全性的员工也能得到保护,我们需要从被动防御转向主动保护,”Rivain 解释说,“这意味着超越传统的密码管理,为每个员工提供实时且上下文相关的凭据安全。”
为此,Dashlane 将检测、情报和响应功能集成到工具中,以提供对凭据风险的最大可见性。
Dashlane 的凭据风险工具会持续监控公司范围内的凭据数据,以实时检测风险。当员工输入弱密码、重复使用密码或被盗密码,或即将在可疑网站上输入信息时,该工具会自动向 IT 部门发送警报。Dashlane Nudges 会自动执行凭据风险响应,向员工发送个性化的自动消息,提醒他们风险并要求他们更新凭据。
通过持续扫描应用登录方法,IT 部门可以更深入地了解员工使用的所有工具和系统(包括授权和未授权的工具和系统)中的凭据风险。同时,员工在日常工作中被鼓励养成良好的安全习惯。
“这种新方法蕴藏着巨大的潜力,”他补充说,“我们试图从全新的角度解决整个组织的凭据问题和安全问题,为强大的安全策略增加一层至关重要的保护。”
深入了解:点击此处了解更多关于凭据风险检测、Dashlane Nudges 和其他强大的企业安全工具。
如需讨论购买事宜,请访问 Dashlane 网站。
赞助文章是由付费发布或与 VentureBeat 有业务关系的公司制作的内容,并且始终明确标明。如需了解更多信息,请联系 sales@venturebeat.com。
