危害您业务的网络安全神话

不可否认的是，一个好神话是令人信服的。也许那是因为逃避现实主义有益于我们的大脑，花一些时间想知道致命的鳄鱼栖息在纽约下水道系统中或沃尔特·迪斯尼的超低温冷冻头部正等待重生，这很有趣。

但是，尽管这些神话很有趣，但有关网络安全的一些神话却完全危险。那是因为对什么能保护数字足迹和不能保护数字足迹的误解会导致破坏性破坏。是时候打破神话，重新获得更好的保护了。这是其中的七个：

1.多因素身份验证可防止凭据填充。

多因素身份验证是网络安全中的一个很好的工具，但是它不能防止凭据填充。原因如下：当黑客尝试使用不正确的凭据登录时，服务器将响应并显示一条错误消息。当凭据正确时，服务器将要求认证的第二个因素。无论哪种方式，攻击者都可以获取信息，并且可以使用任何信息来帮助进行攻击。

一旦攻击者知道正确的凭据是什么，他们便可以专注于获取对身份验证的第二个因素的访问权限的方案，例如社交工程，端口输出或SIM卡交换。

MFA很棒，可以减少帐户接管（ATO），但不要以为可以防止凭据塞满。

2.仅一小部分登录流量是自动的。

企业通常会通过自动化方法低估他们受到攻击的程度。僵尸网络，开放代理，受损的IoT设备，社区供电的VPN，虚拟服务器等，都使攻击者能够使用来自世界各地的数百万个IP发起高度分布式的攻击。现有的对策（例如Web应用程序防火墙）通常仅检测到攻击流量的一小部分，通常来自前十个“最嘈杂”的IP。

这意味着对策会丢失大量的低容量IP，而这些IP通常是造成大多数攻击流量的原因。

3. CAPTCHA停止自动程序。

CAPTCHA非常擅长快速提高您的血压，但对于攻击者而言只是短暂的烦恼。实际上，有一些人为点击的农场（例如俄罗斯的2CAPTCHA公司），它为行为不当的人提供了API的自动访问权限，他们可以全天候解决解决验证码问题的真实人，从而实现自动攻击。

验证码只不过是安全剧院，它们不会阻止有动机的黑客。

4.财务和忠诚度积分聚合者认真对待安全性。

您很有可能正在使用Mint之类的金融聚合器来登录您的在线银行帐户。它们类似于忠诚度积分聚合器，后者会在零售商，酒店和航空公司登录您的忠诚度积分帐户，以刮擦购买，预订和忠诚度积分的余额。两种服务都可以让您鸟瞰财务状况，当您拥有许多不同的会员帐户和银行帐户并且不想分别登录时，这很有用。

但是，尽管这些聚合器非常适合在一处显示信息，但是要做到这一点，它们会要求您为每个帐户提供用户名和密码，以便将该帐户链接到聚合器。关联帐户后，聚合器将继续登录并从该帐户中抓取信息。

问题是黑客喜欢聚合器。他们将使用在暗网上购买的被盗的用户名和密码对，并通过聚合器针对数百个其他网站的登录形式进行编程测试。由于人们经常重复使用用户名和密码，因此凭据填充可以使不良行为者访问数千个帐户。

5.为了保护客户和您的品牌，必须进行摩擦。

我们不确定这是如何发生的，但是普遍认为安全需要挫败才能使其有效。网络安全并不像纹身。它不应该受伤。真正出色的网络安全-这是每个人都应该朝的方向-在用户不知情的情况下运行。

行为生物特征识别在后台运行，并安静地分析击键，触摸事件，鼠标动态和设备方向，以建立用户的个人资料并确保其安全。然后对所有这些数据进行分析和评估，以确定用户是否表现出与平常相同的行为，或者是否可能进行假冒。

这种网络安全性比传统登录安全得多。如果后台系统无法以可接受的可信度验证特定用户，则它将触发MFA进一步确认身份。这是用户应该经历的唯一一种摩擦。

6.如果没有损失，就不会有欺诈行为。

欺诈是欺诈，即使没有经济损失。否则，这就像说如果您没有任何症状就不会得病。事实是，当攻击者进行任何欺骗时，就会发生欺诈。不需要将盗窃视为非法活动。这样想：黑客即使没有“偷”任何东西，也仍然可以欺诈您的电子邮件帐户。

一些攻击者，例如外国国家行为者，仅出于情报收集目的而获得帐户访问权限。其他攻击者可以访问帐户并等待某些触发事件或直到条件使财务收益最大化为止。两者仍然是欺诈。

实际上，在检测到攻击之前很长时间就将企业渗透到企业中并不少见。

7.密码策略应要求数字，大写/小写和特殊字符。

复杂的组成要求不一定会加强密码。例如，“ Watch4T！m3”比“ qwerty”强，但是“ Caterpillar Motorboat Tree January”比“ Watch4T！m3”强三倍以上，并且不包含单个特殊字符。最好将密码集中在长度和强度上，而不要集中在任意组合要求上。他们所做的只是使用户重用密码，写下密码并感到沮丧。