芯盾时代用户身份与访问管理平台全面提升身份安全能力

如果你的 IT 服务商仅凭黑客的一个电话，都没核验对方身份，就帮对方重置了登录密码和多因素认证（MFA）凭证，直接将账号密码给了对方；

如果IT 服务商连预定的核实身份的流程都不执行，验证工具都懒得用，确认邮件都没有发；

如果黑客拿着IT服务商给的账号密码，顺利登录内网，直接导致你的业务瘫痪数周、产品断供、损失上亿美元……

这可不是什么天方夜谭。2023年，全球清洁用品巨头高乐氏（Clorox）就遭遇了这样的噩梦。而帮黑客“开后门”的，正是他们的 IT 服务商高知特（Cognizant）。近日，高乐氏正式因为此次事件起诉高知特，要求其赔偿全部损失——3.8亿美元（约合27亿元人民币）！

IT服务商给黑客“开门”，高乐氏索赔27亿元

仔细回顾这次事件，高知特在每一个环节都显露着“草台班子”的气息。

2023年8月11日，黑客冒充高乐氏的员工拨打服务台的电话，一名高知特客服代理随后为其Okta账户重置了访问权限。高乐氏称，该客服虽然曾要求攻击者连接公司VPN，但对方声称无法连接因为“没有密码”，客服便未做任何进一步身份核验，直接重置了访问权限，“这一行为严重违反了高乐氏制定的凭据支持流程”。

紧接着，黑客又要求重置其微软多因素认证（MFA）凭据，而该客服在“未进行任何身份验证”的情况下，“多次满足了攻击者的请求”。

高乐氏进一步指出，“该客服从未向员工本人或其主管发送通知邮件，提醒其密码已被重置，违反了流程要求”。

高乐氏在诉状还指出，攻击者进一步请求重置员工（在诉状中称为“员工1”）用于短信MFA的绑定手机号。

高乐氏指控称：“网络犯罪分子利用员工1泄露的凭据进入网络，并进一步窃取高乐氏内部信息。之后，他们将目标转向了另一名负责IT安全事务的员工——员工2的凭据。”

高乐氏和高知特在2013年就建立了合作关系，并且多次更新服务协议。高乐氏制定的凭据支持响应流程规定，在高乐氏员工提出密码重置请求后，客服应“引导员工使用高乐氏的身份验证与自助重置工具MyID；若MyID不可用，则必须通过验证员工主管姓名与MyID用户名确认其身份，并在重置密码后，向该员工和其主管的高乐氏邮箱发送必要的确认邮件”。

更让高乐氏恼火的是，高知特在攻击事件爆发后的响应非常缓慢。当高乐氏紧急要求高知特重新安装“被攻击者卸载的一项关键网络安全工具”时，高知特竟花费了一个多小时完成原本15分钟内应完成的任务。公司还表示，包括数据库恢复、IP地址列表更新、账户停用等关键任务，也都未能被妥善处理。

管理、技术都不行，阴沟翻船成必然

高乐氏在此次网络攻击中，暴露出了在身份安全上的巨大问题：

1.管理流程形同虚设

高乐氏虽然与高知特确立了账户密码重置的流程，但是此流程完全依靠人工执行，缺乏相应的技术手段将业务流程固化为IT流程，导致密码重置流程缺乏严格的监管与审批。

2.身份认证不够安全

黑客从服务商获得员工的账户密码，轻松地通过自有设备远程登录高乐氏内网。高乐氏一则无法阻断来自非法设备的异地登录，二则没有收到非法登录的安全预警，身份认证的安全性明显不足。

3.权限管理不够精细

黑客在登录高乐氏的内网后，进行了大量非常操作，包括窃取数据、植入勒索软件等，说明高乐氏对员工的访问权限管理存在不足，一则存在过度授权，二则无法及时发现超出权限的可疑行为，让黑客在内网自由横移。

正是因为这些管理、技术上的问题，IT服务商的人为失误才会酿成价值27亿元的大祸。这给全球企业敲响了警钟——账号密码要安全，管理、技术都要硬。

芯盾时代用户身份与访问管理平台（IAM）

想要避免高乐氏式的尴尬，企业需要构建更规范、更高效、更严格的身份管理体系，一方面建立严格的规章制度、操作流程，保证每一次操作都安全、合规，一方面需要部署新型的身份管理产品，提升身份管理水平，将管理制度固化为IT流程，实现组织管理与IT管理的对齐。

芯盾时代用户身份与访问管理平台（IAM），基于零信任理念打造，采用自主研发的统一终端安全技术、增强型身份认证技术、连续自适应风险信任评估技术，为企业一站式建立智能化、统一化、标准化的统一身份管理平台，实现对身份信息、身份认证、访问权限、安全审计的统一管理。同时，芯盾时代凭借丰富的项目经验，帮助企业制定规章制度、梳理操作流程、明确责任分工，将操作流程映射为IAM中的审批流程，构建“软硬一体”的身份管理体系，实现管理、技术两手抓，两手都要硬。

借助芯盾时代IAM，企业能一站式实现以下功能：

1.创建唯一身份，权限、审计统一管理

借助芯盾时代IAM，企业能够实现对身份信息、身份认证、访问权限、安全审计的统一管理，全面提升身份管理的规范性。

统一员工身份：整合IT系统中分散的身份数据，为每一名员工创建唯一的可信身份，形成权威的组织架构，建立自动化流转的用户全生命周期管理机制，让员工使用一个账号登录所有业务应用，减少需要记录、使用的密码数量，实现“一个身份，访问全网”。

统一运维管理：统一员工身份后，运维人员能够在一个后台统一设置多个应用的认证策略、权限管理模型，统一审计多个应用的访问日志，显著减少运维工作量，提升工作效率。

落实最小化授权：芯盾时代IAM支持多种权限管理模型，访问权限粒度细至页面级。运维人员能够根据应用和数据重要等级，选择RBAC、ABAC、ACL等权限管理模型，灵活配置访问控制策略，实现对访问权限的精细化、动态化管控。

2.建立规章制度，提供自助服务

在为企业建立统一身份管理平台的同时，芯盾时代还能够帮助企业建立与平台相适配的管理制度和操作流程，让身份管理更规范、更可控。

建立规章制度：在建设统一身份管理平台的同时，芯盾时代能够帮助企业制定《账号管理流程和办法》、《安全标准和接口规范》等管理制度，编制《应用接入和集成规范》等技术文档。借助与管理平台深度融合的管理制度，企业能够实现组织管理和IT管理的对齐，让每一次身份管理行为都可监控、可追溯，避免账户管理在平台之外“体外循环”。

建立员工自助服务中心：芯盾时代IAM提供员工自助服务中心，让员工自助完成密码修改与重置、访问权限申请、修改个人信息等操作，管理员只需审批即可。这能从根本上杜绝不受管控的密码重置，还能减轻管理员的工作量。

引入“智能问答助手”：芯盾时代将IAM与AI大模型深度融合，在IAM中添加了“智能问答助手”，通过RAG（检索增强生成）构建企业知识库，让AI大模型从向量数据库中检索相关性最强的文档片段，生成针对性的回答，从而快速响应员工需求，减少人工支持成本。

3.统一认证管理，安全与体验双优

利用芯盾时代IAM纳管业务应用的身份认证之后，企业能够实现全局多因素认证，有效防范非法登录。

全局多因素认证：为企业建立移动认证App，结合员工所知、所持、所有进行多因素认证（MFA），提供密码、App扫码、短信验证码、动态口令、指纹识别、人脸识别等多种认证方式，有效提升身份认证的安全性，防范网络钓鱼、撞库等网络攻击。

实施单点登录：为企业建设应用门户，统一业务应用的登录入口，并借助单点登录功能，让员工只需认证一次，就能登录所有权限内的业务应用，实现“一次认证，全网通行”。

标识设备身份：芯盾时代IAM采用自主研发的设备指纹技术，能够为每一台设备生成唯一标识，将员工账号与设备进行强绑定。当账号在非常用设备登录，系统会按照安全策略采取人脸识别、短信验证码等二次认证措施，并及时发出预警，杜绝非法登录。

4.自研底层技术，保障认证安全

为了保证身份信息被安全地存储、传输，芯盾时代自主研发了移动认证技术、智能终端密码模块，让IAM更可控、更安全。

保证终端设备安全：芯盾时代自主研发的移动认证技术，通过对智能手机的唯一性识别，证书的安全生成、存储、调用，以及手机安全环境的检测，将智能手机打造成移动U盾，为身份认证营造安全的终端环境。

身份信息加密存储：芯盾时代智能终端密码模块，结合分割密钥、白盒算法、环境清场等技术，为身份信息的安全存储、传输提供底层支持，确保身份信息难以被破译和篡改。

账号密码要安全，管理、技术都要硬。芯盾时代IAM不但能够帮助企业建立统一身份管理平台，全面提升身份安全能力，还能够让企业把管理制度、操作流程固化为IT流程，实现组织管理与IT管理的对齐，让企业管理、技术两手抓，软硬一体保安全！