如果你的 IT 服務(wù)商僅憑黑客的一個電話，都沒核驗對方身份，就幫對方重置了登錄密碼和多因素認證（MFA）憑證，直接將賬號密碼給了對方；

如果IT 服務(wù)商連預(yù)定的核實身份的流程都不執(zhí)行，驗證工具都懶得用，確認郵件都沒有發(fā)；

如果黑客拿著IT服務(wù)商給的賬號密碼，順利登錄內(nèi)網(wǎng)，直接導(dǎo)致你的業(yè)務(wù)癱瘓數(shù)周、產(chǎn)品斷供、損失上億美元……

這可不是什么天方夜譚。2023年，全球清潔用品巨頭高樂氏（Clorox）就遭遇了這樣的噩夢。而幫黑客“開后門”的，正是他們的 IT 服務(wù)商高知特（Cognizant）。近日，高樂氏正式因為此次事件起訴高知特，要求其賠償全部損失——3.8億美元（約合27億元人民幣）！

IT服務(wù)商給黑客“開門”，高樂氏索賠27億元

仔細回顧這次事件，高知特在每一個環(huán)節(jié)都顯露著“草臺班子”的氣息。

2023年8月11日，黑客冒充高樂氏的員工撥打服務(wù)臺的電話，一名高知特客服代理隨后為其Okta賬戶重置了訪問權(quán)限。高樂氏稱，該客服雖然曾要求攻擊者連接公司VPN，但對方聲稱無法連接因為“沒有密碼”，客服便未做任何進一步身份核驗，直接重置了訪問權(quán)限，“這一行為嚴重違反了高樂氏制定的憑據(jù)支持流程”。

緊接著，黑客又要求重置其微軟多因素認證（MFA）憑據(jù)，而該客服在“未進行任何身份驗證”的情況下，“多次滿足了攻擊者的請求”。

高樂氏進一步指出，“該客服從未向員工本人或其主管發(fā)送通知郵件，提醒其密碼已被重置，違反了流程要求”。

高樂氏在訴狀還指出，攻擊者進一步請求重置員工（在訴狀中稱為“員工1”）用于短信MFA的綁定手機號。

高樂氏指控稱：“網(wǎng)絡(luò)犯罪分子利用員工1泄露的憑據(jù)進入網(wǎng)絡(luò)，并進一步竊取高樂氏內(nèi)部信息。之后，他們將目標(biāo)轉(zhuǎn)向了另一名負責(zé)IT安全事務(wù)的員工——員工2的憑據(jù)?！?/p>

高樂氏和高知特在2013年就建立了合作關(guān)系，并且多次更新服務(wù)協(xié)議。高樂氏制定的憑據(jù)支持響應(yīng)流程規(guī)定，在高樂氏員工提出密碼重置請求后，客服應(yīng)“引導(dǎo)員工使用高樂氏的身份驗證與自助重置工具MyID；若MyID不可用，則必須通過驗證員工主管姓名與MyID用戶名確認其身份，并在重置密碼后，向該員工和其主管的高樂氏郵箱發(fā)送必要的確認郵件”。

更讓高樂氏惱火的是，高知特在攻擊事件爆發(fā)后的響應(yīng)非常緩慢。當(dāng)高樂氏緊急要求高知特重新安裝“被攻擊者卸載的一項關(guān)鍵網(wǎng)絡(luò)安全工具”時，高知特竟花費了一個多小時完成原本15分鐘內(nèi)應(yīng)完成的任務(wù)。公司還表示，包括數(shù)據(jù)庫恢復(fù)、IP地址列表更新、賬戶停用等關(guān)鍵任務(wù)，也都未能被妥善處理。

管理、技術(shù)都不行，陰溝翻船成必然

高樂氏在此次網(wǎng)絡(luò)攻擊中，暴露出了在身份安全上的巨大問題：

1.管理流程形同虛設(shè)

高樂氏雖然與高知特確立了賬戶密碼重置的流程，但是此流程完全依靠人工執(zhí)行，缺乏相應(yīng)的技術(shù)手段將業(yè)務(wù)流程固化為IT流程，導(dǎo)致密碼重置流程缺乏嚴格的監(jiān)管與審批。

2.身份認證不夠安全

黑客從服務(wù)商獲得員工的賬戶密碼，輕松地通過自有設(shè)備遠程登錄高樂氏內(nèi)網(wǎng)。高樂氏一則無法阻斷來自非法設(shè)備的異地登錄，二則沒有收到非法登錄的安全預(yù)警，身份認證的安全性明顯不足。

3.權(quán)限管理不夠精細

黑客在登錄高樂氏的內(nèi)網(wǎng)后，進行了大量非常操作，包括竊取數(shù)據(jù)、植入勒索軟件等，說明高樂氏對員工的訪問權(quán)限管理存在不足，一則存在過度授權(quán)，二則無法及時發(fā)現(xiàn)超出權(quán)限的可疑行為，讓黑客在內(nèi)網(wǎng)自由橫移。

正是因為這些管理、技術(shù)上的問題，IT服務(wù)商的人為失誤才會釀成價值27億元的大禍。這給全球企業(yè)敲響了警鐘——賬號密碼要安全，管理、技術(shù)都要硬。

芯盾時代用戶身份與訪問管理平臺（IAM）

想要避免高樂氏式的尷尬，企業(yè)需要構(gòu)建更規(guī)范、更高效、更嚴格的身份管理體系，一方面建立嚴格的規(guī)章制度、操作流程，保證每一次操作都安全、合規(guī)，一方面需要部署新型的身份管理產(chǎn)品，提升身份管理水平，將管理制度固化為IT流程，實現(xiàn)組織管理與IT管理的對齊。

芯盾時代用戶身份與訪問管理平臺（IAM），基于零信任理念打造，采用自主研發(fā)的統(tǒng)一終端安全技術(shù)、增強型身份認證技術(shù)、連續(xù)自適應(yīng)風(fēng)險信任評估技術(shù)，為企業(yè)一站式建立智能化、統(tǒng)一化、標(biāo)準化的統(tǒng)一身份管理平臺，實現(xiàn)對身份信息、身份認證、訪問權(quán)限、安全審計的統(tǒng)一管理。同時，芯盾時代憑借豐富的項目經(jīng)驗，幫助企業(yè)制定規(guī)章制度、梳理操作流程、明確責(zé)任分工，將操作流程映射為IAM中的審批流程，構(gòu)建“軟硬一體”的身份管理體系，實現(xiàn)管理、技術(shù)兩手抓，兩手都要硬。

借助芯盾時代IAM，企業(yè)能一站式實現(xiàn)以下功能：

1.創(chuàng)建唯一身份，權(quán)限、審計統(tǒng)一管理

借助芯盾時代IAM，企業(yè)能夠?qū)崿F(xiàn)對身份信息、身份認證、訪問權(quán)限、安全審計的統(tǒng)一管理，全面提升身份管理的規(guī)范性。

統(tǒng)一員工身份：整合IT系統(tǒng)中分散的身份數(shù)據(jù)，為每一名員工創(chuàng)建唯一的可信身份，形成權(quán)威的組織架構(gòu)，建立自動化流轉(zhuǎn)的用戶全生命周期管理機制，讓員工使用一個賬號登錄所有業(yè)務(wù)應(yīng)用，減少需要記錄、使用的密碼數(shù)量，實現(xiàn)“一個身份，訪問全網(wǎng)”。

統(tǒng)一運維管理：統(tǒng)一員工身份后，運維人員能夠在一個后臺統(tǒng)一設(shè)置多個應(yīng)用的認證策略、權(quán)限管理模型，統(tǒng)一審計多個應(yīng)用的訪問日志，顯著減少運維工作量，提升工作效率。

落實最小化授權(quán)：芯盾時代IAM支持多種權(quán)限管理模型，訪問權(quán)限粒度細至頁面級。運維人員能夠根據(jù)應(yīng)用和數(shù)據(jù)重要等級，選擇RBAC、ABAC、ACL等權(quán)限管理模型，靈活配置訪問控制策略，實現(xiàn)對訪問權(quán)限的精細化、動態(tài)化管控。

2.建立規(guī)章制度，提供自助服務(wù)

在為企業(yè)建立統(tǒng)一身份管理平臺的同時，芯盾時代還能夠幫助企業(yè)建立與平臺相適配的管理制度和操作流程，讓身份管理更規(guī)范、更可控。

建立規(guī)章制度：在建設(shè)統(tǒng)一身份管理平臺的同時，芯盾時代能夠幫助企業(yè)制定《賬號管理流程和辦法》、《安全標(biāo)準和接口規(guī)范》等管理制度，編制《應(yīng)用接入和集成規(guī)范》等技術(shù)文檔。借助與管理平臺深度融合的管理制度，企業(yè)能夠?qū)崿F(xiàn)組織管理和IT管理的對齊，讓每一次身份管理行為都可監(jiān)控、可追溯，避免賬戶管理在平臺之外“體外循環(huán)”。

建立員工自助服務(wù)中心：芯盾時代IAM提供員工自助服務(wù)中心，讓員工自助完成密碼修改與重置、訪問權(quán)限申請、修改個人信息等操作，管理員只需審批即可。這能從根本上杜絕不受管控的密碼重置，還能減輕管理員的工作量。

引入“智能問答助手”：芯盾時代將IAM與AI大模型深度融合，在IAM中添加了“智能問答助手”，通過RAG（檢索增強生成）構(gòu)建企業(yè)知識庫，讓AI大模型從向量數(shù)據(jù)庫中檢索相關(guān)性最強的文檔片段，生成針對性的回答，從而快速響應(yīng)員工需求，減少人工支持成本。

3.統(tǒng)一認證管理，安全與體驗雙優(yōu)

利用芯盾時代IAM納管業(yè)務(wù)應(yīng)用的身份認證之后，企業(yè)能夠?qū)崿F(xiàn)全局多因素認證，有效防范非法登錄。

全局多因素認證：為企業(yè)建立移動認證App，結(jié)合員工所知、所持、所有進行多因素認證（MFA），提供密碼、App掃碼、短信驗證碼、動態(tài)口令、指紋識別、人臉識別等多種認證方式，有效提升身份認證的安全性，防范網(wǎng)絡(luò)釣魚、撞庫等網(wǎng)絡(luò)攻擊。

實施單點登錄：為企業(yè)建設(shè)應(yīng)用門戶，統(tǒng)一業(yè)務(wù)應(yīng)用的登錄入口，并借助單點登錄功能，讓員工只需認證一次，就能登錄所有權(quán)限內(nèi)的業(yè)務(wù)應(yīng)用，實現(xiàn)“一次認證，全網(wǎng)通行”。

標(biāo)識設(shè)備身份：芯盾時代IAM采用自主研發(fā)的設(shè)備指紋技術(shù)，能夠為每一臺設(shè)備生成唯一標(biāo)識，將員工賬號與設(shè)備進行強綁定。當(dāng)賬號在非常用設(shè)備登錄，系統(tǒng)會按照安全策略采取人臉識別、短信驗證碼等二次認證措施，并及時發(fā)出預(yù)警，杜絕非法登錄。

4.自研底層技術(shù)，保障認證安全

為了保證身份信息被安全地存儲、傳輸，芯盾時代自主研發(fā)了移動認證技術(shù)、智能終端密碼模塊，讓IAM更可控、更安全。

保證終端設(shè)備安全：芯盾時代自主研發(fā)的移動認證技術(shù)，通過對智能手機的唯一性識別，證書的安全生成、存儲、調(diào)用，以及手機安全環(huán)境的檢測，將智能手機打造成移動U盾，為身份認證營造安全的終端環(huán)境。

身份信息加密存儲：芯盾時代智能終端密碼模塊，結(jié)合分割密鑰、白盒算法、環(huán)境清場等技術(shù)，為身份信息的安全存儲、傳輸提供底層支持，確保身份信息難以被破譯和篡改。

賬號密碼要安全，管理、技術(shù)都要硬。芯盾時代IAM不但能夠幫助企業(yè)建立統(tǒng)一身份管理平臺，全面提升身份安全能力，還能夠讓企業(yè)把管理制度、操作流程固化為IT流程，實現(xiàn)組織管理與IT管理的對齊，讓企業(yè)管理、技術(shù)兩手抓，軟硬一體保安全！