进攻性防御:来自Equifax和Marriott事件的教训

2017年，信用报告机构Equifax宣布妥协的个人1.45亿美国消费者的数据以及加拿大和英国居民的有限信息，包括姓名、地址、社保号码和出生日期。大约一年半后，喜达屋酒店证实了酒店客源数据库约有5亿客源是数据泄露造成的吗从客人的姓名和邮政地址到护照号码，再到喜达屋的奖励信息，这些信息都被泄露了出来。

“在核实身份时，减少对静态个人资料的依赖，增加对动态身份资料的依赖”

“这些入侵事件并非孤立发生。目前，针对各类公司的攻击有数百起之多，所有这些都突显出一个事实:消费者无法控制自己的数据隐私在今天的信息处理环境中说,“Avivah Litan，尊敬的副总裁分析师，高德纳．“如果你认为你的个人信息可能已经泄露，建议的解决方案之一是向所有三大信用机构申请冻结信用，以确保黑客无法利用你窃取的信息——但我的观点是，这只能保护你免受可能发生在你身上的攻击类型的不到5%。”

阅读更多:关注最大的安全威胁，而不是最广为人知的安全威胁

如何使用窃取的数据?

• 它可能是出售,出售在地下．
• 它可以用来更新现有的被盗身份记录，这些记录已经非常丰富，但在电话号码和地址方面有点过时。
• 它可以用来接管现有账户包括银行账户、经纪账户、电话服务账户(这在现在很常见，比如比特币钱包的持有者)和退休账户。利坦说:“呼叫中心和在线系统在进行高风险交易(如转移资金或更改记录中的账户电话号码)时，会使用这些被泄露的个人身份识别信息(PII)数据来验证身份。”“所以现在，有了被盗的最新PII数据，犯罪分子可以更容易地冒充目标受害者进入他们的账户。”
• 它可以被敌对的民族国家购买和使用，这些国家有自己的邪恶计划来扰乱或窃取美国社会。他们的目标可以从扰乱政治进程或窃取用于制造武器相关系统(如导弹防御系统)的有价值的知识产权，到更无害的任务，如窃取用于奢侈手袋或香水的消费品蓝图。

阅读更多:采用无密码方法来提高安全性

当涉及到身份验证时，组织应该做什么?

Gartner的数据显示，首先，当数据落入犯罪分子手中的几率超过50%时，仅仅依靠静态PII来识别与企业有业务往来的个人是没有意义的。组织应该减少依赖在进行身份验证时，增加对动态身份数据的依赖。系统基于动态non-PII数据和行为指标比基于静态的、受监管的PII数据更能评估身份声明的合法性和风险。

然而，分层身份验证方法始终是最强的方法，这使得未经授权的用户更难以破坏组织的资产和系统。单独使用任何单一身份评估方法都不足以将坚定的欺诈者拒之门外，或验证个人身份声明的合法性。

“身份评估不是一次性事件。它必须是由身份验证触发的连续循环。”

分布式账本技术是区块链越来越多地用于去中心化身份目的。这种技术通常被称为“自我主权”身份，它使消费者能够控制自己的身份数据，并有选择地将其发布给他们想要的任何人。Litan说:“虽然这项技术还没有广泛应用，但看到我们正在朝着这个方向前进是积极的。”欺诈、安全和业务经理的最佳选择是使用多层身份评估流程。每一层都是前一层的后盾，这样如果罪犯绕过了一层，下一层就会进一步阻止他们。相反，每一个连续的层都增加了身份声明合法的保证。