· 過半受訪的千禧一代寧愿通過有安全隱患的應用或網站下單,也不愿致電或上門訂購產品

IBM Security 日前(美國時間6月15日)公布了一項全球調查結果,調查內容是消費者在疫情期間的數字行為以及這些行為可能對網絡安全造成的長期影響。這項調查顯示,隨著整個社會越來越習慣于使用數字交互方式,人們越來越看重便利性,對便利的重視程度往往超過了對安全和隱私問題的重視程度,導致他們在設置密碼和其他網絡安全行為方面會作出不明智的選擇。  

消費者的安全意識日漸松懈,而企業又在疫情期間加速推動數字化轉型,這可能為攻擊者提供更多可乘之機,讓他們有機會針對各行各業發動包括勒索軟件、數據盜竊在內的各種網絡攻擊。IBM Security X-Force 的研究表明,員工也可能將不良的個人安全習慣帶到工作場所,從而導致企業遭遇代價高昂的安全事件。據調查,用戶憑證泄露是造成 2020 年網絡攻擊事件的主要原因之一。1

Morning Consult 代表 IBM Security 對來自 22 個市場的 22,000 人進行了一項全球調查 2 ,結果顯示,疫情對消費者安全行為造成了以下影響:

· 疫情導致的數字繁榮會持續:在疫情期間,受訪者人均創建了 15 個新的線上賬戶,相當于全球共創建了數十億個新賬戶。44% 的受訪者表示他們并不打算刪除或停用這些新賬戶,預示著未來幾年他們的數字足跡將增加,這將為網絡犯罪分子提供更大的攻擊面。

· 賬戶過多導致用戶在設置密碼時的安全意識松懈:由于數字賬戶激增,受訪者在設置密碼時的安全意識日漸松懈,82% 的受訪者承認自己至少在某些時候會重復使用密碼。這就意味著,受訪者在疫情期間創建的許多新賬戶可能重復使用了電子郵件和密碼組合,而這些組合可能已經在過去十年所發生的數據泄露事件中被暴露過。

· 受訪者對便利性的重視程度往往超過對安全性和隱私性的重視程度:在接受調查的千禧一代之中,超過一半 (51%) 的受訪者寧愿使用存在安全隱患的應用程序或網站下單,也不愿撥打電話或上門訂購產品。由于這些用戶更有可能為了數字訂購的便利性而忽視安全問題,因此提供這些服務的企業可能會為了避免欺詐行為而承擔更沉重的安全負擔。

隨著消費者越來越傾向于數字交互,這些行為也有可能促進企業在各種環境中采用新興技術,例如:從遠程醫療到數字身份等。3

IBM Security X-Force 全球管理合伙人兼負責人 Charles Henderson 表示:“疫情導致新的線上賬戶激增,然而整個社會對數字便利性的日益依賴可能會以安全和數據隱私為代價。如今,組織必須考慮這種數字依賴對企業安全風險狀況的影響。隨著密碼的可靠性越來越差,組織需要采用可靠的驗證方法。除了多重身份驗證以外,組織還可以逐步采用“零信任”方法來確保安全性 —— 即在整個過程中運用先進的人工智能和分析技術來發現潛在威脅,而不是假設通過了身份驗證的用戶都是可信用戶。”

消費者熱切期望提高訪問的便捷性

這項調查揭示了影響當下和未來網絡安全形勢的各種消費者行為。調查顯示,隨著人們在生活當中更廣泛地使用數字交互,許多人熱切期望提高訪問和使用的便捷性。

· 五分鐘法則:據調查,多數成年人 (59%) 期望僅花不到 5 分鐘時間即可創建一個新的數字賬戶。

· 三振出局:全球范圍內的受訪者在重置密碼之前都會嘗試登錄 3-4 次。重置密碼不僅會使企業承擔額外費用,而且如果密碼與已經被盜的電子郵件賬戶結合使用,重置密碼還會帶來安全威脅。

· 依賴記憶:44% 的受訪者會試圖記住他們的線上賬戶信息(最常用的方法),32% 的受訪者會將賬戶信息記在紙上。

· 多重身份驗證:隨著重復使用密碼的問題越來越突出,為高風險交易添加額外的驗證因素有助于降低賬戶被盜的風險。調查顯示,大約三分之二的全球受訪者在接受調查之前的幾周內使用了多重身份驗證。

深入觀察數字醫療

在疫情期間,人們對 COVID-19 疫苗、檢測和治療的需求量很大,而數字渠道成為了滿足這些需求的一個關鍵途徑。根據 IBM Security 分析,消費者通過各種數字渠道獲取與 COVID-19 有關的服務,接下來可能會通過降低新用戶的使用門檻,以促進用戶與醫療服務提供商之間的數字互動。4 根據調查:

· 63% 的受訪者5通過某種形式的數字渠道(網絡、移動應用、電子郵件和短信)使用與疫情相關的服務

· 盡管網站/網絡應用是最常用的數字互動方式,但使用移動應用和短信的受訪者也不在少數,分別有 39% 和 20% 的受訪者通過這些渠道參與數字互動。

隨著醫療服務提供商進一步推動遠程醫療,他們的運營重心將從保持關鍵 IT 系統在線轉變為保護敏感的患者數據和持續遵守 HIPAA。因此,確保安全協議的設計能夠順應這種轉變也變得越來越重要。為此,他們需要進行數據分割和實施嚴格控制,確保用戶只能訪問特定的系統和數據,從而限制被盜賬戶或設備所造成的影響。為了應對勒索軟件和勒索攻擊事件,醫療服務提供商不僅應當對患者數據進行加密(最好能始終保持加密狀態),而且必須擁有可靠的備份,確保系統和數據能夠迅速恢復,盡量縮短中斷時間。

為數字證書鋪平道路

數字健康通行證或所謂的“疫苗護照”的概念讓消費者看到了數字憑證的真實用例,它提供了一種基于技術的方法,可用于驗證用戶身份的某些方面。據調查,全球 65% 的成年人表示自己很熟悉數字證書的概念。如果數字證書獲得普遍接受,76% 的人可能會采用數字證書。

人們在疫情期間了解到的數字化身份證明概念可能會擴大現代化數字身份系統的使用范圍。將來,數字身份證件可能會取代護照、駕照等傳統身份證件,為消費者提供一種新的方式,讓他們可以僅提供特定事務所需的信息即可。盡管使用數字身份證件可能是大勢所趨,但必須采取安全和隱私措施來防止偽造,我們寄希望于借助區塊鏈解決方案的強大功能來驗證用戶憑證,在憑證被盜后迅速更新,避免損失。

組織如何適應不斷變化的消費者安全形勢

因疫情而越來越依賴消費者數字互動的企業應當考慮這種現狀對自身的網絡安全風險狀況有何影響。鑒于與數字便利性有關的消費者行為和偏好會不斷變化,IBM Security 建議組織考慮以下安全建議:

· 零信任方法:鑒于企業面臨的風險日益增加,企業應當考慮采用“零信任”安全方法。在運行過程中,這種方法會假設已通過身份驗證的用戶或網絡本身可能已經受到威脅,因此,它會不斷驗證用戶、數據、資源之間的連接狀況,以此來確定授權和需求。這種方法要求企業統一安全數據和方法,目標是為每名用戶、每臺設備和每次交互提供安全環境。

· 實現消費者 IAM 現代化:對于希望繼續利用數字渠道促進消費者互動的企業而言,提供無縫身份驗證流程非常重要。企業可以通過采用現代化消費者身份與訪問管理 (Identity and Access Management - IAM) 策略來提高數字參與度——提供跨數字平臺的無摩擦用戶體驗,利用行為分析來降低賬戶被盜用的風險。

· 數據保護和隱私:企業擁有的數字用戶越多,企業需要保護的敏感消費者數據就越多。在研究涉及的數據泄露事件中,企業的平均損失高達 386 萬美元,因此,6 組織必須采取強有力的數據安全控制措施來防止未經授權的訪問,包括監控數據、檢測可疑活動、對需要傳輸的敏感數據進行加密等等。此外,企業還應在本地和云端實施適當的隱私政策,保持消費者對企業的信任。

· 測試安全性:隨著用戶對數字平臺的使用和依賴行為迅速變化,企業應考慮通過專門測試來驗證他們以前使用的安全策略和技術在新形勢下是否仍然有效。在測試過程中,重新評估事件響應計劃的有效性和測試安全漏洞檢測應用是兩個重要方面。

如需查看完整報告和多媒體資訊,請訪問:http://ibm.biz/IBMSecurity_ConsumerSurvey

參考資料:

1: 2021 年 IBM X-Force 威脅情報指數報告 : 用戶憑證泄露是 2020 年網絡攻擊的第三大初始攻擊途徑,已報告的網絡攻擊之中的 18% 都是通過這一途徑發起的。

2: Morning Consult 于 2021 年 3 月代表 IBM 展開了一項全球調查。來自 22 個市場的 22,000 名成年人接受了調查。

3: 基于 IBM Security 洞察的預測

4: 基于 IBM Security 分析的預測

5: 包括 COVID-19 財政救濟、檢測、治療和疫苗接種

6: 2020 年數據泄露成本報告,由 Ponemon Institute 開展的一項基準研究,IBM Security 為其提供了分析服務和贊助

關于 IBM Security

IBM Security 可為用戶提供一種最先進、集成度最高的企業安全產品和服務組合。該產品組合已通過全球知名的 IBM Security X-Force研究的驗證,可幫助組織有效管理風險,防御新出現的威脅。IBM Security 是全球規模最大的安全性研究、開發和交付組織之一,每天在 130 多個國家和地區監控超過 1500 億個安全事件,已在全球范圍內獲得了 10,000 多項安全專利。如需了解更多信息,請訪問 www.ibm.com/security,在 Twitter 上關注 @IBMSecurity 或訪問 IBM Security Intelligence 博客。

調研方法：Morning Consult 于 2021 年 3 月代表 IBM 開展了一項全球調查。研究對象是來自 22 個市場的 22,000 名成年人(每個市場 1,000 名受訪者),其中包括阿根廷、澳大利亞、巴西、加拿大、智利、哥倫比亞、法國、德國、印度、意大利、日本、墨西哥、秘魯、新加坡、韓國、西班牙、 英國、美國、中東、中歐和東歐、北歐以及 BNL(比利時、荷蘭和盧森堡)。