如何实现多因素身份验证——以及为什么它很重要

在数字时代，漫长而复杂的供应链已成为许多企业的常态。从大公司到中小型企业 (SME)，许多企业现在都参与供应链，这些供应链通常包括一长串合作者和供应商。虽然这种连通性无疑有利于国际贸易，但也并非没有缺点。

无论规模大小或行业如何，许多供应链都充斥着网络安全威胁。从网络钓鱼活动和身份盗窃到基于电子邮件的假冒攻击，威胁可能会对目标企业造成代价高昂的、通常是灾难性的影响。虽然网络供应链风险管理一直是网络安全专家关注的关键问题，但其重要性仅在 COVID-19 大流行期间才增加。根据德勤进行的一项调查，40% 的受访者表示在过去 12 个月内遭受过网络事件。随着大流行无限期地持续下去，这些数字很可能只会上升。

破坏性影响

鉴于大量资金和敏感信息沿供应链传输，因此供应链违规会产生破坏性影响也就不足为奇了。不可预测性是供应链攻击的一个关键特征，企业无法知道攻击何时会出现以及攻击者来自谁。

至关重要的是，供应链网络安全威胁不仅来自各种各样的网络犯罪分子：它们还可能来自更大的、成熟的实体，包括政府机构。在 2019 年下半年的一起备受瞩目的案件中，臭名昭著的中国网络间谍组织 APT10 代表中国国家安全部发起了针对亚洲、欧洲和美国其他地区敏感商业数据的恶意网络攻击.在此背景下，时刻保持警惕和充分的网络安全措施是最好的第一道防线。

网络风险管理的最佳实践

尽管供应链攻击的威胁令人生畏，这是可以理解的，但企业可以采取许多措施来降低风险并保护自己。企业互联网安全措施应涵盖整个供应链，并应定期评估和完善以确保持续有效。

在基本层面上，这些措施应包括：

• 确保服务提供商使用的远程管理界面受到安全网络和相关登录凭据的保护。
• 制定供应商必须证明遵守的可衡量的质量标准。其中可能包括要求供应商自己采取最低限度的网络安全措施。
• 对业务网络进行细分和隔离，以确保只有相关方才能了解敏感信息。
• 确保服务提供商使用的远程接口和安全凭证在供应商与业务合同结束时完全撤销。
• 仔细审查所有硬件和软件，然后再将其纳入更广泛的业务网络。一旦添加到网络中，两者都应接受持续监控以发现潜在的安全风险。
• 确保所有软件始终处于最新状态。
• 尽可能跨设备和平台实施多重身份验证 (MFA)。

多重身份验证

尽管上述网络安全措施都可以在保护您的企业免受供应链攻击方面发挥重要作用，但 MFA 是迄今为止保护整个供应链设备的最佳方法之一。通过要求用户在访问文件或系统之前提供两个或更多单独的登录凭据，MFA 可以帮助提供更强的安全性。使用两个或多个凭据意味着与常规密码不同，MFA 凭据无法在多个帐户之间轻松共享或使用。

许多平台和设备现在在安全设置中提供 MFA 选项，并且通常需要包含以下两项或多项的凭据：

• 用户知道的信息，例如密码、PIN 或对问题或提示的响应。
• 用户拥有的东西，例如智能卡、物理令牌或软件证书。
• 用户携带的东西，例如指纹或虹膜图案。

在所有情况下，实施 MFA 都是一种廉价的安全附加组件，通常相当简单且易于实施。至少，它所需要的只是通知用户已采取额外的安全措施并提示他们做好相应的准备。

供应链攻击对各种规模的企业来说都是灾难性的，从较小的夫妻经营到跨国公司。采取适当措施保护您的企业免受此类网络安全威胁（例如实施 MFA）可以保护您的敏感信息并确保您的供应链保持安全。

为了增强保护，请考虑将上述措施与网络安全软件（例如 ESET 安全身份验证 (ESA) 3.0 版）结合使用。此 MFA 解决方案可确保各种规模的企业都能保护其网络上的设备、满足相关合规性要求并防止数据泄露。

Kelly Johnson 是全球网络安全提供商 ESET Australia 的区域经理。