企业需要防范的 6 个常见身份攻击手段｜身份云研究院

零信任作为新一代的网络安全防护理念，已经成为全球网络安全管理的基石。零信任的核心是 「安全体系架构从网络中心化走向身份中心化」，「以身份为中心」的网络访问控制理念也逐渐被越来越多企业接受并实践。

然而企业在面向用户身份访问和管理的实践中还是面临诸多网络安全威胁，不同类型的行业、不同体量、不同地理位置等因素导致企业所面临的安全风险也不尽相同，企业需要具备持续监控的能力来了解所面临的安全风险情况，同时具备强有力的安全防范措施来帮助企业应对面临的安全威胁。

本文根据最新的研究数据，盘点企业目前面临的最常见的 6 个身份攻击手段，以及对应的防范建议。

01 欺诈性注册 Fraudulent Registrations

欺诈性注册是指故意通过提供虚假信息以注册欺诈性账号或者身份，以此来获得对受限资源、信息的访问权限。

欺诈性注册所造成的风险和影响有很多种，例如常见的通过账号注册漏洞虚假注册大量僵尸账号用以平台活动中来“薅羊毛”，或者发送大量垃圾、违法信息影响平台声誉。严重情况下可以获取未经授权访问金融账户、窃取公司敏感信息或从事其他非法活动。欺诈性注册是身份盗用的一种形式，也是绝大多数企业最常面临的安全风险。

防止欺诈性注册的关键方法之一是实施强大的身份验证和验证流程。例如使用「自适应多因素认证」来验证访问者身份，包括除账密以外的安全问题、生物识别、口令认证、手机或邮件验证码等作为身份验证条件。