2024 年型塑數位身分驗證產業的關鍵資安趨勢

2024-09-12

有鑑於資安威脅事件的快速演變，遠端工作、雲端服務、線上交易的普及化，數位身分驗證解決方案已然成為資安防護的首要之務，協助企業精準驗證顧客身分，保護敏感資訊不落入犯罪分子之手。所幸 AI、生物辨識、無密碼驗證等新興科技持續演進，為多元產業提供更堅實可靠的安全防護網，未雨綢繆以因應層出不窮的資安挑戰，並增進顧客信任。

身分盜竊事件威脅資安，影響企業營運

根據身分定義安全聯盟（Identity Defined Security Alliance，IDSA）針對 2024 年數位身分安全的研究報告指出，全球的身分盜竊事件數量正急遽增加，為各行各業帶來資安隱憂，以下是關鍵數據摘錄：

身分盜竊案的影響深化：高達 84% 的利害關係人於受訪時表示，身分盜竊事件直接衝擊所屬企業——相較於 2023 年的數據僅落在 68%——其中有將近一半的受訪企業表示，此類事件對企業名譽造成損害，迫使營運者不得不放下核心業務，應付事件衝擊。
身分盜竊案發生頻率提高：有 43% 的受訪企業曾遭遇一或兩次身分相關資安事件，48% 曾經歷三次以上，而只有少數的 6% 成功杜絕此類事件發生，顯示身分盜竊事件日漸猖獗。
93% 的利益關係人相信，面對身分盜竊事件，更積極的資安部署能幫助減輕企業衝擊；高達 99% 的受訪企業表示，預計未來一年內將加大資安投資力道。

為有效應對身分事件，企業特別看好的資安防護措施包含以下三項：

43% 的受訪者認為，對所有使用者實施多重要素驗證（MFA）能幫助減輕事件衝擊；另外各有 38% 的受訪者傾向對敏感資訊實施即時存取權審查，或者特權存取管理（PAM）。
多達 96% 的受訪者相信 AI 和機器學習技術，能幫助克服身分事件的相關挑戰，其中 71% 的受訪者指出，首要的使用案例為辨識離群值行為（outlier behavior）。
81% 的受訪者樂觀看待無密碼驗證發展，認為它將成為應對身分盜竊事件的關鍵技術。

2024 年重大網路安全趨勢

1. 惡意 AI 應用與犯罪

隨著生成式 AI 技術演進，深偽技術（Deepfake）攻擊愈加精細複雜，犯罪分子濫用 Deepfake 生成如假包換的身分特徵，藉以騙過傳統的生物辨識驗證措施，或者惡意操縱網路交易程序，導致嚴重的身分安全風險。

2. 網路釣魚與社交工程攻擊

威訊通訊（Verizon）今年的資料外洩調查報告（2024 Data Breach Investigations Report）指出，高達 68％的資料外洩事件都包含某種非惡意人為因素，例如使用者的操作疏失，或淪為網路釣魚或社交工程受害者——犯罪者偽裝成合法銀行、網路支付平臺、社交媒體網站等組織或服務，引誘使用者點擊連結並提供個人資訊，攻擊者再拿這些敏感資訊進行身分盜竊等不法活動。

3. APT 攻擊（進階持續性威脅）

APT 是種隱密且為期較長的網路攻擊，經常搭配網路釣魚或惡意軟體手法，目標大多是竊取金融機構和政府等高價值組織的敏感資訊；APT 攻擊可能持續好幾個月，攻擊者會在期間滲透網路安全弱點並竊取資訊。

防範 APT 攻擊的常見措施包含：持續性的資安監控、威脅行為偵測、網路分區隔離（network segmentation），藉此降低內部網路受到橫向攻擊的可能性，限縮損害範圍。

4. 雲端存儲安全

隨著企業上雲日漸普及，雲端存儲空間也成為資安威脅的新戰場；網路攻擊者利用系統漏洞，突破身分驗證的薄弱環節，非法取得敏感資訊，常見手法包含帳號劫持，以及雲端服務中的安全性錯誤配置（misconfigurations）。

企業可以採用安全可靠的身分管理措施，定期稽核雲環境，進行持續性監控，並且加密敏感數據，能有效杜絕未經授權之存取，維護數位資產安全。

5. 內部人員威脅與 IoT 攻擊

內部人員威脅（insider threats）是指與組織關聯的人員（如現任或前員工、承包商、供應商、董事會成員等）構成的組織安全風險。由於內部人員通常握有系統存取權，能繞過傳統驗證措施，故無論蓄意或出於疏失，內部威脅都可能造成重大資安風險，例如資料竊取、洩露或損毀，甚至導致公司機密外洩。

而隨著物聯網技術益加成熟，在安全協定薄弱的情況下，企業設備容易淪為魁儡網路編制（botnet formation）與網路滲透（network infiltration）之攻擊標的；為此，組織必須落實嚴格的安全控管，持續監控內部網路活動，並確保物聯網裝置定期更新且妥善加密。

6. 量子電腦攻擊

儘管專家預估，我們距離成熟的量子運算還有 10 至 20 年的差距，但犯罪者已蠢蠢欲動：他們先蒐集並儲存使用者的加密資訊，直到未來量子電腦能輕鬆破解 E2EE、RSA、ECC 等現行加密技術，造成大規模的身分盜竊與資料外洩；這種資安攻擊被稱為「先收割，再破解」（harvest now, decrypt later，HNDL）。

企業可以採取後量子加密技術（PQC），並保持系統於各種加密技術轉換的靈活性（cryptographic agility），跳脫過時演算法的侷限，即便未來量子電腦效能愈加強大，也能維持資料保護之完整性。

身分驗證領域的創新解決方案

1. AI 與機器學習技術

AI 和 ML 在應對身分偽冒事件的首要助力之一，在於即時分析大型資料庫中的數據模式並揪出異數，故能提升系統辨識詐騙等非法行為的效率與精確度，縮短事件反應時間，進而做到防範於未然，或盡早阻止事態惡化。

2. 生物辨識與活體偵測技術（liveness detection）

當深偽攻擊事件增加，活體生物辨識技術的重要性也隨之提升——此技術運用指紋掃描或臉部影像辨識，並透過電腦視覺演算法，判定偵測對象是否為真實人臉，其他狀況如帶著面具、畫面翻拍、等都會被視為非活體的樣本，也就是所謂的攻擊樣本（attack data）；此項技術能即時辨別誘騙（spoofing）或其他詐欺行為，防止犯罪者突破系統漏洞，惡意操縱系統。

3. 無密碼驗證

傳統密碼可能被共享、猜測或竊取，容易衍生資安問題；無密碼登入的應用日益廣泛，讓使用者藉由多種方式驗證本人身分，無須輸入密碼或回答安全問題，同步改善用戶體驗與安全性。

FIDO 網路識別標準：FIDO 透過公開金鑰加密（public key cryptography）基礎架構的驗證模式，在伺服器端保存公鑰、私鑰僅保存於使用者裝置端，登入時只需要透過生物辨識等方法，向終端伺服器提供驗證資訊，就能解鎖私鑰，再用以解鎖公鑰並登入；換言之，使用者個資不必上傳雲端，有效防止登入資訊被非法存取。
一次性動態密碼（OTP）：OTP 是隨機亂數產生的密碼，系統會為每次登入程序產生不同的 OTP，並透過簡訊、email，或其他驗證 App 發送；由於 OTP 只限於當次使用，即使駭客攔截到某次 OTP，也無法沿用至下次登入，使資安防禦更加完善。
多重要素驗證（MFA）: MFA 結合多種驗證因素，像是生物特徵、OTP、硬體安全金鑰等，通常也會包含使用者名稱與密碼。即使其中一項登入要素淪入駭客之手，犯罪者也可能被阻擋於系統之外，有效強化驗證安全性。

4. 零信任架構（Zero Trust Architecture ）

零信任架構要求對組織系統內的所有操作和訪問請求——無論其來源為何——持續進行身分驗證、訪問控制、安全監控，主要透過「設備訪問和用戶認證」、「上下文訪問控制」、「動態訪問控制」三項程序，達成最小化資安風險，防止數據洩露之目的。

企業如何運用身分驗證強化資安防禦？

安全、有效、精確的數位驗證解決方案，必須針對不同產業需求調整：

金融服務：金融機構必須在開戶與交易程序中，快速且精準地驗證顧客的真實身分，以確保 KYC 與 AML 合規，杜絕詐騙、洗錢等非法活動，同時提供既流暢又安全的金融服務體驗，並提升顧客信任與組織信譽。
健康醫療：隨著醫療系統數位化，加上遠距醫療前景看好，醫療單位必須有效管理就診紀錄，保護病患個資不外洩。數位身分驗證解決方案能協助業者即時辨別患者身分真偽，防範冒名看診、領藥、或詐領保險等詐騙行為，並且能簡化身分文件查驗、線上約診等流程，改善數位醫療服務品質。
共享經濟：信任是共享經濟的基礎，無論是共享機車或共享住宿平台，在註冊與交易過程中，均仰賴即時流暢、精確且合規的身分驗證，保護雙方個資以防範詐騙，維護線上交易安全，協助業者打造值得信賴的共享平台。
智慧旅宿：透過自動化數位驗證流程，旅客能快速完成身分驗證，下訂機票、住宿、行程；旅宿業者也能簡化入住手續辦理，提供無接觸的自助 check-in 服務，或者在特定區域進行身分查驗與人員管控，於住宿期間確保顧客安全
虛擬貨幣：虛擬貨幣業者採用數位身分驗證流程，不僅能確保交易所滿足監管合規要求，防範身分偽冒與詐騙，也能強化幣圈「去中心化」的核心本質，協助業者共創便捷且安全無虞的交易環境，建立用戶信任感，進而促成數位資產領域的永續性成長。