如果你的 IT 服務商僅憑黑客的一個電話，都沒核驗對方身份，就幫對方重置了登錄密碼和多因素認證（MFA）憑證，直接將賬號密碼給了對方；

如果IT 服務商連預定的核實身份的流程都不執行，驗證工具都懶得用，確認郵件都沒有發；

如果黑客拿著IT服務商給的賬號密碼，順利登錄內網，直接導致你的業務癱瘓數周、產品斷供、損失上億美元……

這可不是什么天方夜譚。2023年，全球清潔用品巨頭高樂氏（Clorox）就遭遇了這樣的噩夢。而幫黑客“開后門”的，正是他們的 IT 服務商高知特（Cognizant）。近日，高樂氏正式因為此次事件起訴高知特，要求其賠償全部損失——3.8億美元（約合27億元人民幣）！

IT服務商給黑客“開門”，高樂氏索賠27億元

仔細回顧這次事件，高知特在每一個環節都顯露著“草臺班子”的氣息。

2023年8月11日，黑客冒充高樂氏的員工撥打服務臺的電話，一名高知特客服代理隨后為其Okta賬戶重置了訪問權限。高樂氏稱，該客服雖然曾要求攻擊者連接公司VPN，但對方聲稱無法連接因為“沒有密碼”，客服便未做任何進一步身份核驗，直接重置了訪問權限，“這一行為嚴重違反了高樂氏制定的憑據支持流程”。

緊接著，黑客又要求重置其微軟多因素認證（MFA）憑據，而該客服在“未進行任何身份驗證”的情況下，“多次滿足了攻擊者的請求”。

高樂氏進一步指出，“該客服從未向員工本人或其主管發送通知郵件，提醒其密碼已被重置，違反了流程要求”。

高樂氏在訴狀還指出，攻擊者進一步請求重置員工（在訴狀中稱為“員工1”）用于短信MFA的綁定手機號。

高樂氏指控稱：“網絡犯罪分子利用員工1泄露的憑據進入網絡，并進一步竊取高樂氏內部信息。之后，他們將目標轉向了另一名負責IT安全事務的員工——員工2的憑據?！?/p>

高樂氏和高知特在2013年就建立了合作關系，并且多次更新服務協議。高樂氏制定的憑據支持響應流程規定，在高樂氏員工提出密碼重置請求后，客服應“引導員工使用高樂氏的身份驗證與自助重置工具MyID；若MyID不可用，則必須通過驗證員工主管姓名與MyID用戶名確認其身份，并在重置密碼后，向該員工和其主管的高樂氏郵箱發送必要的確認郵件”。

更讓高樂氏惱火的是，高知特在攻擊事件爆發后的響應非常緩慢。當高樂氏緊急要求高知特重新安裝“被攻擊者卸載的一項關鍵網絡安全工具”時，高知特竟花費了一個多小時完成原本15分鐘內應完成的任務。公司還表示，包括數據庫恢復、IP地址列表更新、賬戶停用等關鍵任務，也都未能被妥善處理。

管理、技術都不行，陰溝翻船成必然

高樂氏在此次網絡攻擊中，暴露出了在身份安全上的巨大問題：

1.管理流程形同虛設

高樂氏雖然與高知特確立了賬戶密碼重置的流程，但是此流程完全依靠人工執行，缺乏相應的技術手段將業務流程固化為IT流程，導致密碼重置流程缺乏嚴格的監管與審批。

2.身份認證不夠安全

黑客從服務商獲得員工的賬戶密碼，輕松地通過自有設備遠程登錄高樂氏內網。高樂氏一則無法阻斷來自非法設備的異地登錄，二則沒有收到非法登錄的安全預警，身份認證的安全性明顯不足。

3.權限管理不夠精細

黑客在登錄高樂氏的內網后，進行了大量非常操作，包括竊取數據、植入勒索軟件等，說明高樂氏對員工的訪問權限管理存在不足，一則存在過度授權，二則無法及時發現超出權限的可疑行為，讓黑客在內網自由橫移。

正是因為這些管理、技術上的問題，IT服務商的人為失誤才會釀成價值27億元的大禍。這給全球企業敲響了警鐘——賬號密碼要安全，管理、技術都要硬。

芯盾時代用戶身份與訪問管理平臺（IAM）

想要避免高樂氏式的尷尬，企業需要構建更規范、更高效、更嚴格的身份管理體系，一方面建立嚴格的規章制度、操作流程，保證每一次操作都安全、合規，一方面需要部署新型的身份管理產品，提升身份管理水平，將管理制度固化為IT流程，實現組織管理與IT管理的對齊。

芯盾時代用戶身份與訪問管理平臺（IAM），基于零信任理念打造，采用自主研發的統一終端安全技術、增強型身份認證技術、連續自適應風險信任評估技術，為企業一站式建立智能化、統一化、標準化的統一身份管理平臺，實現對身份信息、身份認證、訪問權限、安全審計的統一管理。同時，芯盾時代憑借豐富的項目經驗，幫助企業制定規章制度、梳理操作流程、明確責任分工，將操作流程映射為IAM中的審批流程，構建“軟硬一體”的身份管理體系，實現管理、技術兩手抓，兩手都要硬。

借助芯盾時代IAM，企業能一站式實現以下功能：

1.創建唯一身份，權限、審計統一管理

借助芯盾時代IAM，企業能夠實現對身份信息、身份認證、訪問權限、安全審計的統一管理，全面提升身份管理的規范性。

統一員工身份：整合IT系統中分散的身份數據，為每一名員工創建唯一的可信身份，形成權威的組織架構，建立自動化流轉的用戶全生命周期管理機制，讓員工使用一個賬號登錄所有業務應用，減少需要記錄、使用的密碼數量，實現“一個身份，訪問全網”。

統一運維管理：統一員工身份后，運維人員能夠在一個后臺統一設置多個應用的認證策略、權限管理模型，統一審計多個應用的訪問日志，顯著減少運維工作量，提升工作效率。

落實最小化授權：芯盾時代IAM支持多種權限管理模型，訪問權限粒度細至頁面級。運維人員能夠根據應用和數據重要等級，選擇RBAC、ABAC、ACL等權限管理模型，靈活配置訪問控制策略，實現對訪問權限的精細化、動態化管控。

2.建立規章制度，提供自助服務

在為企業建立統一身份管理平臺的同時，芯盾時代還能夠幫助企業建立與平臺相適配的管理制度和操作流程，讓身份管理更規范、更可控。

建立規章制度：在建設統一身份管理平臺的同時，芯盾時代能夠幫助企業制定《賬號管理流程和辦法》、《安全標準和接口規范》等管理制度，編制《應用接入和集成規范》等技術文檔。借助與管理平臺深度融合的管理制度，企業能夠實現組織管理和IT管理的對齊，讓每一次身份管理行為都可監控、可追溯，避免賬戶管理在平臺之外“體外循環”。

建立員工自助服務中心：芯盾時代IAM提供員工自助服務中心，讓員工自助完成密碼修改與重置、訪問權限申請、修改個人信息等操作，管理員只需審批即可。這能從根本上杜絕不受管控的密碼重置，還能減輕管理員的工作量。

引入“智能問答助手”：芯盾時代將IAM與AI大模型深度融合，在IAM中添加了“智能問答助手”，通過RAG（檢索增強生成）構建企業知識庫，讓AI大模型從向量數據庫中檢索相關性最強的文檔片段，生成針對性的回答，從而快速響應員工需求，減少人工支持成本。

3.統一認證管理，安全與體驗雙優

利用芯盾時代IAM納管業務應用的身份認證之后，企業能夠實現全局多因素認證，有效防范非法登錄。

全局多因素認證：為企業建立移動認證App，結合員工所知、所持、所有進行多因素認證（MFA），提供密碼、App掃碼、短信驗證碼、動態口令、指紋識別、人臉識別等多種認證方式，有效提升身份認證的安全性，防范網絡釣魚、撞庫等網絡攻擊。

實施單點登錄：為企業建設應用門戶，統一業務應用的登錄入口，并借助單點登錄功能，讓員工只需認證一次，就能登錄所有權限內的業務應用，實現“一次認證，全網通行”。

標識設備身份：芯盾時代IAM采用自主研發的設備指紋技術，能夠為每一臺設備生成唯一標識，將員工賬號與設備進行強綁定。當賬號在非常用設備登錄，系統會按照安全策略采取人臉識別、短信驗證碼等二次認證措施，并及時發出預警，杜絕非法登錄。

4.自研底層技術，保障認證安全

為了保證身份信息被安全地存儲、傳輸，芯盾時代自主研發了移動認證技術、智能終端密碼模塊，讓IAM更可控、更安全。

保證終端設備安全：芯盾時代自主研發的移動認證技術，通過對智能手機的唯一性識別，證書的安全生成、存儲、調用，以及手機安全環境的檢測，將智能手機打造成移動U盾，為身份認證營造安全的終端環境。

身份信息加密存儲：芯盾時代智能終端密碼模塊，結合分割密鑰、白盒算法、環境清場等技術，為身份信息的安全存儲、傳輸提供底層支持，確保身份信息難以被破譯和篡改。

賬號密碼要安全，管理、技術都要硬。芯盾時代IAM不但能夠幫助企業建立統一身份管理平臺，全面提升身份安全能力，還能夠讓企業把管理制度、操作流程固化為IT流程，實現組織管理與IT管理的對齊，讓企業管理、技術兩手抓，軟硬一體保安全！