风险指示

在线编辑

IBM® Verify Adaptive Access 使用以下风险指标来管理持续自适应身份验证。

行为异常

系统检测用户是否与用户或组织的常规行为模式有偏差。 例如,根据用户的登录历史记录以及用户组织中的活动小时数,用户登录时间中的异常。

新设备

系统检测该设备是否是帐户中的新设备。 评估期间检查了一些设备指标。 设备中的显著更改(如浏览器类型,包括在移动设备上的本机应用内安装或嵌入的浏览器)可能指示新设备。 此外,设备特征(如屏幕类型和规格)也可能指示新设备。 如果设备不是新设备并且经常在帐户中使用,那么会将其视为正常行为,并且系统不会发出警报。

有风险的设备

系统会检测会话中所使用的浏览器版本是否存在风险。 浏览器版本可能存在风险,因为它是
  • 一个已知的欺诈设备
  • 电子欺骗设备属性
  • 其他类似条件
为尝试欺诈,犯罪人可能使用不同于合法用户的浏览器的旧浏览器版本。 这些浏览器,尤其是旧的 Internet Explorer 版本比较新的浏览器版本安全性更低且风险更高。

有风险的连接

系统检测是否使用托管服务(例如,CyberGhost 或 Hola)完成会话连接。

为尝试欺诈,犯罪人可能使用托管服务来保持匿名,并避免暴露该犯罪人的真实 IP 地址和位置。 此属性基于已知可疑 IP 地址的计算。 随着标记为欺诈的会话的增多,此逻辑将变得更有价值。

新位置

系统检测用户位置是否为帐户中的新位置。 其还检测此位置是否不是帐户中的常用位置变更。 如果位置是帐户中的新位置或者不是常用位置,那么系统发送警报。 如果位置不是帐户中的新位置并且常用,那么被视为正常行为,并且系统不会发出警报。

设备 MFA 状态

系统根据当前登录和先前登录中接收到的信息,定义帐户范围内当前设备的认证状态。 此字段可以包含下列其中一个值
新建(新)
设备在帐户中的第一次观察。
MFA 暂挂 (pending_authentication)
系统未识别此帐户中设备的成功 MFA 结果。
MFA 已完成(已认证)
设备先前已通过 MFA 质询。

RAT 指示

系统已识别当前会话中是否存在远程访问工具 (RAT)。