IT 和安全团队需要支持这种最基本的访问形式，以防范新的和不断演变的安全风险。

最近几个月，您可能已经注意到用于验证消费者和企业帐户的双因素和多因素身份验证提示有所增加。 这些工具在帮助消费者和企业防范身份欺诈、数据泄露、密码窃取和网络钓鱼/勒索软件攻击方面越来越受到关注。

身份盗窃资源中心 (ITRC) 的最新统计数据显示，大约 92% 的数据泄露与网络攻击有关，2022 年第一季度的数据泄露比 2021 年同期高出 14%。

ITRC 统计数据还显示，仅在 2022 年第一季度，就有近一半（367 份中的 154 份）数据泄露通知未包含泄露的性质，并被指定为“未知”。这个“未知”数量比 2021 年全年的“未知”数据泄露原因高出 40%。

那么，首席信息安全官如何让他们的公司准备好挫败这些网络安全攻击呢？他们必须掌握新兴技术，以应对不断变化的威胁、系统漏洞和不良行为者，以适应不断变化的环境。

2022 年的网络黑客

事实证明，今年已经充满了企业安全漏洞。一个名为 Lapsus$ 的知名组织在南美开展业务，实施了多次网络黑客攻击。该组织被证实是攻击 NVIDIA、三星、T-Mobile 和 Vodafone 的肇事者。

在 T-Mobile 案例中，Lapsus$ 成员于 2022 年 3 月通过网络钓鱼或其他形式的社会工程入侵员工账户，侵入了 T-Mobile 的网络。一旦进入 T-Mobile 客户账户数据库，网络犯罪分子就会试图找到与美国国防部和 FBI 相关联的 T-Mobile 账户。

Lapsus$ 还声称对针对微软的网络攻击负责。这家软件巨头证实，其内部 Azure DevOps 源代码存储库和被盗数据是通过员工帐户被黑客入侵的，但补充说只授予了有限的访问权限。

最近的另一起违规行为通过社会工程利用了一家公司的销售团队。一名伪装成公司 IT 部门成员的网络犯罪分子联系了该组织的销售人员，要求提供 CRM 登录凭据。具有讽刺意味的是，这个请求是在为用户及其关键系统安装额外的安全层以变得更加安全的幌子下提出的。

不幸的是，至少有一名销售人员中了这个诡计，犯罪分子能够访问他们的凭据，访问公司的 CRM 系统，并下载客户数据库的目标部分。

鉴于传统的访问控制方法，这些类型的攻击变得越来越普遍并且更难以解决。

实施多因素身份验证

对于 CISO 而言，必须至少实施双因素身份验证 (2FA) 以访问所有计算机、服务器、基础设施服务和业务应用程序。添加 2FA 有助于阻止黑客和网络犯罪分子，阻止他们访问系统。尽管即使是这些解决方案也可以通过巧妙的技术规避。

一些公司使用物理安全密钥作为额外的数据保护层。例如，当多因素身份验证可用时，物理安全密钥可以帮助阻止网络钓鱼攻击。它们有多种格式，易于使用，通常是保护数据安全的廉价手段。

已经引入了利用现有员工设备的其他安全措施，以打击上面毫无戒心的销售人员提供系统登录凭据的示例。例如，一家公司开发了一个特定于用户和交易的 QR 码——一个 Nametag* 码——与公司的所有员工（包括 IT 管理员）相匹配。如果公司中的某个人收到共享登录详细信息或其他一些关键数据的请求，则此动态代码会验证该请求——完成交易的身份、意图和权限都得到验证和批准。没有它，请求是无效的。

解决密码问题

我们如何解决用户密码问题？技术解决方案是答案吗？例如，IT 专业人员能否通过将个人用户名/密码与其设备的物理距离相关联来提高数据安全性？是否有必要围绕培训、管理和用户行为进行更深层次的培训？

创新的机会比比皆是。一些初创公司正在将行为生物识别技术结合起来用于 IT 身份管理*。该平台评估有关个人的几个因素，例如，用户如何走路、大声说话、在键盘上打字或移动鼠标。单独而言，这些因素可能不足以确认用户的身份。但是，当其中几个结合起来时，这些特征可以创建一个独特的生物特征，以接近 100% 的准确度识别用户。

在日益偏远/混合的工作和动荡的世界中，CISO 必须以多种方式保护对数据的访问，并努力：

• 学习、理解并警惕网络犯罪分子正在积极使用的不断演变的工具和策略类型。
• 准备好网络攻击计划或事件响应手册。
• 为攻击期间（或之后）的事件准备遏制和缓解策略和指南。
• 了解新的基于 AI 的技术，这些技术有助于最大限度地降低网络安全风险。
• 与其他企业和政府/网络安全社区共享数据知识和安全警报，以帮助其他人更加了解潜在威胁以及如何最好地缓解这些潜在的破坏性事件。

随着恶意外部势力的崛起和乌克兰战争造成额外的 IT 安全压力，CISO 必须确保这种最基本的访问形式得到警惕，以防范新的和不断演变的安全风险。

本文：https://cio.ceo/moving-beyond-usernames-and-passwords