节日安全指南与2026年IAM战略规划:多因素认证与无密码访问解析

本文探讨了节假日期间因临时员工和第三方访问激增所带来的身份安全风险,并提供了三条专业的IAM策略建议,包括强化MFA、验证设备信任以及利用AI助手,以帮助企业构建面向2026年的安全身份与访问管理体系。

节日安全指南与2026年IAM战略规划

节假日对于零售、旅游、酒店等行业来说,是一段繁忙的时期——既有好的繁忙,也有坏的繁忙。季节性需求推动业务活动急剧增加,组织也必须快速引入临时员工、承包商和第三方,这极大地扩展了需要访问内部系统的人员范围。由于网络钓鱼、社会工程学和其他网络攻击手段导致的服务中断或数据泄露风险也随之上升,同时一个新的担忧领域正在增长:包括季节工、承包商、供应商和合作伙伴在内的外部用户通常需要快速访问内部系统,但他们往往不在标准的员工身份控制范围内。

专家预测第三方风险将上升

除了面临常见的欺诈、勒索软件和对IT员工的远程攻击等风险增加外,一份新报告预测本购物季的第三方风险将会上升。根据《2025年假日季节网络威胁趋势报告》,零售与酒店信息共享与分析中心的成员观察到第三方数据勒索事件显著激增,并预计账户接管和商业电子邮件入侵企图将继续呈现增长趋势。

那么,今年您应该为您的安全和IT团队准备些什么呢?

随着供应商、合作伙伴和客户生态系统中出现更多的威胁,今年在您的购物清单中加入第三方防御策略是明智之举。请继续阅读几个强大的“专业提示”,它们或许能助您一臂之力——我们将在“节日忙乱”达到顶峰之前提前分享它们。

专业提示 1:赠予强大的IAM,超越基础MFA

除了欺诈,去年最常见的威胁还包括网络钓鱼、勒索软件和凭据窃取——所有这些攻击技术都可以通过加强身份安全来应对。由于大约80%的泄露事件仍然涉及人为因素,并且通常是凭据,因此避免风险的第一步应是确保任何试图连接和访问您公司资源的人确实是他们所声称的身份。对内部和外部用户都应一致地应用强身份和访问管理,因为在假日期间,两者都会带来身份风险。通过将您的强访问控制扩展到验证更多第三方,并像验证内部员工一样彻底和轻松,来避免日益增长的威胁。

多因素认证是身份和访问管理的关键组成部分。强大的MFA有助于管理与允许供应商、承包商、顾问和客户访问您公司系统和数据相关的风险。去年,我们探讨了应对节假日网络钓鱼的安全技巧。短信、回调和硬件令牌等传统形式的MFA不仅使用笨拙,对用户造成干扰,而且在防御不断演变的网络钓鱼攻击方面已不再足够。Duo在安全与用户体验之间取得了平衡,提供了最广泛的MFA选项以满足组织需求。为防御针对MFA的攻击,应部署现代基于风险的认证和无令牌、防钓鱼的近距离验证——这是一种在现场验证独立承包商、技术服务人员和其他访问敏感系统的第三方的可靠方法。

一劳永逸?不存在的

默认安全的Duo使得验证外部身份和阻止未授权访问变得超级简单。灵活的用户目录功能帮助IT部门同时简化内部和外部身份的访问,并可以分开或统一管理他们。最近新增的Duo目录功能,允许管理员以相同的方式(但不在同一位置)设置、分段和管理备用目录中的第三方,就像他们管理员工数据一样。作为一个安全、简单的存储第三方身份的地方,Duo基于云的目录可以跨多个身份提供商代理身份验证。毕竟,保护您的公司免受外部风险,就是保护您的整个供应链;这是一份能持续带来回报的礼物!

专业提示 2:验证设备信任

无法回避的事实是:每个人在节假日期间都会进行多任务处理。这意味着员工和外部用户可能会进行假日购物——创建账户、重置凭据、分享链接和输入支付数据——所有操作可能都来自于他们用来访问您网络的同一设备。虽然购物本身并不改变对设备信任的需求,但它确实增加了这些设备接触到危险链接或下载的可能性,从而提高了被入侵的风险,并直接影响您环境的安全性。

强大的身份安全需要验证设备以及用户本身的信任。这包括员工和第三方设备;两者在访问内部系统前都必须满足您的安全门槛。仅靠MFA并不能保证每个人的安全,特别是当您的IT团队无法查看或控制他们的设备时。这就是为什么Duo强大的身份安全解决方案会同时验证设备和用户本身的信任。

Duo设备信任为第三方访问提供强大的安全性,无需人们添加新硬件或移动设备管理。Duo会自动对终端节点(无论是受管理的还是未管理的自带设备)进行健康检查,并标记出过时软件等容易被利用的危险信号。通过Duo的可信终端节点,可以轻松建立策略,拒绝任何未知设备的访问。

实时设备遥测为管理员提供了与管理内部设备健康相同的可见性,包括检测越狱设备以及终端节点运行的操作系统版本。这样,可以自动阻止访问,直到用户使其设备符合公司政策。

专业提示 3:将AI转化为安全和IT团队的助手

根据RH-ISAC的报告,2025年假日季很可能以空前规模的自动化应用为特征。随着生成式AI流量预计在感恩节前的10天内增长520%,良性机器人、恶意机器人和人类之间的界限将变得非常模糊。针对消费者的同一AI流量激增也将压垮员工身份系统。更高的访问量和越来越多员工成为网络钓鱼风险的现状,尤其是在威胁行为者利用AI扩大攻击规模的情况下,这个问题更为突出。

这正是Duo AI助手可以发挥作用的地方,它在一个地方统一日志、用户上下文和设备状态,以加速决策过程,而无需翻查各个页面寻找答案。管理员只需询问AI助手:“显示这名员工本周用于访问公司资源的所有设备,并告诉我从他的安卓设备授予访问权限是否安全。”尽管我们尽力区分个人和公司活动,但员工经常使用相同的设备进行个人假日购物和工作。在登录点确保身份安全对于在此期间保持韧性变得至关重要。

节日额外提示:赠予无密码体验

有时,少即是多。取消密码是一份能让用户和IT生活更轻松的礼物,同时让每个人以及您的组织都更加安全。

即使在工作时,我们可能也会有一个愿望清单,比如希望能够更快地登录,而不必为输入和记住所有不同的密码而烦恼。今年,请帮您的员工和外部用户一个忙,减少这种摩擦,赠予他们无密码的体验。Duo实现了端到端的无密码身份安全,这是端到端防钓鱼的基础要素,也是每个人在应用程序之间切换时少一件需要担心的事情。这无疑是一份额外的礼物,但也是您生态系统中每个“格林奇”(指难以取悦的人)都会欣赏的礼物。

免费下载行动手册

获取免费的现代、安全优先的身份与访问管理指南,在新的一年里领先一步规划您的身份战略。下载《恢复身份信任指南》。

在此,我们祝愿大家度过一个安全、愉快的繁忙假日季,并迎来一个健康、繁荣的2026年。届时再见!

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次