新員(yuán)工(gōng)入職對(duì)任何企業(yè)來(lái)說(shuō)都(dōu)是(shì)一(→yī)個(gè)重要(yào)的(de)時(shí)刻——畢竟,這(zhè)是(shì)讓新團隊成員(yuán)融入公司及其文(wén)化(huà)的(de)機(jī)會(huì)。但(dàn∏)是(shì),入職時(shí)間(jiān)框架也(yě)會(huì)帶來(lái)一(yī)系列獨特的(de)安全風(fēng)險,因為(wèi)企±業(yè)要(yào)與新加入企業(yè)的(de)人(rén)分(fēn)享敏感信息。
本文(wén)探討(tǎo)了(le)為(wèi)什(shén)麽入職流程和(hé)新員(yuán)工(gōng)對(duì) 網絡犯罪分(fēn)子(zǐ)來(lái)說(shuō)具有(yǒu)吸引力,确定入職期間(jiān)風(fēng)險最高(gāo)的(de)領域,并了(le)解減©輕這(zhè)些(xiē)風(fēng)險的(de)最佳做(zuò)法。
為(wèi)什(shén)麽新員(yuán)工(gōng)是(shì)黑(hēi)客的(de)理(lǐ)想目标
新員(yuán)工(gōng)加入公司後,會(huì)面臨完全陌生(shēng)的(de)環境,對(duì)公£司流程、溝通(tōng)方式或安全協議(yì)知(zhī)之甚少(shǎo)甚至一(yī)無所知(zhī)。這(zhè)種知(zhī)識的(de)缺乏€使他(tā)們成為(wèi)社會(huì)工(gōng)程攻擊的(de)主要(yào)目标。
一(yī)般來(lái)說(shuō),黑(hēi)客會(huì)冒充公司內(nèi)的(de)同事(shì)或權威人(rén)物(wù),從(cóng)而專注于誘騙新加₩入者洩露敏感信息或授予其安全系統的(de)訪問(wèn)權限。
此外(wài),新員(yuán)工(gōng)往往非常渴望給同事(shì)留下(xià)良好(hǎo)、積極的(de)印象。他(tā)們希望自(zì)己看(kàn)起來(lái)積極參與、積極響±應、樂(yuè)于合作(zuò),這(zhè)種熱(rè)情可(kě)能(néng)會(huì)導緻他(tā)們在沒有(yǒu)徹底驗證其合法性的(de)情況下(xià)快(kuài)速點擊鏈接或附件(jiàn)。
黑(hēi)客利用(yòng)這(zhè)種熱(rè)情,精心策劃有(yǒu)針對(duì)性的(de↔)網絡釣魚活動,這(zhè)些(xiē)活動更有(yǒu)可(kě)能(néng)在新員(yuán)工(gōng)身(shēn)上(shàng)取得(de)成功。
黑(hēi)客如(rú)何識别新員(yuán)工(gōng)?可(kě)以通(tōng)過 LinkedIn 或其他(tā)專₹業(yè)社交平台了(le)解同事(shì)或前任老(lǎo)闆是(shì)否有(yǒu)新工(gōng)作<(zuò),方法是(shì)一(yī)樣的(de)。黑(hēi)客通(tōng)過 LinkedIn 識别新員(yuán)工(gōng)及λ其在組織內(nèi)的(de)新職位,然後利用(yòng)這(zhè)些(xiē)信息創建高(gāo)度個(gè)性化(hu±à)的(de)網絡釣魚電(diàn)子(zǐ)郵件(jiàn)或社交工(gōng)程嘗試,這(zhè)些(xiē)嘗試✔最有(yǒu)可(kě)能(néng)欺騙新員(yuán)工(gōng)。
入職過程中哪些(xiē)地(dì)方會(huì)産生(shēng)風(fēng)險
入職過程中存在許多(duō)風(fēng)險。最大(dà)的(de)風(fēng)險之一(yī)是(shì)共享敏感信息,尤其是("shì)密碼。許多(duō)企業(yè)仍然依賴不(bù)安全的(de)方法與新員(yuán)工(gōng)共享密碼,包括通(tōng)過純文(wén)本短(duǎn)信或電(dλiàn)子(zǐ)郵件(jiàn)發送密碼。這(zhè)些(xiē)方法容易受到(dào)中間(jiān)人(rén)攻擊,黑(hēi)客會(huì)攔截通(tōng)γ信并獲取密碼。
一(yī)些(xiē)公司試圖通(tōng)過讓經理(lǐ)口頭向新員(yuán)工(gōng)傳達密碼來(∞lái)降低(dī)這(zhè)種風(fēng)險。但(dàn)盡管這(zhè)種方法似乎更安全,但(dàn)現(xiàn)實是(shì)它在保管鏈中引入了(le)另一(yī≥)個(gè)潛在的(de)妥協點。本質上(shàng),它使經理(lǐ)成為(wèi)另一(yī)個(gè)黑(hēi)客目标,增<加了(le)密碼被洩露的(de)可(kě)能(néng)性。
研究還(hái)發現(xiàn)了(le)密碼洩露的(de)另一(yī)個(gè)令人(rén)擔憂的(de)趨勢:員( yuán)工(gōng)通(tōng)常不(bù)會(huì)更改 IT 團隊為(wèi)其首次登錄提供的(de)“臨時(shí)”登錄密碼。當新$員(yuán)工(gōng)在入職期間(jiān)獲得(de)臨時(shí)密碼時(shí),他(tā)們可(kě)能(néng)不(bù)會(huì₽)優先将其更改為(wèi)強大(dà)的(de)獨特密碼。這(zhè)種疏忽使企業(yè)更容易受到(dào)攻擊,因為(wèi)這(zhè≠)些(xiē)臨時(shí)密碼有(yǒu)可(kě)能(néng)更弱或很(hěn)容易被猜到(dào)。
如(rú)何降低(dī)新員(yuán)工(gōng)入職風(fēng)險
為(wèi)了(le)最大(dà)限度地(dì)降低(dī)新員(yuán)工(gōng)入職的(d↔e)風(fēng)險,企業(yè)應遵循以下(xià)最佳實踐:
遵循最小(xiǎo)權限原則:設置新用(yòng)戶帳戶時(shí),僅授予員(yuán)工(gōng)執行(xíng)工(gōn®g)作(zuò)職能(néng)所需的(de)權限。限制(zhì)對(duì)敏感信息和(hé)系統的(d™e)訪問(wèn)可(kě)以減少(shǎo)帳戶被盜用(yòng)時(shí)的(de)潛在損害。
制(zhì)定明(míng)确的(de)網絡安全政策:企業(yè)網絡安全的(de)強度取決于其最薄弱的(de)領≥域。考慮到(dào)這(zhè)一(yī)點,請(qǐng)确保制(zhì)定全面的(de)安全政策,涵★蓋組織數(shù)字環境的(de)所有(yǒu)方面。這(zhè)些(xiē)政策應在入職期間(jiān)明(míng)确傳達給新員(yuán)工(gōng),确↔保他(tā)們了(le)解他(tā)們在維護安全工(gōng)作(zuò)環境方面的(de)角色和(hé)職責。
定期進行(xíng)安全意識培訓:為(wèi)所有(yǒu)員(yuán)工(gōng)尤其是(shì)新員(yuán)工(gō↔ng)提供持續培訓,對(duì)于讓他(tā)們了(le)解最新的(de)安全威脅和(hé)最佳做(zuò)法非常重要(yào)。培訓應涵蓋識别網絡釣魚企圖、 創建強密碼和(hé)安全處理(lǐ)敏感信息等主題。
實施安全的(de)密碼分(fēn)發:不(bù)要(yào)以純文(wén)本或口頭方式分(fēn)享員(yuán)工(gōng)的(de)第一(yī)個(gè)密碼,而要(yào)λ考慮使用(yòng)安全的(de)解決方案,例如(rú)可(kě)以允許新員(yuán)工(gōng)通(tōng)過安全的(de)自(zì)助服務門(mén)戶設置自(zì)己的(de)密碼,無需§純文(wén)本傳輸或口頭交流。必須确保新員(yuán)工(gōng)創建符合企業(yè)安全策略的(de)強大(dà)而獨特的(de)密碼。
保護數(shù)字資産
入職流程為(wèi)企業(yè)帶來(lái)了(le)獨特的(de)安全挑戰。為(wèi)了(le)保護企業(yè)的(de)數(shù)字資産,必須了(le)解為(wèi)什(shén)麽新員✔(yuán)工(gōng)會(huì)成為(wèi)如(rú)此有(yǒu)吸引力的(de)黑(hēi)客目标,并确定入職過程中引入風(§fēng)險的(de)領域。
實施最佳實踐(包括遵循最小(xiǎo)特權原則和(hé)進行(xíng)持續的(de)安全意識培訓)能(néng)夠降低(dī)數(shù)據洩露的(de)可(kě)能(néng)性©。為(wèi)了(le)獲得(de)更大(dà)的(de)保護,可(kě)考慮采用(yòng)安全的(de)密碼分(fēn)發解決方案。
