新员工入职对任何企业来说都是一个重要的时刻——毕竟,这是让新团队成员融入公司及其文化的机会。但是,入职时间框架也会带来一系列独特的安全风险,因为企业要与新加入企业的人分享敏感信息。
本文探讨了为什么入职流程和新员工对网络犯罪分子来说具有吸引力,确定入职期间风险最高的领域,并了解减轻这些风险的最佳做法。
为什么新员工是黑客的理想目标
新员工加入公司后,会面临完全陌生的环境,对公司流程、沟通方式或安全协议知之甚少甚至一无所知。这种知识的缺乏使他们成为社会工程攻击的主要目标。
一般来说,黑客会冒充公司内的同事或权威人物,从而专注于诱骗新加入者泄露敏感信息或授予其安全系统的访问权限。
此外,新员工往往非常渴望给同事留下良好、积极的印象。他们希望自己看起来积极参与、积极响应、乐于合作,这种热情可能会导致他们在没有彻底验证其合法性的情况下快速点击链接或附件。
黑客利用这种热情,精心策划有针对性的网络钓鱼活动,这些活动更有可能在新员工身上取得成功。
黑客如何识别新员工?可以通过 LinkedIn 或其他专业社交平台了解同事或前任老板是否有新工作,方法是一样的。黑客通过 LinkedIn 识别新员工及其在组织内的新职位,然后利用这些信息创建高度个性化的网络钓鱼电子邮件或社交工程尝试,这些尝试最有可能欺骗新员工。
入职过程中哪些地方会产生风险
入职过程中存在许多风险。最大的风险之一是共享敏感信息,尤其是密码。许多企业仍然依赖不安全的方法与新员工共享密码,包括通过纯文本短信或电子邮件发送密码。这些方法容易受到中间人攻击,黑客会拦截通信并获取密码。
一些公司试图通过让经理口头向新员工传达密码来降低这种风险。但尽管这种方法似乎更安全,但现实是它在保管链中引入了另一个潜在的妥协点。本质上,它使经理成为另一个黑客目标,增加了密码被泄露的可能性。
研究还发现了密码泄露的另一个令人担忧的趋势:员工通常不会更改 IT 团队为其首次登录提供的“临时”登录密码。当新员工在入职期间获得临时密码时,他们可能不会优先将其更改为强大的独特密码。这种疏忽使企业更容易受到攻击,因为这些临时密码有可能更弱或很容易被猜到。
如何降低新员工入职风险
为了最大限度地降低新员工入职的风险,企业应遵循以下最佳实践:
遵循最小权限原则:设置新用户帐户时,仅授予员工执行工作职能所需的权限。限制对敏感信息和系统的访问可以减少帐户被盗用时的潜在损害。
制定明确的网络安全政策:企业网络安全的强度取决于其最薄弱的领域。考虑到这一点,请确保制定全面的安全政策,涵盖组织数字环境的所有方面。这些政策应在入职期间明确传达给新员工,确保他们了解他们在维护安全工作环境方面的角色和职责。
定期进行安全意识培训:为所有员工尤其是新员工提供持续培训,对于让他们了解最新的安全威胁和最佳做法非常重要。培训应涵盖识别网络钓鱼企图、创建强密码和安全处理敏感信息等主题。
实施安全的密码分发:不要以纯文本或口头方式分享员工的第一个密码,而要考虑使用安全的解决方案,例如可以允许新员工通过安全的自助服务门户设置自己的密码,无需纯文本传输或口头交流。必须确保新员工创建符合企业安全策略的强大而独特的密码。
保护数字资产
入职流程为企业带来了独特的安全挑战。为了保护企业的数字资产,必须了解为什么新员工会成为如此有吸引力的黑客目标,并确定入职过程中引入风险的领域。
实施最佳实践(包括遵循最小特权原则和进行持续的安全意识培训)能够降低数据泄露的可能性。为了获得更大的保护,可考虑采用安全的密码分发解决方案。