Η ενσωμάτωση νέων εργαζομένων είναι μια σημαντική στιγμή για κάθε οργανισμό — σε τελική ανάλυση, είναι η ευκαιρία σας να ενσωματώσετε νέα μέλη της ομάδας στην εταιρεία σας και την κουλτούρα της. Ωστόσο, το χρονικό πλαίσιο ενσωμάτωσης δημιουργεί επίσης ένα μοναδικό σύνολο κινδύνων ασφαλείας καθώς μοιράζεστε ευαίσθητες πληροφορίες με άτομα που είναι νέοι στον οργανισμό.
Αυτό το άρθρο διερευνά γιατί η διαδικασία ενσωμάτωσης (και οι νέοι υπάλληλοι) αποτελούν ελκυστικούς στόχους για τους εγκληματίες του κυβερνοχώρου. Προσδιορίστε τις πιο επικίνδυνες περιοχές κατά την επιβίβαση και μάθετε τις βέλτιστες πρακτικές για τον μετριασμό αυτών των κινδύνων.
Γιατί οι νέοι υπάλληλοι είναι καλοί στόχοι για τους χάκερ;
Όταν νέοι υπάλληλοι εντάσσονται στον οργανισμό σας, βρίσκονται σε εντελώς άγνωστο έδαφος, με ελάχιστη (ή καθόλου) γνώση και κατανόηση των διαδικασιών, των στυλ επικοινωνίας ή των πρωτοκόλλων ασφαλείας της εταιρείας σας. Και αυτή η έλλειψη γνώσης τους καθιστά πρωταρχικούς στόχους για επιθέσεις κοινωνικής μηχανικής.
Οι χάκερ — που υποδύονται συναδέλφους ή στελέχη αυθεντίας εντός της εταιρείας — εστιάζουν τις προσπάθειές τους στην εξαπάτηση νέων συνεργατών ώστε να αποκαλύψουν ευαίσθητες πληροφορίες ή να παραχωρήσουν πρόσβαση σε ασφαλή συστήματα.
Επιπλέον, οι νέοι υπάλληλοι είναι συχνά πολύ πρόθυμοι να κάνουν μια ευνοϊκή, θετική εντύπωση στους συναδέλφους τους και στους διευθυντές τους. Θέλουν να φαίνονται αφοσιωμένοι, ανταποκρινόμενοι και συνεργάσιμοι και αυτός ο ενθουσιασμός μπορεί να τους οδηγήσει να κάνουν γρήγορα κλικ σε συνδέσμους ή συνημμένα χωρίς να επαληθεύουν διεξοδικά τη νομιμότητά τους. Οι χάκερ εκμεταλλεύονται αυτή την προθυμία δημιουργώντας στοχευμένες καμπάνιες phishing που είναι πιο πιθανό να πετύχουν με νέους συνεργάτες.
Πώς αναγνωρίζουν οι χάκερ τα νέα τους θύματα ξυλουργών; Με τον ίδιο τρόπο μαθαίνουμε εάν ένας συνάδελφος ή παλιό αφεντικό έχει μια νέα δουλειά — μέσω του LinkedIn ή άλλων επαγγελματικών πλατφορμών δικτύωσης.
Οι χάκερ παρακολουθούν το LinkedIn για να εντοπίσουν νέους υπαλλήλους και τη νέα τους θέση στον οργανισμό και, στη συνέχεια, χρησιμοποιούν αυτές τις πληροφορίες για να δημιουργήσουν εξαιρετικά εξατομικευμένα email phishing ή απόπειρες κοινωνικής μηχανικής που έχουν τη μεγαλύτερη πιθανότητα εξαπάτησης ενός νέου υπαλλήλου.
Πού δημιουργείται κίνδυνος κατά την ενσωμάτωση;
Υπάρχουν πολυάριθμοι τομείς κινδύνου κατά τη διαδικασία επιβίβασης. Ένα από τα μεγαλύτερα είναι η κοινή χρήση ευαίσθητων πληροφοριών, ιδιαίτερα κωδικών πρόσβασης. Πολλοί οργανισμοί εξακολουθούν να βασίζονται σε μη ασφαλείς μεθόδους για την κοινή χρήση κωδικών πρόσβασης με νέους υπαλλήλους, συμπεριλαμβανομένης της αποστολής τους μέσω SMS απλού κειμένου ή email.
Αυτές οι μέθοδοι είναι ευάλωτες σε επιθέσεις man-in-the-middle, όπου οι χάκερ παρεμποδίζουν την επικοινωνία και αποκτούν πρόσβαση στον κωδικό πρόσβασης.
Ορισμένες εταιρείες προσπαθούν να μετριάσουν αυτόν τον κίνδυνο βάζοντας τους διευθυντές να κοινοποιούν προφορικά τους κωδικούς πρόσβασης στους νέους υπαλλήλους. Όμως, ενώ αυτή η προσέγγιση μπορεί να φαίνεται πιο ασφαλής, η πραγματικότητα είναι ότι εισάγει ένα άλλο πιθανό σημείο συμβιβασμού στην αλυσίδα της επιμέλειας. Ουσιαστικά, μετατρέπει τον διαχειριστή σε έναν επιπλέον στόχο hacking, αυξάνοντας τις πιθανότητες να παραβιαστεί ο κωδικός πρόσβασης.
Έρευνα προδιαγραφών βρήκε μια άλλη ανησυχητική τάση όσον αφορά τους παραβιασμένους κωδικούς πρόσβασης: οι εργαζόμενοι συχνά αποτυγχάνουν να αλλάξουν τους “προσωρινούς” κωδικούς πρόσβασης που παρέχει η ομάδα IT για τις αρχικές τους συνδέσεις. Όταν οι νέοι υπάλληλοι λαμβάνουν προσωρινούς κωδικούς πρόσβασης κατά την ενσωμάτωση, ενδέχεται να μην δίνουν προτεραιότητα στην αλλαγή τους σε ισχυρούς, μοναδικούς κωδικούς πρόσβασης. Αυτή η παράβλεψη αφήνει τον οργανισμό ευάλωτο σε επιθέσεις, καθώς αυτοί οι προσωρινοί κωδικοί πρόσβασης είναι πιο πιθανό να είναι αδύναμοι ή εύκολα μαντέψιμοι.
Βέλτιστες πρακτικές για τη μείωση του κινδύνου επιβίβασης
Για να ελαχιστοποιήσετε τον κίνδυνο που σχετίζεται με την ενσωμάτωση νέων εργαζομένων, ο οργανισμός σας θα πρέπει να τηρεί αρκετές βέλτιστες πρακτικές:
- Ακολουθήστε την αρχή του ελάχιστου προνομίου: Κατά τη δημιουργία νέων λογαριασμών χρηστών, παραχωρήστε στους υπαλλήλους μόνο τις άδειες που χρειάζονται για να εκτελέσουν τις λειτουργίες της εργασίας τους. Ο περιορισμός της πρόσβασης σε ευαίσθητες πληροφορίες και συστήματα μπορεί να μειώσει την πιθανή ζημιά σε περίπτωση παραβίασης ενός λογαριασμού.
- Καθιερώστε σαφείς πολιτικές ασφάλειας στον κυβερνοχώρο: Η κυβερνοασφάλεια του οργανισμού σας είναι τόσο ισχυρή όσο και η πιο αδύναμη περιοχή του. Έχοντας αυτό υπόψη, βεβαιωθείτε ότι αναπτύσσετε ολοκληρωμένες πολιτικές ασφαλείας που καλύπτουν όλες τις πτυχές του ψηφιακού περιβάλλοντος του οργανισμού σας. Αυτές οι πολιτικές θα πρέπει να κοινοποιούνται ξεκάθαρα στους νέους προσλήψεις κατά την επιβίβαση, διασφαλίζοντας ότι κατανοούν τους ρόλους και τις ευθύνες τους στη διατήρηση ενός ασφαλούς εργασιακού περιβάλλοντος.
- Διεξάγετε τακτική εκπαίδευση ευαισθητοποίησης σχετικά με την ασφάλεια: Η παροχή συνεχούς εκπαίδευσης σε όλους τους υπαλλήλους, συμπεριλαμβανομένων των νέων προσλήψεων, είναι σημαντική για την ενημέρωση τους σχετικά με τις πιο πρόσφατες απειλές ασφαλείας και τις βέλτιστες πρακτικές. Αυτή η εκπαίδευση θα πρέπει να καλύπτει θέματα όπως ο εντοπισμός προσπαθειών phishing, η δημιουργία ισχυρών κωδικών πρόσβασης και ο ασφαλής χειρισμός ευαίσθητων πληροφοριών.
- Εφαρμόστε ασφαλή διανομή κωδικού πρόσβασης: Αντί να μοιράζεστε τον πρώτο κωδικό πρόσβασης ενός υπαλλήλου σε απλό κείμενο ή προφορικά, σκεφτείτε να χρησιμοποιήσετε μια ασφαλή λύση όπως Κωδικός πρώτης ημέρας της Specops λειτουργικότητα σε Προδιαγραφές uReset. Αυτό το εργαλείο επιτρέπει στους νέους υπαλλήλους να ορίζουν τους δικούς τους κωδικούς πρόσβασης μέσω μιας ασφαλούς πύλης αυτοεξυπηρέτησης, εξαλείφοντας την ανάγκη για μετάδοση απλού κειμένου ή προφορική επικοινωνία. Και με την ενσωμάτωση με άλλα προϊόντα Specops, όπως π.χ Πολιτική κωδικού πρόσβασης Specops με προστασία με παραβιασμένο κωδικό πρόσβασηςο οργανισμός σας μπορεί να διασφαλίσει ότι οι νέοι υπάλληλοι δημιουργούν ισχυρούς, μοναδικούς κωδικούς πρόσβασης που συμμορφώνονται με τις πολιτικές ασφαλείας του οργανισμού σας.
Προστασία ψηφιακών περιουσιακών στοιχείων
Η διαδικασία ενσωμάτωσης παρουσιάζει στους οργανισμούς μοναδικές προκλήσεις ασφάλειας. Για να προστατεύσετε τα ψηφιακά σας στοιχεία, πρέπει να κατανοήσετε γιατί οι νέοι συνεργάτες είναι τόσο ελκυστικοί στόχοι hacking και να προσδιορίσετε περιοχές κατά τη διαδικασία ενσωμάτωσης που εισάγουν κίνδυνο.
Η εφαρμογή βέλτιστων πρακτικών — συμπεριλαμβανομένης της τήρησης της αρχής των ελάχιστων προνομίων και της διεξαγωγής συνεχούς εκπαίδευσης ευαισθητοποίησης σχετικά με την ασφάλεια — θα σας επιτρέψει να μειώσετε την πιθανότητα παραβίασης δεδομένων. Και για ακόμη μεγαλύτερη προστασία, εξετάστε το ενδεχόμενο να υιοθετήσετε μια ασφαλή λύση διανομής κωδικού πρόσβασης, όπως το εργαλείο First Day Password του Specops.
Λαμβάνοντας προληπτικά μέτρα για τη διασφάλιση της διαδικασίας ενσωμάτωσης και εξοπλίζοντας τους νέους υπαλλήλους με τις γνώσεις και τα εργαλεία που χρειάζονται για την προστασία των ψηφιακών στοιχείων του οργανισμού σας από την πρώτη μέρα, μπορείτε να μειώσετε σημαντικά τον κίνδυνο δαπανηρών παραβιάσεων δεδομένων και να διασφαλίσετε ότι οι ευαίσθητες πληροφορίες της εταιρείας σας παραμένουν ασφαλείς. Ενδιαφέρεστε να μάθετε πώς ο Κωδικός Πρώτης Ημέρας μπορεί να ενισχύσει την ασφάλεια του οργανισμού σας;
Μιλήστε με έναν ειδικό σήμερα.
Χορηγός και γραμμένος από Λογισμικό Specops.
VIA: bleepingcomputer.com
