網(wǎng)絡(luò)安全是一場(chǎng)持續(xù)的戰(zhàn)斗，所有IT決策者都非常熟悉。在這場(chǎng)安全軍備競(jìng)賽中，不斷需要更先進(jìn)和更復(fù)雜的工具來(lái)應(yīng)對(duì)日益陰險(xiǎn)的攻擊。

但是，無(wú)論您采用多么聰明的技術(shù)來(lái)保護(hù)您的端點(diǎn)和根除惡意軟件，都有一個(gè)漏洞特別困擾企業(yè)：人為錯(cuò)誤。Egress的2021年內(nèi)部數(shù)據(jù)泄露調(diào)查發(fā)現(xiàn)，84%經(jīng)歷過(guò)數(shù)據(jù)泄露的IT領(lǐng)導(dǎo)者將人為錯(cuò)誤列為這些泄露的主要原因。我們?yōu)榱朔奖愣呓輳胶秃鲆暺D苦的最佳實(shí)踐的自然傾向可能會(huì)讓不良行為者繞過(guò)最好的防御。

幸運(yùn)的是，有一些工具和技術(shù)可以教育和支持您的員工做出最能保護(hù)您的業(yè)務(wù)的選擇。

便利的風(fēng)險(xiǎn)

人為錯(cuò)誤會(huì)影響整個(gè)企業(yè)，甚至IT和安全專(zhuān)業(yè)人員也不能幸免。

當(dāng)涉及繁瑣的安全職責(zé)時(shí)，忽略越過(guò)i和點(diǎn)綴t可能很方便——尤其是在需要響應(yīng)的票越來(lái)越多的情況下——但這可能會(huì)導(dǎo)致嚴(yán)重后果。

確保補(bǔ)丁是最新的并且系統(tǒng)和硬件配置正確可能不是最迷人的任務(wù)——而且可能很容易推遲到以后——但不這樣做可能會(huì)產(chǎn)生嚴(yán)重的后果。2017年5月的WannaCry勒索軟件攻擊影響了數(shù)十萬(wàn)個(gè)目標(biāo)，在全球范圍內(nèi)造成嚴(yán)重的財(cái)務(wù)和運(yùn)營(yíng)損失。但是微軟在攻擊前三個(gè)月發(fā)布了一個(gè)補(bǔ)丁來(lái)解決這個(gè)漏洞，這只是表明有多少組織讓這些簡(jiǎn)單但乏味的任務(wù)溜走——以及可能導(dǎo)致的可怕后果。

當(dāng)災(zāi)難確實(shí)發(fā)生時(shí)，備份對(duì)于災(zāi)難恢復(fù)至關(guān)重要——如果它們被正確配置和測(cè)試。但是，Veeam數(shù)據(jù)保護(hù)報(bào)告2021發(fā)現(xiàn)58%的備份失敗，導(dǎo)致數(shù)據(jù)未受保護(hù)。同樣，從長(zhǎng)遠(yuǎn)來(lái)看，這是一個(gè)走捷徑可能會(huì)產(chǎn)生嚴(yán)重后果的領(lǐng)域。

在IT部門(mén)之外，偷工減料可能導(dǎo)致任何業(yè)務(wù)級(jí)別的違規(guī)行為。雖然密碼仍然是控制對(duì)我們系統(tǒng)的訪問(wèn)并保護(hù)它們免受不良行為者侵害的主要方法，但保持適當(dāng)?shù)拿艽a衛(wèi)生可能會(huì)被視為一種不便。

不幸的是，這會(huì)導(dǎo)致諸如密碼重用之類(lèi)的偷工減料行為，這使網(wǎng)絡(luò)犯罪分子更容易破壞登錄憑據(jù)，從而使他們能夠訪問(wèn)關(guān)鍵系統(tǒng)并可能對(duì)您的組織造成嚴(yán)重?fù)p害。記住多個(gè)長(zhǎng)而復(fù)雜的密碼是很困難的，但每次登錄時(shí)使用“12345”或“p@ssw0rd”會(huì)邀請(qǐng)犯罪分子破壞這些憑據(jù)并破壞您的網(wǎng)絡(luò)。此外，如果跨多個(gè)服務(wù)使用，即使是復(fù)雜的密碼也可能存在風(fēng)險(xiǎn)。

Verizon的2022年數(shù)據(jù)泄露調(diào)查報(bào)告將被盜憑證列為進(jìn)入組織系統(tǒng)的主要途徑，占泄露事件的近50%。很明顯，為了方便起見(jiàn)，員工需要密碼安全方面的幫助，以確保您的企業(yè)不會(huì)受到攻擊。

減輕負(fù)擔(dān)

防止冒險(xiǎn)、走捷徑行為的關(guān)鍵是支持您的員工，使良好的做法不會(huì)被視為不便，并盡可能減輕艱巨的任務(wù)和工作量。

對(duì)于IT團(tuán)隊(duì)而言，這意味著確保正確管理工作負(fù)載，以便IT人員有時(shí)間處理修補(bǔ)、備份和其他安全關(guān)鍵任務(wù)。最佳實(shí)踐指南和更好的時(shí)間管理方法將幫助員工避免被請(qǐng)求淹沒(méi)，并制定包括定期維護(hù)和監(jiān)控的時(shí)間表。

這可以通過(guò)自動(dòng)化和遠(yuǎn)程訪問(wèn)解決方案(如Keeper Connection Manager)得到支持。使用正確的工具，一些重要的職責(zé)可以自動(dòng)化，以減少I(mǎi)T部門(mén)的工作量，同時(shí)確保進(jìn)行必要的維護(hù)。對(duì)于無(wú)法自動(dòng)化的事情，Keeper Connection Manager提供了一種安全、可靠和順暢的方式來(lái)從任何地方訪問(wèn)和監(jiān)督關(guān)鍵系統(tǒng)和硬件，從而最大限度地減少導(dǎo)致危險(xiǎn)快捷方式的不便和障礙。

同樣，安全意識(shí)培訓(xùn)和正確的密碼管理工具相結(jié)合，可以大大降低憑據(jù)被泄露的發(fā)生率。了解什么使密碼安全自然是確保員工在創(chuàng)建和更新登錄憑據(jù)時(shí)做出正確決策的關(guān)鍵——可靠的密碼管理系統(tǒng)可以將您的保護(hù)提升到一個(gè)全新的水平。

就像便利會(huì)讓我們誤入歧途一樣，密碼管理器幫助員工做出正確的選擇。密碼管理器使用戶(hù)能夠根據(jù)可定制的標(biāo)準(zhǔn)生成隨機(jī)、唯一且安全的密碼，并將其保存到安全的數(shù)字保險(xiǎn)庫(kù)中，從而消除與弱密碼或密碼重復(fù)使用相關(guān)的風(fēng)險(xiǎn)。Keeper Password Manager等服務(wù)跨平臺(tái)和設(shè)備集成，這意味著用戶(hù)只需要記住一個(gè)密碼，即解鎖其Keeper保管庫(kù)的主密碼。

Keeper Password Manager還允許IT團(tuán)隊(duì)監(jiān)控和控制員工密碼做法，并要求用戶(hù)遵守最佳做法，例如為每個(gè)帳戶(hù)使用唯一、復(fù)雜的密碼，并在支持的情況下使用多因素身份驗(yàn)證。Keeper提供了用于基于角色的訪問(wèn)控制(RBAC)和最低權(quán)限訪問(wèn)的工具，因此如果威脅參與者確實(shí)設(shè)法使用一組受損憑據(jù)來(lái)破壞您的系統(tǒng)，他們將無(wú)法在您的網(wǎng)絡(luò)中橫向移動(dòng)。

為了獲得額外保護(hù)，組織可以添加Keeper Breach Watch，它可以監(jiān)控暗網(wǎng)并在任何公司密碼在公共數(shù)據(jù)泄露中被泄露時(shí)向管理員發(fā)出警報(bào)。這樣，管理員可以盡快強(qiáng)制重置密碼。

便利總是會(huì)誘使員工做出損害安全性的錯(cuò)誤選擇。您的職責(zé)是確保他們了解這些決策的后果，并擁有做出明智選擇以保護(hù)您的業(yè)務(wù)所需的工具和知識(shí)。當(dāng)便利和良好實(shí)踐相結(jié)合時(shí)，您的公司將處于最佳位置。