员工的笔记本电脑可以成为任何恶意行为者的藏宝库。
设想一下,您在笔记本电脑上使用的许多应用程序都不会要求您提供凭据,尤其是在您的组织没有强大的多因素身份验证 (MFA) 策略的情况下。为了方便起见,您的应用程序密码可能会缓存在您的浏览器中,但这也使得它们很容易成为凭据盗窃攻击的目标。如果您的组织为了方便起见使用基于证书的身份验证或 iWA 作为惯例,则可以从受信任的设备直接访问大多数应用程序,而不会遇到任何身份验证挑战。考虑到即使是中型公司也可能会使用 100 多个 SaaS 应用程序,只访问其中一些应用程序所可能造成的损害也就可想而知。
即使世界正朝着云存储的方向发展,一些工作人员还是倾向于使用 One Drive、Box 或 Dropbox 存储重要的敏感文件的副本。销售人员等经常在外的员工喜欢将关键信息保存在本地,因为他们不一定总是可以访问云。此类文件可能包含销售线索、财务信息、合作伙伴信息、代码、商业秘密等。最坏的情况是,粗心的员工可能将其密码存储在电子表格中。
除了敏感的公司数据外,一台普通的笔记本电脑可能还包含几个带有所有者个人信息的文件,例如其地址、电话号码、电子邮件、SSN、银行帐户信息和信用卡详细信息。这些重要的财务记录落入不法分子之手后可用于身份盗用。
而且,Outlook 等电子邮件客户端通常处于“始终打开”状态,这使它们处于危险之中。员工电子邮件地址通常可用于重置各种服务的密码,此外电子邮件本身通常包含有关雇主的敏感信息。利用社会工程学,攻击者可以使用一封员工电子邮件获取有关其他员工的敏感信息。
简而言之,即使只有一名员工丢失了笔记本电脑,后果也可能是灾难性的。没有稳健的企业密码政策,很可能会发生密码很弱,甚至无法承受基本的暴力攻击的情况。
恶意内部人员也以不安全的笔记本电脑为目标,试图窃取同事或高级管理人员的有价值的信息,或者获得对其无权访问的企业系统或数据的特权访问权限。内部人员威胁频率在不断增加,并可能特别危险,因为它们可能在数周、数月甚至数年内无法被发现。
因此,在启动屏幕和锁定屏幕上使用强大的 MFA 保护工作(甚至个人)笔记本电脑绝对至关重要。否则,将在组织的数字安全方面留下危险的缺口。
为解决此难题,CyberArk Idaptive 云代理为 Windows 和 macOS 设备的启动屏幕和锁定屏幕支持强大的 MFA,功能如下:
- 基于风险的自适应 MFA
- 在对 Windows 服务器的 RDP/RDS 访问上支持 MFA
- 基于身份验证挑战的自助重置密码,以最大程度地减少 IT 服务台支持和成本
- 适用于离线设备的 MFA,如果被盗,可以锁定和擦除 Windows 和 macOS 设备
- 灵活的身份验证因素,例如 OTP、SMS、电子邮件、移动推送、FIDO2 密钥(例如 Yubikey)等
端点对当今的数字业务构成重大的安全风险,尤其是在当前远程工作员工数量庞大的背景下。狡猾的攻击者可以利用端点漏洞窃取机密信息或破坏 IT 服务。通过对端点安全性采用深度防御方法——从 MFA 到特权访问管理等安全控制工具的强大结合,可以增强整体安全性并减少暴露。
若要了解有关保护远程用户、端点和关键资产的更多信息,请访问我们的风险隔离资源中心。
