員工的公司筆電可能成為惡意存取者的寶庫。
設想一下。您在筆電上使用的許多應用程式都不會要求您提供憑證,尤其如果您的組織未設置強大的多重要素驗證(MFA)政策。為了操作方便,您的應用程式密碼可能暫存在瀏覽器內,但這正好成為憑證盜竊好下手的目標。如果您的組織為了方便而慣用以憑證為依據的驗證方法或 iWA,大多數應用程式都可直接從受信任的裝置存取,而無需通過任何身份驗證挑戰。即便是一家中型公司也可能使用 100 多個軟體即服務應用程式,您可想像只要存取其中幾個應用程式便可能造成多大的災害。
儘管全世界正朝向雲端儲存的方向發展,但有些員工仍然喜歡使用 One Drive、Box 或 Dropbox 來儲存重要的敏感檔案副本。經常移動的員工(例如銷售人員)喜歡將關鍵資訊保存在本機上,因為他們不一定能夠存取雲端。這類檔案可能包含潛在銷售客戶、財務資訊、合作夥伴資料、代碼、商業機密等。最壞的情況是,粗心的員工可能將密碼儲存在電子表格內。
除了敏感的公司資料之外,一台普通筆電可能包含幾個記錄所有者個人資料的檔案,例如其地址、電話號碼、電子郵件、SSN、銀行帳戶資料和信用卡詳細資料等。如果被不法之徒取得,這些重要的財務記錄可能被用來盜取身份。
而且,Outlook 等電子郵件客戶端通常處於「永遠開啟」狀態, 使它們處於危險之中。員工的電子郵件地址通常可用來重設各種服務的密碼,此外,電子郵件本身通常包含有關僱主的敏感資訊。攻擊者可利用社會工程陷阱,從一個員工的電子郵件獲取有關其他員工的敏感資料。
簡言之,即使只有一名員工遺失筆電,也可能導致災難。若未制訂強大的企業密碼政策,密碼極可能很弱,甚至無法承受最基本的蠻力攻擊。
惡意內部人員也會瞄準不安全的筆電,試圖竊取具價值的同事或高層主管資料,或取得對他們無權存取的公司系統及資料的特權存取。內部威脅的頻率日增,並且可能隱蔽行徑長達數週、數月、甚至數年,因此尤其危險。
因此,在啟動螢幕及鎖定螢幕上使用強大的 MFA 來保護公司筆電(甚至個人筆電)絕對有其必要,否則將在您組織內留下危險的數位安全漏洞。
為了解決此難題,CyberArk Idaptive 雲端代理程式可支援在Windows 和 macOS 裝置的啟動螢幕和鎖定螢幕設置強大的MFA,並具備下列功能:
- 可依風險調整的自適應 MFA
- 為 Windows Server 的RDP/RDS 存取而設的 MFA 支援
- 根據身份驗證挑戰自助式密碼重設,將 IT 服務台的支援需要及成本減至最小
- 離線裝置適用的 MFA,可在 Windows 或 macOS裝置被盜時鎖定及抹除其資料
- 靈活的身份驗證要素,例如 OTP、簡訊、電子郵件、行動推送、FIDO2 密鑰(例如 Yubikey)等。
終端對現今的數位業務構成重大安全風險,特別是當前的遠距勞動力規模非常龐大。精明的攻擊者可利用終端的安全漏洞竊取機密資訊或干擾 IT 服務。採取縱深防禦做法來保護終端安全 – 建立從 MFA 至特權存取管理的強大安全控制措施 – 可增強整體安全性並減少暴露風險。
欲了解有關保護遠端用戶、終端及關鍵資產的更多資訊,請造訪我們的風險隔離資源中心。
