新員工入職對任何企業(yè)來說都是一個重要的時刻——畢竟，這是讓新團(tuán)隊(duì)成員融入公司及其文化的機(jī)會。但是，入職時間框架也會帶來一系列獨(dú)特的安全風(fēng)險，因?yàn)槠髽I(yè)要與新加入企業(yè)的人分享敏感信息。

本文探討了為什么入職流程和新員工對網(wǎng)絡(luò)犯罪分子來說具有吸引力，確定入職期間風(fēng)險最高的領(lǐng)域，并了解減輕這些風(fēng)險的最佳做法。

為什么新員工是黑客的理想目標(biāo)

新員工加入公司后，會面臨完全陌生的環(huán)境，對公司流程、溝通方式或安全協(xié)議知之甚少甚至一無所知。這種知識的缺乏使他們成為社會工程攻擊的主要目標(biāo)。

一般來說，黑客會冒充公司內(nèi)的同事或權(quán)威人物，從而專注于誘騙新加入者泄露敏感信息或授予其安全系統(tǒng)的訪問權(quán)限。

此外，新員工往往非?？释o同事留下良好、積極的印象。他們希望自己看起來積極參與、積極響應(yīng)、樂于合作，這種熱情可能會導(dǎo)致他們在沒有徹底驗(yàn)證其合法性的情況下快速點(diǎn)擊鏈接或附件。

黑客利用這種熱情，精心策劃有針對性的網(wǎng)絡(luò)釣魚活動，這些活動更有可能在新員工身上取得成功。

黑客如何識別新員工？可以通過 LinkedIn 或其他專業(yè)社交平臺了解同事或前任老板是否有新工作，方法是一樣的。黑客通過 LinkedIn 識別新員工及其在組織內(nèi)的新職位，然后利用這些信息創(chuàng)建高度個性化的網(wǎng)絡(luò)釣魚電子郵件或社交工程嘗試，這些嘗試最有可能欺騙新員工。

入職過程中哪些地方會產(chǎn)生風(fēng)險

入職過程中存在許多風(fēng)險。最大的風(fēng)險之一是共享敏感信息，尤其是密碼。許多企業(yè)仍然依賴不安全的方法與新員工共享密碼，包括通過純文本短信或電子郵件發(fā)送密碼。這些方法容易受到中間人攻擊，黑客會攔截通信并獲取密碼。

一些公司試圖通過讓經(jīng)理口頭向新員工傳達(dá)密碼來降低這種風(fēng)險。但盡管這種方法似乎更安全，但現(xiàn)實(shí)是它在保管鏈中引入了另一個潛在的妥協(xié)點(diǎn)。本質(zhì)上，它使經(jīng)理成為另一個黑客目標(biāo)，增加了密碼被泄露的可能性。

研究還發(fā)現(xiàn)了密碼泄露的另一個令人擔(dān)憂的趨勢：員工通常不會更改 IT 團(tuán)隊(duì)為其首次登錄提供的“臨時”登錄密碼。當(dāng)新員工在入職期間獲得臨時密碼時，他們可能不會優(yōu)先將其更改為強(qiáng)大的獨(dú)特密碼。這種疏忽使企業(yè)更容易受到攻擊，因?yàn)檫@些臨時密碼有可能更弱或很容易被猜到。

如何降低新員工入職風(fēng)險

為了最大限度地降低新員工入職的風(fēng)險，企業(yè)應(yīng)遵循以下最佳實(shí)踐：

遵循最小權(quán)限原則：設(shè)置新用戶帳戶時，僅授予員工執(zhí)行工作職能所需的權(quán)限。限制對敏感信息和系統(tǒng)的訪問可以減少帳戶被盜用時的潛在損害。

制定明確的網(wǎng)絡(luò)安全政策：企業(yè)網(wǎng)絡(luò)安全的強(qiáng)度取決于其最薄弱的領(lǐng)域。考慮到這一點(diǎn)，請確保制定全面的安全政策，涵蓋組織數(shù)字環(huán)境的所有方面。這些政策應(yīng)在入職期間明確傳達(dá)給新員工，確保他們了解他們在維護(hù)安全工作環(huán)境方面的角色和職責(zé)。

定期進(jìn)行安全意識培訓(xùn)：為所有員工尤其是新員工提供持續(xù)培訓(xùn)，對于讓他們了解最新的安全威脅和最佳做法非常重要。培訓(xùn)應(yīng)涵蓋識別網(wǎng)絡(luò)釣魚企圖、創(chuàng)建強(qiáng)密碼和安全處理敏感信息等主題。

實(shí)施安全的密碼分發(fā)：不要以純文本或口頭方式分享員工的第一個密碼，而要考慮使用安全的解決方案，例如可以允許新員工通過安全的自助服務(wù)門戶設(shè)置自己的密碼，無需純文本傳輸或口頭交流。必須確保新員工創(chuàng)建符合企業(yè)安全策略的強(qiáng)大而獨(dú)特的密碼。

保護(hù)數(shù)字資產(chǎn)

入職流程為企業(yè)帶來了獨(dú)特的安全挑戰(zhàn)。為了保護(hù)企業(yè)的數(shù)字資產(chǎn)，必須了解為什么新員工會成為如此有吸引力的黑客目標(biāo)，并確定入職過程中引入風(fēng)險的領(lǐng)域。

實(shí)施最佳實(shí)踐（包括遵循最小特權(quán)原則和進(jìn)行持續(xù)的安全意識培訓(xùn)）能夠降低數(shù)據(jù)泄露的可能性。為了獲得更大的保護(hù)，可考慮采用安全的密碼分發(fā)解決方案。