如何利用員工個人資料監控來彌補安全漏洞
長期以來,員工個人資料一直被認為是現代企業網路安全的一個脆弱的威脅載體。然而,儘管比以往任何時候都更多的員工利用身份盜竊和信用監控服務,他們的僱主卻很少有任何安全感。
在員工越來越關注個人身份安全的同時,身份盜竊和網路釣魚攻擊的發生率繼續飆升。自2018年以來,身份盜竊案件的數量增加了兩倍多,而在COVID-19檢疫期間,網路釣魚攻擊增長了高達350%。最關鍵的是,在最近的一項研究中,38%的受訪者表示,他們的同事在過去一年中成為網路釣魚攻擊的受害者。
這種悖論的出現是因為大多數個人資訊保護解決方案的被動性以及對其為企業帶來的好處的誤解。與其說是網路保護,許多身份盜竊和信用監控解決方案所提供的實際服務更類似於補救措施。
因此,身份盜竊和信用監控幾乎沒有為員工或其組織增加個人資料安全。根據我們與各個領域的企業CSO合作的經驗,我們甚至發現,過度依賴這類服務的公司經常會在網路威脅面前變得更加脆弱,而不是更加脆弱。僱主越是覺得受到無效系統的保護,員工就越有可能偏離網路衛生的基本原則。
隨著更強大的惡意軟體、不斷收緊的監管環境和更高的消費者安全意識提高了組織網路安全的風險,瞭解個人資料監控如何影響網路安全從未像現在這樣重要。
識別員工線上私人資料造成的安全漏洞
隨著真正的保護和虛假的安全之間的差距越來越大,企業需要嚴格評估他們的個人資訊保安態勢。隨著威脅者使用的社會工程騙局的不斷髮展,弄清楚什麼是保護員工隱私的有效方法變得越來越重要。
魚叉式網路釣魚等技術的出現表明,網路犯罪分子如何利用個人資訊來提高網路釣魚攻擊的可信度。如果網路犯罪分子能夠找到企業網路中某個人的家庭住址、全名或婚姻狀況,那麼製作一封令人信服的網路釣魚郵件就變得容易得多。透過利用高管的個人資訊來獲得公司高層人士的信任,這種做法被稱為 "捕鯨",網路犯罪分子可以迅速發起破壞性的網路攻擊。
2016年,在對社交媒體公司Snapchat的攻擊中,網路犯罪分子冒充其執行長以獲得高管的信任,導致了員工工資資訊的大規模洩露。同樣,奧地利航空航天公司FACC的執行長因成為捕鯨攻擊的受害者而損失了近6000萬美元后被解僱。
令人擔憂的是,威脅者用來促進這類攻擊的個人資訊是很容易獲得的。無論是作為資料洩露的結果,還是更頻繁地透過資料經紀人和人員搜尋網站整理的公開資訊,員工的個人資訊往往很容易獲得。
隨著大多數美國公司對員工使用社交媒體的網路安全影響的關注,員工本身也可能成為造成個人資訊保安漏洞的連環殺手。
個人資訊保安解決方案格局
為了應對個人資訊帶來的日益增長的威脅,資訊保護解決方案的市場正在迅速擴大,預計未來6年的複合年增長率(CAGR)將達到13%。
然而,許多組織渴望為員工提供更多的保護,作為企業福利方案的一部分,但卻不清楚這種保護究竟是如何運作的。為了幫助澄清這個問題,將資訊保安解決方案視為屬於三個主要類別之一是很有幫助的。
1.信用監控
透過掃描三大信用監測機構--Equifax、TransUnion和Experian--的個人信用檔案的變化,信用監測服務使個人能夠在一個地方關注他們的信用評分。
雖然任何人都可以自己檢查他們的信用分數,但付費的信用監測服務使這個過程自動化,使個人更容易跟蹤變化。
對於僱員來說,信用監測作為工作場所福利的優勢在於能夠注意到他們的信用分數的突然變化,這表明他們是欺詐的受害者。
2.身份盜竊保護
與信用監測服務一樣,身份盜竊保護解決方案最好被認為是個人資訊的保險政策。然而,由Identity Guard、Norton和OneRep等供應商提供的這類產品,不僅僅是檢視個人的信用分數,還更進一步。
除了進行信用檢查外,身份盜竊保護還對法院記錄、貸款申請和公用事業訂單等事項進行了更全面的檢查,以瞭解個人的個人資訊是否被欺詐性地使用。
隨著身份盜竊影響到創紀錄的美國人,身份盜竊保護現在是一個受歡迎的選擇性福利。
3.隱私保護
信用監控和身份盜竊保護服務提供了保險,即如果員工的資訊被濫用,他們會得到通知,但它們對提高企業的網路安全沒有什麼作用。
當員工從這些服務中看到真正的好處時,他們的資料已經暴露,並給他們的僱主帶來了新的網路安全風險。信用和身份保護的被動性也意味著,雖然個人可以更快、更容易地發現和補救欺詐行為,但個人資料暴露的問題仍然突出。
像DeleteMe提供的服務一樣,隱私保護解決方案致力於解決個人資料暴露問題的根源。透過尋找和消除個人的個人和專業資料的不必要的暴露,主動的隱私保護首先大大降低了欺詐發生的可能性。
對於企業來說,這種解決方案還可以透過最大限度地減少員工個人資訊的洩露來加強網路安全,並反過來從威脅者手中奪走寶貴的彈藥。
在你的組織中制定一個積極的個人資訊隱私的方法
雖然每一種解決方案都有它的位置,但對員工個人資訊的真正保護來自於一個分層的方法。
在最基本的層面上,員工需要接受實際培訓,瞭解如何在工作和家庭中儘量減少他們的個人資訊足跡。除了強調對個人資訊採取不安全方法的潛在安全風險外,有效的培訓還應該向員工展示隱私帶來的好處(即減少垃圾郵件和提高個人安全)。
然而,僅靠培訓是很少有效的。雖然定期培訓很關鍵,但教員工如何發現社會工程騙局的安全意識培訓專案通常在幾個月內就會被遺忘,需要不斷加強才能保持效果。
在培訓的基礎上,員工的個人資訊也應該透過主動的個人資訊檢索和刪除服務來保護。歸根結底,保護員工和企業免受那種利用個人資訊的欺詐的最好方法是在源頭上切斷個人資料的供應。
信用監控和身份保護服務可以構成積極主動方法的第三層。雖然這些服務對提高企業安全沒有什麼作用,但它們可以幫助讓員工放心,如果他們的資料被濫用,他們會在問題失去控制之前發現。
寫在最後
即使它沒有出現在企業的資產負債表上,員工的個人資訊也是企業的寶貴資產。隨著90%以上的企業經常遭遇有針對性的網路釣魚攻擊,最大限度地減少員工資料暴露需要成為每個企業安全態勢的關鍵部分。
然而,企業需要建立一個分層的、主動的解決方案,提供真正的安全價值,而不是向員工提供只在事後發揮作用的解決方案。員工隱私太重要了,不能只停留在個人問題上。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31545813/viewspace-2770124/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- SpringBoot如何利用Actuator來監控應用?Spring Boot
- ORACLE資料庫管理員定期監控任務Oracle資料庫
- 谷歌利用資料解決女性員工流失問題谷歌
- AI是如何彌補技術鴻溝的?AI
- 如何監控無線上網(wifi)資料?WiFi
- Java利用執行緒工廠監控執行緒池Java執行緒
- 利用Loadrunner來監控Linux伺服器Linux伺服器
- 利用資料庫trigger對安全進行監控資料庫
- 資料庫監控資料庫
- MongoDB如何使用top命令監控資料庫MongoDB資料庫
- 如何利用資料來支撐設計?
- 工業智慧閘道器如何採集水電錶資料並實現雲端監控
- 搜狐員工遭遇工資補助詐騙 黑產與灰產有何區別 又要如何溯源?
- SAP RETAIL WRMO 補貨監控AI
- 利用jws釋出一個查詢員工資訊的Web服務(員工資訊儲存在資料庫中)Web資料庫
- 如何高效利用 Grafana 監控分析 TiDB 指標GrafanaTiDB指標
- 精讀《如何利用 Nodejs 監聽資料夾》NodeJS
- Squeak 語言和員工電腦監控軟體的關聯分析
- 搭建前端監控,如何採集異常資料?前端
- 資料庫效能監控資料庫
- 監控資料庫活動資料庫
- 前端資料監控到底在監控什麼?前端
- MySQL監控-Datadog資料庫監控調研MySql資料庫
- 【工業閘道器應用方案】資料庫機房遠端監控如何實現?資料庫
- 工業裝置資料採集組態監控解決方案
- 幾個重要的指令碼來監控Oracle資料庫指令碼Oracle資料庫
- 【1分鐘知識點】利用「佔位塊」彌補 space-between 的不足
- 如何使用 taosKeeper 做好監控工作,時序資料庫 TDengine 3.0 監控工具詳解資料庫
- 利用Resource Timing監控資源載入速度
- 滲透技巧——如何巧妙利用PSR監控Windows桌面Windows
- 聊聊如何利用p6spy進行sql監控SQL
- 駕駛員監控系統(DMS)
- 監控採集上報和儲存監控資料策略
- 系統監控&JVM監控指標資料查詢JVM指標
- Mytop工具來監控MySQL資源MySql
- 如何監控ORACLE資料庫表的增長量Oracle資料庫
- LinkedIn:員工資料說蘋果蘋果
- 填坑利器?Redis如何彌補傳統MySQL架構的不足RedisMySql架構