您可能阅读了这篇文章的标题,并想到了自己“ 没办法-我的用户不会 共享密码!”认为是合理的。毕竟,你 做 最了解您的用户。但是,让我们暂时搁置怀疑,并考虑一下组织内部是否发生这种活动所带来的后果。
对于组织而言,当今最大的风险之一就是数据泄露的威胁。网络罪犯和内部人员都敏锐地意识到公司数据的价值。随着数据泄露威胁参与者的分裂,外部威胁因素占75%,内部威胁因素占25%1,当 密码共享 添加到混合中。
在外部攻击中 威胁者寻找证件 以此作为扩大他们在网络中的影响力的一种手段。如果用户共享密码,则威胁参与者可以访问给定端点上的更多凭据集,从而增加了成功的机会。在内部威胁场景中,恶意内部人员只有其凭据为其提供的访问权限。但是,如果它们是共享凭据的接收者,则它们有可能会扩大他们有权访问的数据范围,作为进行数据盗窃,欺诈等的基础。
但是,密码共享确实对用户有用吗?
一句话 是。在一个 最近的研究 我们认为,有49%的员工(来自法务,人事,IT,财务等重要部门)表示与同事共享其证书2.
因此,您有大约一半的用户在共享密码时都无需三思而后行。而且,尽管您仍然非常喜欢“不是我工作的地方”,我向您表示您从未真正 问 用户,如果他们共享密码, 有你吗?即使您这样做了,他们也很清楚,即使不是完全违背公司政策,他们也会对此感到不满–因此他们不会完全告诉您“哦,是的!我一直和Sally共享密码!”相信数据– 您的用户正在共享密码.
那么,如何停止密码共享?
需要采取一些步骤:
步骤1 –实施和传达公司政策
Shadow IT在前几年的兴起使我们知道,留给自己的设备的用户可以围绕IT工作,以完成工作。这可以包括密码共享。所以, 建立禁止共享密码的公司政策 – 和 then 沟通 它对用户来说是第一步。记住,直到你还不错 告诉 他们是。
第2步–通过控制措施实施政策
假设您在Microsoft环境中工作,则Active Directory确实具有一定级别的控制权,可以控制给定用户可以从哪些工作站以及一天中的什么时间登录网络。尽管这些内容最多是有限的(实际上, AD未能提供真正的访问控制),您应该放 某事 限制其他用户可以在何时何地使用Sally的密码。
一组更高级的控件,例如 限制并发登录 和 强制注销超出允许的时间只能通过使用第三方解决方案来找到。
步骤3 –监视登录
第1步和第2步实际上是关于建立一个对共享密码的用户不友好的环境。但是要确定这些政策和控制措施是否有效,有必要知道谁在何时何地登录。萨利是否已同时登录两台计算机,还是周日凌晨3点在家登录,这无所不包。
不幸的是,Microsoft几乎没有集中监视登录活动-它是按系统记录的,并且至少需要集中事件日志以及某种分析和警报功能。
您想要到达这里的不仅仅是 信息 –例如每个用户登录时–但是 可行情报 在此通知您异常可能是违反公司政策或清除不当行为的危险信号的异常。
由于专注于集中事件日志的解决方案通常没有分析功能(要查看多个事件以查看Sally的登录何时超出正常范围),因此您应该寻找专门针对第三方的解决方案 监视登录活动.
停止密码共享
至少,到目前为止,您至少处于“好-密码共享是一件实事扎营,并意识到您需要为此做些事情。通过采取措施实施策略,控制和监视,可以最大程度地(即使不是完全停止)密码共享。这将减少您的组织面临内部和外部威胁的风险,并总体上创建一个更安全的环境。
1 Verizon, 数据泄露调查报告(2017)
2 IS决策 内幕威胁角色研究(2017)