问题:面对员工流失,您如何保证 SaaS 应用程序的安全?
Wing Security 首席执行官兼联合创始人 Noam Shaar: 简而言之,您需要合适的工具。
当今劳动力的流动性和人们换工作的加快步伐给公司带来了新的网络安全挑战。 这 美国的普通工人 在他们的职业生涯中将为 12 家雇主工作,典型的任期只有四年多。 每个退出的员工都会留下一系列外部访问点,从而产生潜在的漏洞。
当员工转换公司和角色时,访问点保持打开状态。 不良行为者可以使用此访问权限渗透网络并窃取有价值的资产,包括专有信息和财务数据。 根据一个 来自 OneLogin 的投票,一家身份管理公司,近四分之一的 IT 决策者表示,未能将员工从公司应用程序中移除导致数据泄露。 其中,47% 的人表示,超过 10% 的数据泄露事件是由前雇员造成的。
组织可能有多个暴露的帐户,可以为恶意活动提供入口点。 在一个 高调案例,思科的一名前工程师因在离开后破坏公司网络,删除了数千个 Webex 帐户而被判处两年徒刑。 当然,这只是已知事件之一。
虽然许多软件即服务 (SaaS) 应用程序提供内置的安全控制,但企业不应该因为它们来自知名供应商就认为它们是安全的。 威胁行为者通常合谋或出售攻击方法来闯入这些系统,或者他们会利用他们已经可以访问的组织。
SaaS 安全解决方案可以帮助安全团队了解谁在使用 所有这些应用 并确保应用程序和使用都是安全的。 这不仅加强了整体安全性,还可以快速显示 离职经常留下的空白. 最佳实践包括:
- 使用工具来观察不一致。 大量人使用的多种产品通常揭示了一种使用模式。 当行为超出该规范时,通常表明出现了问题。 利用可以监控此行为并在必要时提醒您的团队的工具。
- 给你的花园除草。 通过摆脱未访问的应用程序来降低风险至关重要——它们没有用处,而且它们创造了一个潜在的机会。 说到应用程序,公司的座右铭应该是:“如果它们不被使用,我们可能就不需要它们。”
- 尽可能自动执行下线任务。 人力资源人员必须在员工离职期间严格控制。 一项重要任务是通知技术团队停止访问,这可以通过安全和监控解决方案轻松实现自动化。 虽然 HR 成员仍然希望通知技术领导者,但如果该流程被忽视,则采取适当的保障措施可以消除差距。
SaaS 应用程序提高了效率并扩展了远程工作能力,但员工不再希望整个职业生涯都在一家公司度过。 申请数量和周转率的上升增加了风险。 可以使用正确的工具和流程来管理这种风险,但是太多的组织尚未改变他们的心态。
