过去几年,家庭工作场所受到了更清晰的关注,并受到了更严格的审查. 随着越来越多的劳动力从集体工作场所转移到不同的家庭地点, 澳门赌场官方下载已经实现了一些额外的安全控制和技术,以便在物理上不那么安全的环境中保持澳门赌场官方下载数据的安全. 这些控制包括加密连接隧道, 例如澳门赌场官方下载vpn, 到端点虚拟容器化.
虽然这些控制为工作人员提供了更大的灵活性,并且已经, 在很多情况下, 带来了更强劲的运营收入和收益, 重要的是,公司要确保正确的控制措施到位,并确保这些措施得到遵守, 适当地, 公司员工. 这是控制管理不善的一个例子, 最近得到LastPass的认可, 说明错误的控制(或缺乏对正确控制的遵守)可能成为代价高昂的公司事件.
本周,LastPass发布了一篇博客文章 共享新开发的详细信息 公司关键数据. 已经受到了2022年发生的一次高度曝光事件的影响, LastPass注意到,当一名威胁行为者成功地在LastPass DevOps工程师的家用电脑上安装了键盘记录恶意软件时,还发生了另一起事件. 使用键盘记录程序, 攻击者能够在员工输入主密码时捕获该密码, 员工通过澳门赌场官方下载多因素认证后. 攻击者随后获得了工程师公司保险库的访问权限,并导出了保险库条目和共享文件, 其中包含加密的安全笔记,以及访问LastPass资源所需的访问和解密密钥. 目前尚不清楚攻击者能够在多大程度上利用窃取的信息, 很明显,他们能够利用这一点, 因为直到LastPass收到亚马逊的异常行为警告后才注意到这次攻击, 它的托管提供商.
虽然LastPass明确表示,事件发生后已经采取了几项课程纠正措施,以防止类似的黑客攻击, 认为这种剥削是可以预防的观点仍然存在. 具体来说,应该仔细检查的一个控制是LastPass可接受使用策略(AUP)。. 这些重要文件为员工提供了一套公司应用的规则,解释了员工访问或使用公司网络的方法, 设备或数据. 这些策略中的许多都要求只能在公司系统上访问和管理公司数据. 这个特定的规定允许组织控制对重要信息的物理和逻辑访问, 例如业务操作和客户数据.
由于商业世界已经演变为更加分布式和远程的配置, 澳门赌场官方下载的upp也需要额外的审查. 具体地说, 澳门赌场官方下载应该认真考虑自带设备办公(BYOD)理念的适用性,并考虑管理不善可能带来的安全隐患. 具体地说, 当公司实施BYOD政策时, 公司的安全团队无法控制的环境中引入了几个因素. 每个端点带来唯一的配置文件, 软件构建和用户特征融入到组织环境中. 而虚拟容器化通过启用设备监视和远程擦除提供了一定级别的安全性, 这远不是灵丹妙药. LastPass是否限制了公司控制的设备访问公司数据, 哪些只能通过安全VPN访问数据, 工程师可能有更大的机会避免妥协.
关于该事件的另一个考虑重点是违反AUP的后果. 考虑一下LastPass这样做的可能性, 事实上, 是否规定公司数据访问只能通过公司控制的系统进行. 许多aup指出,违规将招致严重后果, 通常包括被公司解雇. 然而, 很少有人因为违反政策而被解雇, 最近的事件也不例外. 具体地说, LastPass”帮助DevOps工程师加强了家庭网络和个人资源的安全性.“没有牙齿, 这些政策只不过是法律发现的脆弱责任机制.
不断变化的澳门赌场官方下载世界需要能够跟上时代的安全控制. 这包括从更新的技术配置到相关策略实现的所有内容. 实现这一目标的一种方法是仔细开发、分析和更新可执行的upp. 这样做,澳门赌场官方下载界就有更大的机会避免LastPass再次被利用.
