Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Lý do đáng lo ngại tại sao Bộ phận trợ giúp của bạn có thể là lỗ hổng bảo mật lớn nhất của bạn

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 219

Bộ phận trợ giúp doanh nghiệp từ lâu đã trở thành mục tiêu yêu thích của những người muốn tìm kiếm sử dụng các kế hoạch kỹ thuật xã hội như một cách để thâm nhập vào hệ thống phòng thủ không gian mạng của tổ chức. Tuy nhiên, những mối đe dọa như vậy luôn hiện diện, bộ phận trợ giúp đặt ra một mối đe dọa khác, nghiêm trọng hơn nhiều mà thường bị bỏ qua. Mối đe dọa này xuất phát từ thực tế là các nhân viên bộ phận trợ giúp thường tiếp xúc với thông tin có thể giúp họ truy cập vào dữ liệu nhạy cảm nhất của tổ chức.

Mọi tổ chức đều muốn cho rằng nhân viên bộ phận trợ giúp của họ là đáng tin cậy và trong hầu hết các trường hợp, nhân viên bộ phận trợ giúp có thể không có ý đồ xấu. Tuy nhiên, đã có những trường hợp nhân viên lừa đảo sử dụng dữ liệu của tổ chức để trục lợi cá nhân, như trường hợp trong Trend Micro vi phạm vài năm trước. Với mức độ thiệt hại mà kỹ thuật viên hỗ trợ lừa đảo có thể gây ra, việc thực hiện các bước để hạn chế khả năng gây hại là điều hợp lý.

Sự chuyển đổi sang Zero Trust
Một trong những sáng kiến ​​an ninh mạng quan trọng trong nhiều năm qua là hướng tới bảo mật không tin cậy. Việc hạn chế nhân viên bộ phận trợ giúp tiếp xúc với thông tin có độ nhạy cảm cao hoàn toàn phù hợp với các sáng kiến ​​không tin cậy hiện có. Tuy nhiên, việc thực hiện các biện pháp kiểm soát như vậy có thể khó khăn hơn nhiều. Rốt cuộc, làm thế nào một tổ chức có thể đặt giới hạn một cách thực tế cho đội ngũ nhân viên hỗ trợ của mình mà không ảnh hưởng đến khả năng thực hiện công việc của họ?

Bước đầu tiên tốt để mang lại sự tin cậy bằng không cho bộ phận trợ giúp là xác định các tình huống có thể khiến nhân viên bộ phận trợ giúp sở hữu thông tin nhạy cảm hoặc có khả năng gây tổn hại. Khi những tình huống đó đã được xác định, tổ chức có thể nỗ lực tìm ra các phương pháp hỗ trợ thay thế có thể khiến nhân viên bộ phận trợ giúp lừa đảo khó gây tổn hại hơn.

Đặt lại mật khẩu tự phục vụ để bảo mật và kiểm soát chi phí
Nhiều tổ chức đã triển khai khả năng đặt lại mật khẩu tự phục vụ bằng công cụ như Specops uReset hoặc một cái gì đó tương tự; điều này thường được thực hiện chủ yếu như một biện pháp cắt giảm chi phí. MỘT 2Nghiên cứu 020 của Gartner ước tính rằng “phiếu mật khẩu tiêu tốn 31% đến 40% thời gian của bộ phận trợ giúp”, con số này có thể tăng thêm. Tuy nhiên, cơ chế đặt lại mật khẩu tự phục vụ cũng có thể giúp cải thiện tính bảo mật vì nó làm giảm đáng kể số lượng yêu cầu đặt lại mật khẩu mà nhân viên bộ phận trợ giúp nhận được. Điều đó có nghĩa là các yêu cầu được gửi tới bộ phận trợ giúp có thể sẽ được xem xét kỹ lưỡng hơn so với trường hợp bộ phận trợ giúp phản hồi một lượng lớn yêu cầu đặt lại mật khẩu mỗi ngày.

Cung cấp cho người dùng khả năng đặt lại mật khẩu của riêng họ là bước đầu tiên tuyệt vời, nhưng điều đó không loại bỏ nhu cầu nhân viên bộ phận trợ giúp có thể đặt lại mật khẩu của người dùng. Đôi khi có thể có những tình huống trong đó người dùng cần một chút trợ giúp thêm về việc đặt lại mật khẩu. Việc nhân viên bộ phận trợ giúp vẫn có thể đặt lại mật khẩu có nghĩa là nhân viên bộ phận trợ giúp lừa đảo có thể đặt lại mật khẩu được liên kết với tài khoản nhạy cảm như một cách để có quyền truy cập vào tài khoản đó.

Sự cố với việc xác thực yêu cầu đặt lại mật khẩu
Một vấn đề khác nằm ở cách nhân viên bộ phận trợ giúp xác thực các yêu cầu đặt lại mật khẩu. Như đã lưu ý trước đó, bộ phận trợ giúp từ lâu đã trở thành mục tiêu ưa thích của những người mong muốn sử dụng các chương trình kỹ thuật xã hội như một cách để có được quyền truy cập vào một tổ chức. Do đó, hầu hết các tổ chức đã đưa ra các chính sách yêu cầu kỹ thuật viên bộ phận trợ giúp thực hiện điều gì đó để xác thực danh tính của người gọi trước khi đưa ra yêu cầu đặt lại mật khẩu. Tuy nhiên, quy trình xác thực được thiết kế để bảo vệ tổ chức cũng có thể đưa thông tin cực kỳ nhạy cảm vào tay kỹ thuật viên bộ phận trợ giúp lừa đảo.

Hãy tưởng tượng trong giây lát rằng một người dùng cấp cao liên hệ với bộ phận trợ giúp để mở khóa tài khoản và đặt lại mật khẩu của họ. Kỹ thuật viên có thể xác thực danh tính của người gọi bằng cách hỏi họ một câu hỏi bảo mật và người gọi sẽ trả lời. Các nhân viên trợ giúp bây giờ đã biết câu trả lời cho câu hỏi bảo mật của người gọi!

Đặt lại mật khẩu không tin cậy
Với ý nghĩ đó, hãy xem xét cách tiếp cận không tin cậy đối với việc đặt lại mật khẩu và mở khóa tài khoản có thể trông như thế nào. Quá trình bắt đầu khi người dùng liên hệ với bộ phận trợ giúp để tìm kiếm sự trợ giúp. Như trước đây, nhân viên bộ phận trợ giúp cần làm gì đó để xác thực danh tính của người gọi. Tuy nhiên, thay vì yêu cầu người gọi trả lời câu hỏi bảo mật của họ, kỹ thuật viên có thể yêu cầu người gọi cung cấp ba chữ cái cuối cùng của câu trả lời cho câu hỏi. Bằng cách đó, kỹ thuật viên không bao giờ có được câu trả lời đầy đủ. Thay vào đó, người dùng có thể được yêu cầu xác thực danh tính của họ thông qua mã được gửi đến điện thoại thông minh của họ hoặc bằng cách đăng nhập vào nhà cung cấp danh tính khác.

Mặc dù đây là một khởi đầu tốt, nhưng vẫn còn một mảnh ghép cực kỳ quan trọng nữa. Quá trình xác thực danh tính người dùng cần phải được xây dựng theo cách mà kỹ thuật viên bộ phận trợ giúp không thể đặt lại mật khẩu của người dùng cho đến khi danh tính của họ được xác thực. Điều này không chỉ bảo vệ khỏi các cuộc tấn công lừa đảo qua mạng mà còn ngăn chặn kỹ thuật viên lừa đảo thực hiện việc đặt lại mật khẩu trái phép nhằm mục đích giành quyền truy cập vào tài khoản của người dùng.

Khả năng đặt lại mật khẩu được tích hợp vào Active Directory và các dịch vụ xác thực thông dụng khác thiếu các tính năng cho phép sử dụng chúng trong môi trường không tin cậy, vì vậy sử dụng phần mềm của bên thứ ba là lựa chọn khả thi duy nhất. Một công cụ như Bàn dịch vụ bảo mật Specops mang lại sự tin cậy bằng không cho bộ phận trợ giúp bằng cách cung cấp cho các tổ chức những công cụ họ cần để xác minh danh tính người dùng một cách tích cực bằng cách thực thi xác thực người dùng. Bất kỳ giải pháp phần mềm nào bạn sử dụng cũng phải ngăn cản các kỹ thuật viên thực hiện việc đặt lại mật khẩu trái phép hoặc giành quyền truy cập vào câu trả lời cho các câu hỏi bảo mật của người dùng.

Lưu ý

Ảnh của Brian Posey

Brien Posey là tác giả và diễn giả về công nghệ bán chạy nhất trên toàn thế giới và là MVP của Microsoft 20 lần. Ngoài 30 năm kinh nghiệm về CNTT, Posey đã dành vài năm đào tạo trở thành ứng viên phi hành gia thương mại để chuẩn bị cho sứ mệnh nghiên cứu các đám mây trung lưu vùng cực từ không gian. Bạn có thể truy cập trang web của Posey tại http://www.brienposey.com.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.