新員工入職對任何企業(yè)來說都是一個重要的時刻——畢竟，這是讓新團隊成員融入公司及其文化的機會。但是，入職時間框架也會帶來一系列獨特的安全風險，因為企業(yè)要與新加入企業(yè)的人分享敏感信息。

本文探討了為什么入職流程和新員工對網(wǎng)絡犯罪分子來說具有吸引力，確定入職期間風險最高的領域，并了解減輕這些風險的最佳做法。

為什么新員工是黑客的理想目標

新員工加入公司后，會面臨完全陌生的環(huán)境，對公司流程、溝通方式或安全協(xié)議知之甚少甚至一無所知。這種知識的缺乏使他們成為社會工程攻擊的主要目標。

一般來說，黑客會冒充公司內的同事或權威人物，從而專注于誘騙新加入者泄露敏感信息或授予其安全系統(tǒng)的訪問權限。

此外，新員工往往非?？释o同事留下良好、積極的印象。他們希望自己看起來積極參與、積極響應、樂于合作，這種熱情可能會導致他們在沒有徹底驗證其合法性的情況下快速點擊鏈接或附件。

黑客利用這種熱情，精心策劃有針對性的網(wǎng)絡釣魚活動，這些活動更有可能在新員工身上取得成功。

黑客如何識別新員工？可以通過 LinkedIn 或其他專業(yè)社交平臺了解同事或前任老板是否有新工作，方法是一樣的。黑客通過 LinkedIn 識別新員工及其在組織內的新職位，然后利用這些信息創(chuàng)建高度個性化的網(wǎng)絡釣魚電子郵件或社交工程嘗試，這些嘗試最有可能欺騙新員工。

入職過程中哪些地方會產(chǎn)生風險

入職過程中存在許多風險。最大的風險之一是共享敏感信息，尤其是密碼。許多企業(yè)仍然依賴不安全的方法與新員工共享密碼，包括通過純文本短信或電子郵件發(fā)送密碼。這些方法容易受到中間人攻擊，黑客會攔截通信并獲取密碼。

一些公司試圖通過讓經(jīng)理口頭向新員工傳達密碼來降低這種風險。但盡管這種方法似乎更安全，但現(xiàn)實是它在保管鏈中引入了另一個潛在的妥協(xié)點。本質上，它使經(jīng)理成為另一個黑客目標，增加了密碼被泄露的可能性。

研究還發(fā)現(xiàn)了密碼泄露的另一個令人擔憂的趨勢：員工通常不會更改 IT 團隊為其首次登錄提供的“臨時”登錄密碼。當新員工在入職期間獲得臨時密碼時，他們可能不會優(yōu)先將其更改為強大的獨特密碼。這種疏忽使企業(yè)更容易受到攻擊，因為這些臨時密碼有可能更弱或很容易被猜到。

如何降低新員工入職風險

為了最大限度地降低新員工入職的風險，企業(yè)應遵循以下最佳實踐：

遵循最小權限原則：設置新用戶帳戶時，僅授予員工執(zhí)行工作職能所需的權限。限制對敏感信息和系統(tǒng)的訪問可以減少帳戶被盜用時的潛在損害。

制定明確的網(wǎng)絡安全政策：企業(yè)網(wǎng)絡安全的強度取決于其最薄弱的領域?？紤]到這一點，請確保制定全面的安全政策，涵蓋組織數(shù)字環(huán)境的所有方面。這些政策應在入職期間明確傳達給新員工，確保他們了解他們在維護安全工作環(huán)境方面的角色和職責。

定期進行安全意識培訓：為所有員工尤其是新員工提供持續(xù)培訓，對于讓他們了解最新的安全威脅和最佳做法非常重要。培訓應涵蓋識別網(wǎng)絡釣魚企圖、創(chuàng)建強密碼和安全處理敏感信息等主題。

實施安全的密碼分發(fā)：不要以純文本或口頭方式分享員工的第一個密碼，而要考慮使用安全的解決方案，例如可以允許新員工通過安全的自助服務門戶設置自己的密碼，無需純文本傳輸或口頭交流。必須確保新員工創(chuàng)建符合企業(yè)安全策略的強大而獨特的密碼。

保護數(shù)字資產(chǎn)

入職流程為企業(yè)帶來了獨特的安全挑戰(zhàn)。為了保護企業(yè)的數(shù)字資產(chǎn)，必須了解為什么新員工會成為如此有吸引力的黑客目標，并確定入職過程中引入風險的領域。

實施最佳實踐（包括遵循最小特權原則和進行持續(xù)的安全意識培訓）能夠降低數(shù)據(jù)泄露的可能性。為了獲得更大的保護，可考慮采用安全的密碼分發(fā)解決方案。