新員工入職對(duì)任何企業(yè)來說都是一個(gè)重要的時(shí)刻——畢竟，這是讓新團(tuán)隊(duì)成員融入公司及其文化的機(jī)會(huì)。但是，入職時(shí)間框架也會(huì)帶來一系列獨(dú)特的安全風(fēng)險(xiǎn)，因?yàn)槠髽I(yè)要與新加入企業(yè)的人分享敏感信息。

本文探討了為什么入職流程和新員工對(duì)網(wǎng)絡(luò)犯罪分子來說具有吸引力，確定入職期間風(fēng)險(xiǎn)最高的領(lǐng)域，并了解減輕這些風(fēng)險(xiǎn)的最佳做法。

為什么新員工是黑客的理想目標(biāo)

新員工加入公司后，會(huì)面臨完全陌生的環(huán)境，對(duì)公司流程、溝通方式或安全協(xié)議知之甚少甚至一無所知。這種知識(shí)的缺乏使他們成為社會(huì)工程攻擊的主要目標(biāo)。

一般來說，黑客會(huì)冒充公司內(nèi)的同事或權(quán)威人物，從而專注于誘騙新加入者泄露敏感信息或授予其安全系統(tǒng)的訪問權(quán)限。

此外，新員工往往非常渴望給同事留下良好、積極的印象。他們希望自己看起來積極參與、積極響應(yīng)、樂于合作，這種熱情可能會(huì)導(dǎo)致他們?cè)跊]有徹底驗(yàn)證其合法性的情況下快速點(diǎn)擊鏈接或附件。

黑客利用這種熱情，精心策劃有針對(duì)性的網(wǎng)絡(luò)釣魚活動(dòng)，這些活動(dòng)更有可能在新員工身上取得成功。

黑客如何識(shí)別新員工？可以通過 LinkedIn 或其他專業(yè)社交平臺(tái)了解同事或前任老板是否有新工作，方法是一樣的。黑客通過 LinkedIn 識(shí)別新員工及其在組織內(nèi)的新職位，然后利用這些信息創(chuàng)建高度個(gè)性化的網(wǎng)絡(luò)釣魚電子郵件或社交工程嘗試，這些嘗試最有可能欺騙新員工。

入職過程中哪些地方會(huì)產(chǎn)生風(fēng)險(xiǎn)

入職過程中存在許多風(fēng)險(xiǎn)。最大的風(fēng)險(xiǎn)之一是共享敏感信息，尤其是密碼。許多企業(yè)仍然依賴不安全的方法與新員工共享密碼，包括通過純文本短信或電子郵件發(fā)送密碼。這些方法容易受到中間人攻擊，黑客會(huì)攔截通信并獲取密碼。

一些公司試圖通過讓經(jīng)理口頭向新員工傳達(dá)密碼來降低這種風(fēng)險(xiǎn)。但盡管這種方法似乎更安全，但現(xiàn)實(shí)是它在保管鏈中引入了另一個(gè)潛在的妥協(xié)點(diǎn)。本質(zhì)上，它使經(jīng)理成為另一個(gè)黑客目標(biāo)，增加了密碼被泄露的可能性。

研究還發(fā)現(xiàn)了密碼泄露的另一個(gè)令人擔(dān)憂的趨勢(shì)：員工通常不會(huì)更改 IT 團(tuán)隊(duì)為其首次登錄提供的“臨時(shí)”登錄密碼。當(dāng)新員工在入職期間獲得臨時(shí)密碼時(shí)，他們可能不會(huì)優(yōu)先將其更改為強(qiáng)大的獨(dú)特密碼。這種疏忽使企業(yè)更容易受到攻擊，因?yàn)檫@些臨時(shí)密碼有可能更弱或很容易被猜到。

如何降低新員工入職風(fēng)險(xiǎn)

為了最大限度地降低新員工入職的風(fēng)險(xiǎn)，企業(yè)應(yīng)遵循以下最佳實(shí)踐：

遵循最小權(quán)限原則：設(shè)置新用戶帳戶時(shí)，僅授予員工執(zhí)行工作職能所需的權(quán)限。限制對(duì)敏感信息和系統(tǒng)的訪問可以減少帳戶被盜用時(shí)的潛在損害。

制定明確的網(wǎng)絡(luò)安全政策：企業(yè)網(wǎng)絡(luò)安全的強(qiáng)度取決于其最薄弱的領(lǐng)域。考慮到這一點(diǎn)，請(qǐng)確保制定全面的安全政策，涵蓋組織數(shù)字環(huán)境的所有方面。這些政策應(yīng)在入職期間明確傳達(dá)給新員工，確保他們了解他們?cè)诰S護(hù)安全工作環(huán)境方面的角色和職責(zé)。

定期進(jìn)行安全意識(shí)培訓(xùn)：為所有員工尤其是新員工提供持續(xù)培訓(xùn)，對(duì)于讓他們了解最新的安全威脅和最佳做法非常重要。培訓(xùn)應(yīng)涵蓋識(shí)別網(wǎng)絡(luò)釣魚企圖、創(chuàng)建強(qiáng)密碼和安全處理敏感信息等主題。

實(shí)施安全的密碼分發(fā)：不要以純文本或口頭方式分享員工的第一個(gè)密碼，而要考慮使用安全的解決方案，例如可以允許新員工通過安全的自助服務(wù)門戶設(shè)置自己的密碼，無需純文本傳輸或口頭交流。必須確保新員工創(chuàng)建符合企業(yè)安全策略的強(qiáng)大而獨(dú)特的密碼。

保護(hù)數(shù)字資產(chǎn)

入職流程為企業(yè)帶來了獨(dú)特的安全挑戰(zhàn)。為了保護(hù)企業(yè)的數(shù)字資產(chǎn)，必須了解為什么新員工會(huì)成為如此有吸引力的黑客目標(biāo)，并確定入職過程中引入風(fēng)險(xiǎn)的領(lǐng)域。

實(shí)施最佳實(shí)踐（包括遵循最小特權(quán)原則和進(jìn)行持續(xù)的安全意識(shí)培訓(xùn)）能夠降低數(shù)據(jù)泄露的可能性。為了獲得更大的保護(hù)，可考慮采用安全的密碼分發(fā)解決方案。