过去几年,家庭工作场所受到了更清晰的关注,并受到了更严格的审查. 随着越来越多的劳动力从集体工作场所转移到不同的家庭地点, 澳门赌场官方下载已经实现了一些额外的安全控制和技术,以便在物理上不那么安全的环境中保持澳门赌场官方下载数据的安全. 这些控制包括加密连接隧道, such as corporate VPNs, to endpoint virtual containerization.
虽然这些控制为工作人员提供了更大的灵活性,并且已经, in many instances, 带来了更强劲的运营收入和收益, 重要的是,公司要确保正确的控制措施到位,并确保这些措施得到遵守, appropriately, by company staff. One example of control mismanagement, recently acknowledged by LastPass, 说明错误的控制(或缺乏对正确控制的遵守)可能成为代价高昂的公司事件.
This week, LastPass released a blog post that shared details on a new exploitation of key corporate data. 已经受到了2022年发生的一次高度曝光事件的影响, LastPass注意到,当一名威胁行为者成功地在LastPass DevOps工程师的家用电脑上安装了键盘记录恶意软件时,还发生了另一起事件. Using the keylogger, 攻击者能够在员工输入主密码时捕获该密码, 员工通过澳门赌场官方下载多因素认证后. 攻击者随后获得了工程师公司保险库的访问权限,并导出了保险库条目和共享文件, 其中包含加密的安全笔记,以及访问LastPass资源所需的访问和解密密钥. 目前尚不清楚攻击者能够在多大程度上利用窃取的信息, it was clear that they were able to leverage it, 因为直到LastPass收到亚马逊的异常行为警告后才注意到这次攻击, its hosting provider.
虽然LastPass明确表示,事件发生后已经采取了几项课程纠正措施,以防止类似的黑客攻击, 认为这种剥削是可以预防的观点仍然存在. 具体来说,应该仔细检查的一个控制是LastPass可接受使用策略(AUP)。. 这些重要文件为员工提供了一套公司应用的规则,解释了员工访问或使用公司网络的方法, devices or data. 这些策略中的许多都要求只能在公司系统上访问和管理公司数据. 这个特定的规定允许组织控制对重要信息的物理和逻辑访问, such as business operations and client data.
由于商业世界已经演变为更加分布式和远程的配置, corporate AUPs require additional scrutiny as well. Specifically, 澳门赌场官方下载应该认真考虑自带设备办公(BYOD)理念的适用性,并考虑管理不善可能带来的安全隐患. Specifically, when BYOD policies are implemented in a company, 公司的安全团队无法控制的环境中引入了几个因素. Each endpoint brings unique configuration profiles, 软件构建和用户特征融入到组织环境中. 而虚拟容器化通过启用设备监视和远程擦除提供了一定级别的安全性, it is far from a silver bullet. LastPass是否限制了公司控制的设备访问公司数据, 哪些只能通过安全VPN访问数据, 工程师可能有更大的机会避免妥协.
关于该事件的另一个考虑重点是违反AUP的后果. Consider the possibility that LastPass may, in fact, 是否规定公司数据访问只能通过公司控制的系统进行. 许多aup指出,违规将招致严重后果, often including termination from the company. However, 很少有人因为违反政策而被解雇, and this most recent incident is no exception. Specifically, LastPass”帮助DevOps工程师加强了家庭网络和个人资源的安全性.” Without teeth, 这些政策只不过是法律发现的脆弱责任机制.
不断变化的澳门赌场官方下载世界需要能够跟上时代的安全控制. 这包括从更新的技术配置到相关策略实现的所有内容. 实现这一目标的一种方法是仔细开发、分析和更新可执行的upp. 这样做,澳门赌场官方下载界就有更大的机会避免LastPass再次被利用.
