Ngày 03 tháng 1 năm 2023Tin tức về hackerTự động hóa bảo mật / An ninh mạng
Những thách thức với cách tiếp cận dựa trên thực thi
Phương pháp tiếp cận bảo mật dựa trên thực thi bắt đầu bằng chính sách bảo mật được hỗ trợ bởi các biện pháp kiểm soát bảo mật, thường là mạnh tay và được thiết kế để ngăn nhân viên tham gia vào hành vi nguy hiểm hoặc vô tình mở rộng bề mặt tấn công tiềm ẩn của một tổ chức.
Hầu hết các tổ chức chỉ sử dụng các biện pháp kiểm soát bảo mật dựa trên thực thi, thường được thực hiện ở cấp độ mạng với Nhà môi giới bảo mật truy cập đám mây (CASB) hoặc Biên dịch vụ bảo mật (SSE). CASB bảo mật dữ liệu giữa kiến trúc tại chỗ và đám mây, xác thực quy tắc ủy quyền và kiểm soát truy cập theo chính sách bảo mật của công ty. Một số tổ chức cũng sử dụng CASB để chặn các ứng dụng SaaS, nhưng giống như SSE, CASB chỉ hỗ trợ một số ứng dụng.
Các ứng dụng mà các công cụ này không hỗ trợ thường có rủi ro cao nhất vì chúng không đáp ứng các tiêu chuẩn bảo mật và chung của ngành, bao gồm SAML để xác thực và SCIM để quản lý người dùng. Tại Cerby, chúng được gọi là “ứng dụng không thể quản lý” và theo nghiên cứu của họ, 61% ứng dụng SaaS không thể quản lý được. Các ứng dụng không thể quản lý rất phổ biến và trong thế giới hậu COVID, tốc độ nhân viên mua và triển khai chúng đã đạt đến một tầm cao mới.
Trước COVID, các bộ phận CNTT chịu trách nhiệm chính trong việc mua và triển khai các ứng dụng trong toàn tổ chức. Việc chuyển sang làm việc từ xa đã trao quyền cho nhân viên trong các tổ chức lựa chọn các công cụ của riêng họ. Đồng thời, quá trình số hóa nhanh chóng đã mang lại cho họ nhiều lựa chọn công cụ để lựa chọn, gây ra sự gia tăng đột biến trong các ứng dụng khó quản lý.
Người dùng trung bình thường không nghĩ đến bảo mật trước tiên. Hầu hết mọi người có xu hướng cho rằng các ứng dụng được bảo mật và một số có thể không quan tâm đến bảo mật. Hầu hết người dùng quan tâm đến các tính năng thân thiện với người dùng, thiết kế thẩm mỹ và sự tiện lợi. Để đáp ứng những yêu cầu thay đổi này, các nhà cung cấp ứng dụng đã thay đổi lộ trình sản phẩm của họ; đối với nhiều người trong số họ, bảo mật không còn là ưu tiên hàng đầu.
Cho dù nhân viên có biết hay không, các ứng dụng không thể quản lý có thể ảnh hưởng tiêu cực đến bảo mật của tổ chức và thường tạo ra nhiều công việc hơn cho các nhóm công nghệ. Ai đó phải theo dõi các ứng dụng không thể quản lý, kích hoạt thủ công các tính năng như xác thực hai yếu tố (2FA) và thực thi mật khẩu mạnh.
Để loại bỏ gánh nặng, nhiều tổ chức chặn hoặc cấm các ứng dụng không thể quản lý.
Hoàn toàn có thể hiểu được tại sao các tổ chức áp dụng phương pháp này – đó là một cách nhanh chóng và nhất quán để giải quyết một vấn đề cấp bách và đáng lo ngại. Tuy nhiên, với tư cách là một giải pháp lâu dài, toàn diện, một hệ thống hoàn toàn dựa trên thực thi pháp luật sẽ không bền vững hoặc không thực tế trong thực tế.
Nhân viên thích chọn các ứng dụng công việc của họ, và 92% nhân viên và người quản lý muốn kiểm soát hoàn toàn việc lựa chọn ứng dụng. Sự thay đổi hành vi này tạo ra một số thách thức bất ngờ cho các tổ chức có cách tiếp cận dựa trên thực thi.
Chẳng hạn, nhiều nhân viên sử dụng các ứng dụng bị cấm hoặc bị chặn cũng cố gắng quản lý quyền truy cập theo cách thủ công, ngay cả khi họ không được trang bị đầy đủ. Theo nghiên cứu của chúng tôi, nhân viên và người quản lý đang tăng cường quản lý quyền truy cập khi họ thực hiện, tạo ra rủi ro và khả năng tiếp xúc cho các tổ chức tại mọi điểm tương tác.
Vì vậy, giải pháp là gì? Một tư thế thực tế hơn và hướng về phía trước giúp cân bằng lựa chọn ứng dụng của nhân viên và các ưu tiên của chủ lao động như bảo mật và tuân thủ.
Lợi ích của phương pháp tiếp cận dựa trên tuyển sinh
Phương pháp tiếp cận an ninh mạng dựa trên đăng ký trao quyền cho nhân viên có nhiều quyền tự do và quyền tự chủ cá nhân và lựa chọn hơn, đồng thời thu hút họ tham gia tích cực vào các nỗ lực tuân thủ và bảo mật trên toàn doanh nghiệp. Không giống như các hệ thống dựa trên thực thi, cách tiếp cận dựa trên đăng ký cho phép nhân viên chọn các ứng dụng họ muốn sử dụng cho công việc.
Cerby ra đời do nhu cầu trước đây chưa được đáp ứng về một giải pháp cân bằng giữa việc thực thi và tuyển sinh, đồng thời cho phép an ninh và quyền tự chủ chung sống hòa bình. Tạo sự cân bằng này là câu trả lời tốt nhất cho cả tổ chức và nhân viên. Nhân viên nên có thể chọn các ứng dụng của họ và nhà tuyển dụng không nên lo lắng về bảo mật.
Khi nhân viên hiểu rằng lựa chọn ứng dụng đi kèm với trách nhiệm và luôn có sẵn các công cụ phù hợp để thực hiện điều này, thì vấn đề bảo mật sẽ trở thành mối quan tâm của mọi người. Khi có thể truy cập các ứng dụng tự đăng ký và đăng ký, chính những nhân viên phản đối các chính sách về lựa chọn ứng dụng sẽ sẵn sàng tham gia với bảo mật dễ dàng hơn và được tăng cường cũng như lợi ích của việc tuân thủ.
Hãy xem báo cáo này để tìm hiểu sâu hơn về cách bạn có thể trao quyền cho nhân viên của mình quyền tự do sử dụng các ứng dụng yêu thích của họ trong khi vẫn dễ dàng giữ an toàn cho họ với Cerby.
