离职员工的安全挑战

关键要点

• 离职员工对 IT 系统和数据安全带来风险，尤其是 API 金钥管理。
• 离职后，员工可能仍会持有敏感资料的访问权限，需及时撤销和审计。
• 给出预警和基线行为有助于及早发现可疑活动。

随著员工的离职，尤其是辞职的情况越来越常见，人力资源和 IT 团队需要管理的不仅仅是离职手续，还有确保离职员工不再能访问他们之前使用的所有应用程序和系统。从
IT 角度来看，这需要特别的注意。

离职员工的管理带来了重大的挑战，尤其是那些负责构建和保护公司云端应用生态系统的人。安全和工程专业人士将云端中不同的系统通过 API金钥、用户、角色和服务账户联结在一起，这为企业的安全政策带来了新的风险。

举例来说，假设 Jane 为一个供应商或团队中其他成员配置了一个 API 金钥，这把金钥给予了对敏感数据的访问权限。这个 API金钥相当于系统密码，很多时候这些金钥的有效期比较长，且经常在不同的工作负载之间共享。

但如果 Jane 辞职了，并提前两周通知了公司，那么她配置的 API 金钥该怎么办？她总共配置了多少个金钥？这些金钥是哪些？目前是谁在使用这些 API金钥？它们又在哪些地方被使用？这些金钥中有多少是共享的？哪些工作负载或机器在使用这些金钥？更重要的是，安全团队如何在身份验证边界的联邦世界中收集这些资讯？在这样的环境中，所有的操作都是以共享的凭证/角色来进行的，因此日志中只会显示进行行为的凭证，这样就无法轻易确认哪些金钥是
Jane 配置的。

尽管 Jane可能是一名优秀的员工，并且她的离职是可以接受的，但她仍然有权访问她配置的金钥。由于撤销金钥将对不同用户和系统产生重大影响，这些金钥很可能在她离职后仍然活跃。此时，公司的一名前员工持有一个
API 金钥，这可能访问了一个最大客户的高度敏感数据。这个例子著重于 API 秘密，但安全团队也应对 Jane 创建的用户、角色、权限和政策进行相似的考量。

这个问题并不是 Jane 或她的同事在工程、安全或类似的 IT 职位中所独有的。当销售人员提交两周通知时，数据安全的担忧同样存在，不单是在
Azure、AWS、Okta 或 GitHub 上，而是 Microsoft 365、GSuite 或其他云应用，例如
Salesforce。我们最近与一位公司的 CISO 交谈，他表示对于离职的销售团队成员及其可能携带的数据感到担忧，有时甚至会携带到直接竞争对手那里。

CISO 说：“当某人离开公司，即使是在良好条件下，我们仍然希望审计其在 GSuite 和 Office365的访问和行为。我们希望识别可疑活动：他们是否访问了某些文件，或与谁分享过这些文件？我们会努力提取这些日志，并在他们提交辞职通知后创建出他们在 GSuite上的日常活动图谱。在不和谐的条件下离职的人更有可能窃取我们公司的数据、销售信息、产品路线图或财务信息。在他们提交通知前不久，这些人往往会频繁下载本地文件。”