离职员工的安全挑战
关键要点
- 离职员工对 IT 系统和数据安全带来风险,尤其是 API 金钥管理。
- 离职后,员工可能仍会持有敏感资料的访问权限,需及时撤销和审计。
- 给出预警和基线行为有助于及早发现可疑活动。
随著员工的离职,尤其是辞职的情况越来越常见,人力资源和 IT 团队需要管理的不仅仅是离职手续,还有确保离职员工不再能访问他们之前使用的所有应用程序和系统。从
IT 角度来看,这需要特别的注意。
离职员工的管理带来了重大的挑战,尤其是那些负责构建和保护公司云端应用生态系统的人。安全和工程专业人士将云端中不同的系统通过 API金钥、用户、角色和服务账户联结在一起,这为企业的安全政策带来了新的风险。
举例来说,假设 Jane 为一个供应商或团队中其他成员配置了一个 API 金钥,这把金钥给予了对敏感数据的访问权限。这个 API金钥相当于系统密码,很多时候这些金钥的有效期比较长,且经常在不同的工作负载之间共享。
但如果 Jane 辞职了,并提前两周通知了公司,那么她配置的 API 金钥该怎么办?她总共配置了多少个金钥?这些金钥是哪些?目前是谁在使用这些 API金钥?它们又在哪些地方被使用?这些金钥中有多少是共享的?哪些工作负载或机器在使用这些金钥?更重要的是,安全团队如何在身份验证边界的联邦世界中收集这些资讯?在这样的环境中,所有的操作都是以共享的凭证/角色来进行的,因此日志中只会显示进行行为的凭证,这样就无法轻易确认哪些金钥是
Jane 配置的。
尽管 Jane可能是一名优秀的员工,并且她的离职是可以接受的,但她仍然有权访问她配置的金钥。由于撤销金钥将对不同用户和系统产生重大影响,这些金钥很可能在她离职后仍然活跃。此时,公司的一名前员工持有一个
API 金钥,这可能访问了一个最大客户的高度敏感数据。这个例子著重于 API 秘密,但安全团队也应对 Jane 创建的用户、角色、权限和政策进行相似的考量。
这个问题并不是 Jane 或她的同事在工程、安全或类似的 IT 职位中所独有的。当销售人员提交两周通知时,数据安全的担忧同样存在,不单是在
Azure、AWS、Okta 或 GitHub 上,而是 Microsoft 365、GSuite 或其他云应用,例如
Salesforce。我们最近与一位公司的 CISO 交谈,他表示对于离职的销售团队成员及其可能携带的数据感到担忧,有时甚至会携带到直接竞争对手那里。
CISO 说:“当某人离开公司,即使是在良好条件下,我们仍然希望审计其在 GSuite 和 Office365的访问和行为。我们希望识别可疑活动:他们是否访问了某些文件,或与谁分享过这些文件?我们会努力提取这些日志,并在他们提交辞职通知后创建出他们在 GSuite上的日常活动图谱。在不和谐的条件下离职的人更有可能窃取我们公司的数据、销售信息、产品路线图或财务信息。在他们提交通知前不久,这些人往往会频繁下载本地文件。”