个人与职业数字空间的界限已消亡

关键要点

• 个人设备（如智能手机、笔记本电脑、平板和智能手表）在工作与个人生活中无缝切换，给企业安全带来挑战。
• 80%的员工通过个人设备访问工作应用，但36%的员工未及时安装安全补丁，63%的人使用个人账户处理工作文件。
• 企业需要更新安全政策，实施先进的访问控制和安全教育，以应对复杂的安全威胁。

在数字化发展与远程工作日益普及的背景下，个人和工作数字空间的传统界限已消失。如今，员工可以在许多私有设备上无缝访问工作应用，如智能手机、笔记本电脑、平板电脑，甚至智能手表。这一变化给企业安全团队带来了严峻的挑战：由于个人设备缺乏企业级安全控制，但已成为日常运营的重要组成部分，我们必须超越将其视为单一设备问题的思维方式，而是需要拥抱一种新的范式——自带生态系统（BYOE）。

**SC Media Perspectives专栏由SC Media网络安全领域的可信专家撰写。 ** . **

挑战的规模

我们针对超过14,000名办公室工作人员的国际调查显示，个人设备在工作中的广泛使用异常显著，80%的员工通过个人设备访问工作应用和服务。更令人担忧的是，36%的人在这些设备上没有立即安装安全补丁或软件更新，26%的人在访问工作资源时使用VPN的频率不高，并且没有利用零信任网络访问（ZTNA）或其他VPN替代方案。

风险不仅限于基本的访问权限。40%的员工将客户数据下载到个人设备，33%的人修改了敏感数据，还有31%的人批准了大额财务交易。更令人震惊的是，63%的员工在工作笔记本上使用个人账户（最常见的是Google）共享工作文件和创建文档，有效地绕过了电子邮件过滤和数据丢失防护（DLP）系统。这些行为为企业环境引入了多重攻击面。基于浏览器的访问使用户面临来自恶意插件、扩展和身份验证后妥协的风险，而随着对SaaS应用依赖的增加，供应链攻击的机会也在增加。个人账户成为特别脆弱的入口点，使得威胁行为者可以利用被破坏的凭证或被盗的身份验证令牌潜入企业网络。

这些员工行为对企业构成了巨大的风险。IT部门缺乏对个人设备的可视化和控制，因此他们无法了解问题的范围，因此也无法解决这些问题。

真实世界的后果

最近的安全漏洞显示了这种相互关联生态系统的危险。例如，Okta在2023年发生安全漏洞，原因是员工将服务账户凭证保存在个人Google账户中，从而使威胁者获得了对公司系统的访问权限。就在一年前，该公司因为威胁者访问了一台由客户服务承包商拥有的笔记本电脑而遭到破坏。2022年，Uber的数据泄露源于外部承包商的个人账户被妥协。

组织需要一个综合的策略来解决这些挑战。以下是一些实现这一目标的建议：

展望未来

尽管我们在此并未提及人工智能，但考虑这些身份作为生态系统的一部分也极为重要。从当前的富有人工智能的“人类身份”转向无人监管（以及具备代理特征的）人工智能身份，将进一步加剧保护身份中心安全的复杂性。

在治理措施中纳入这些新身份已经变得至关重要。同样，BYOE方法提供了一个框架，旨在通过关注安全整个数字生态系统而非单一设备或接入点来解决这种复合效应及其他挑战。

Brandon Traffansted, CyberArk现场CTO

SCMedia Perspectives专栏由SCMedia网络安全领域的可信专家撰写，旨在为重要的网络安全话题带来独特的声音。内容力求高质量、客观且非商业化。