特權大+過於熱心、令 IT 人成黑客幫兇！

IT 支援人員很多時都會處理到員工的電腦問題﹐而在這些過程之中，難免會見到不同部門儲存於員工電腦內的資料，雖然 IT 支援人員一般都「懶得理」，然而假如遇到有心的支援人員，可能會導致嚴重的安全風險。

近日 RSA 便發表一份由 SANS 研究所進行的最新調查報告，報告中成功訪問了全球超過 900 名 IT 專業人員，並揭露支援服務部門最常見的漏洞，而調查結果亦涵蓋企業支援服務部門的流程、程序，以及對企業保安有潛在影響的員工行為。

支援服務部門經常會被用戶要求協助解決常見的 IT 問題，包括重置密碼和應用及連接等問題。支援服務部門人員的表現一般以他們回應來電者要求和解決有關問題的速度來衡量。但在許多情況下，由於網絡保安在這個流程中並未受到重視，支援服務部門不由自主地成為黑客和有不良動機的內部人員嘗試獲取敏感企業資源的入口。

大多受訪者（69%）指出社交工程攻擊是支援服務部門面對的最大保安威脅。然而，大部分企業仍然使用容易被入侵者盜用的基本個人資料，如姓名／位置和員工編號來辦識致電支援服務部門用戶的身份。此外，許多支援服務人員都會繞過保安措施務求對來電者提供更多協助。

除了人為因素外，缺乏培訓、工具和技術於支援服務部門保安方面亦扮演著重要的角色。逾 51％ 受訪者表示就支援服務部門保安採用適中的方法，作為整體企業保安措施的一部分，但不一定會側重於培訓或支援日常工作的額外技術。由於大多數的預算均按服務用戶數量來決定，而非按平均通話成本或潛在保安漏洞成本計算，因此，要為新流程，額外培訓和日常支援的工具評估投資回報極為困難。

另外，報告中亦詳細列出其他重點結果，以下為其中一部份：

– 44％ 受訪者認為來電用戶的身份驗證風險遠超自助服務用戶（11％）。
– 只有 10％ 的受訪者評定其支援服務部門的保安工作為穩健。
– 43％ 受訪者在訂立支援服務部門的預算時未有把保安事故所涉及的成本包括在內，反而取決於用戶數目。

支援服務部門仍然是員工解決基本 IT 問題的首選。其改善用戶服務的建立宗旨導致支援服務人員經常擁有過多的特權，往往成為社交工程攻擊者和技術性黑客入侵網絡的攻擊目標。為了消除支援服務部門的漏洞，企業需要反思如何滿足用戶為求方便的需求，並同時保護系統免受威脅。報告之中建議大家採用以下方法：

– 為一般用戶查詢事項提供自動化及自助服務選項，包括密碼重置，以協助減少出錯及漏洞所導致的保安缺口及數據盜竊。
– 穩健和持續的培訓有助支援服務人員了解如何發現和應付潛在社交工程攻擊。
– 透過先進工具的協助，利用動態數據來源和全新驗證方法，更準確地識別用戶身分及其位置。