高管面临的安全风险分析

主要结论

黑色斗篷（BlackCloak）近日公布了一组引人注目的数据，显示高管面临的安全漏洞。根据一项针对1,000多位BlackCloak成员的研究，显示出高管的个人设备和家庭网络安全问题相当严重，这对整体企业安全构成了重大威胁。

• 23% 的高管家中网络存在开放端口。
• 在有开放端口的高管中，20% 拥有开放的安全摄像头。
• 27% 的高管个人设备中有恶意软件。
• 76% 的个人设备正在泄漏数据。
• 87% 的个人设备没有安装任何安全措施。
• 只有 8% 的高管在大多数应用和设备上启用了多因素身份验证。
• 87% 的密码已在暗网上泄露。

这些数据不仅暗示了高管的脆弱性，也反映了普通人群的安全风险。而对于威胁行为者来说，高管因为能接触到高度敏感的企业信息，成为了更有价值的攻击目标。Coalfire的现场首席信息安全官约翰·赫利克森（JohnHellickson）表示，高管经常会施压IT部门，要求使用他们的个人设备和电子邮件，这样会绕过一些企业设立的政策和控制措施。

“网络安全行业在企业环境的安全方面做得很好，但在个人家庭环境中提供‘商业级安全’却艰难重重，”赫利克森指出。“人类往往是薄弱环节，这些统计数据再一次证明许多董事会成员和企业高管成为了针对性攻击的易受害者。”

Tanium的端点安全研究专家梅利莎·比肖平（MelissaBischoping）表示，企业设备和数据已经超越了物理业务边界，越来越多地出现在家庭网络中，而这些网络的安全性通常超出了安全团队的管理范畴。因此，比肖平强调，保持对企业拥有设备的可见性和控制权是确保数据保护的必要条件。

“虽然多因素身份验证等措施并不完美，但这些基本的最佳实践对于董事会和高管而言至关重要，因为他们经常出于便利考虑而选择跳过这些要求，”比肖平补充道。“除了多因素身份验证，其他安全基本原则还包括采用现代化的密码实践、可靠部署和配置的端点安全软件，以及随著组织的发展拥抱零信任和数据丢失预防。对于常见的CEO欺诈攻击（如社会工程攻击）提高意识也是至关重要的。”

Horizon3ai的客户威胁分析师泰勒·埃利斯（TaylorEllis）指出，在进行一些时，经常能在社交媒体上找到高管、董事会成员及高价值员工的个人信息。例如，埃利斯曾看到一名董事会主席在Facebook上公开自己的私人电话号码和电子邮件地址，还有他展示清晰的ID徽章的照片（这些照片经过一些简单的Photoshop处理即可被复制），以及他对旧金山49人队的热爱。

“作为一名社会工程学爱好者，你可以利用这些信息做很多事情，”埃利斯表示。“虽然所有人都应该学习如何在社交媒体上保持隐私，但那些受到关注的公众人物则需要更加小心。正如最近的一些媒体丑闻所示，领导者的个人生活经常会影响到组织的形象