身份验证器应用程序是一种多因素身份验证 (MFA)
在组织的各个角落存在着一个与软件即服务(SaaS)一样古老的IT挑战——是选择单一的技术供应商还是多个解决方案。 在一些组织中,密码管理器就是这种情况。
由于软件功能的差异,有一些令人信服的理由会导致组织选择单一解决方案或多个解决方案。
在本博客中,我们将探讨为什么密码管理器应该以企业范围的方式实施,并介绍IT团队如何使其组织能够将密码保护统一到一个平台上。
单一解决方案 vs. 多种解决方案
对于组织而言,一个单一、统一的密码管理解决方案可能能够满足大多数功能需求或满足组织内声音最高亢的意见。 无论如何,如果解决方案不具有全面性,一些群体可能会去寻求关键功能。
那么为什么不使用多个供应商? 这当然可以满足各个部门和团队。 然而,让各方都满意需要付出额外的代价,并且在流程、控制和报告方面存在不一致。
单一与多个解决方案的争论可能对某些软件(如文字处理解决方案)具有举足轻重的作用。 但密码管理器,如他们执行的身份和访问管理(IAM)策略,是企业级的规模。
一个密码管理解决方案应该覆盖每个用户、应用程序和设备。
为什么组织拥有多种解决方案
首先,让我们来看看组织使用多个密码管理器的一些常见原因,以及这些原因为什么经不起审查。
声音高亢和缺乏认同
高级管理层或组织文化的认同不足,再加上声音高亢压倒了IT和安全人员的关切,可能导致IT缺乏权威来推动重要决策。 这包括建立统一的密码管理和其他关键软件。
换句话说,如果财务部的Bob喜欢密码管理器A,但营销部门的Suzy致力于使用密码管理器B,并且高层管理人员对软件使用采取了自由放任的态度,那么IT就没有立足之地。 Bob 和 Suzy 都可以继续使用他们喜欢的软件,也许销售部门的其他人更喜欢另一个密码管理器,他们也可以继续使用那个。
不难想象,“使用任何工具只要能完成工作”的这种做法会加速失控,特别是因为组织平均使用了 100 多个 SaaS 应用程序。
终端用户对传统解决方案的热爱
这通常与声音高亢和缺乏认同的问题有关。
在企业的密码管理成为优先事项之前,各个部门或业务单位可能已经独立采用不同的解决方案来管理他们的密码。 更糟糕的是,其中一些解决方案可能非常不安全,包括将密码管理器内置在浏览器、电子表格甚至便签中。
人们天然的抵触改变。 当一个团队多年来一直使用特定的解决方案时,转换到另一个工具的前景可能会显得令人畏惧。 尽管如此,使用单一解决方案的长期优势是难以忽视的,从更强大的安全性和高效的合规报告,到更好地分配 IT 资源以及完美连接员工协作。
有关供应商锁定和安全漏洞的担忧
在某些情况下,组织更喜欢使用多种解决方案,因为担心会锁定在一个供应商上。 他们担心如果只使用一个解决方案,将几乎不可能进行切换,并且他们将永远与该供应商合作。 然而,只要选择的供应商允许轻松导出密码,锁定就不是问题。
此外,一些企业甚至 IT 领导者可能会担心只使用一个密码管理器的安全影响,特别是考虑到最近的漏洞。 在某些情况下,组织可能会将其凭证保存在一个解决方案中,并将备份代码、安全问题答案等保存在不同的解决方案中。
他们的逻辑是,如果一个密码管理器被破坏,组织至少会得到另一个密码管理器的保护。 然而,组织中多个密码管理器共存并不一定提供更多的保护,事实上,它可能会降低安全。
组织添加到其数据环境的每个 SaaS 程序都是威胁行为者可以利用的终端。 终端用户需要调试的密码管理器越多,越有可能在某个地方犯错。
组织与未受保护的终端一样脆弱。 结合特定解决方案的安全架构和 IT 团队执行强大策略的能力,员工采用单一密码管理器是企业安全的更加强有力保证。
单一密码管理器的安全优势
即使将各个解决方案的潜在安全考虑放在一边,虽然这应该是任何 IT 采购流程的重点,但依旧有几点原因能说明为什么在整个企业中使用单一密码管理解决方案远优于将多个解决方案拼凑在一起。
IT 可视化和控制
根据 Verizon 的数据泄露调查报告,74% 的攻击涉及人为因素,包括被盗密码或弱密码、密钥和凭证。 在现代数字化组织中,每个终端用户都需要访问软件,这意味着每个人都需要使用密码。 因此,身份和访问管理必须在整个企业范围内保持整体和统一。
单一密码管理解决方案统一了可视性,并允许 IT 团队从同一平台上审核密码。
多种解决方案在不同功能和平台之间进行碎片化监控,这些功能和平台有时相互不兼容。 系统之间的兼容或由于缺乏兼容,使得 IT 很难协调来自不同密码管理器的数据,以及从整体上评估风险。
员工安全意识
正如拥有多个密码管理器会使 IT 团队的自上而下的可见性分散一样,它也削弱了 IT 的使命,即通过确保员工遵守密码策略来保护组织。
如果没有一个 IT 可以加强并与人力资源部门(HR)协作的密码管理标准,组织就面临着密码相关的网络攻击的风险,并可能违反 HIPAA、GDPR 和其他行业和监管标准的合规性要求。
单一密码管理解决方案集中在对密码习惯和行为的控制上,使 IT 管理员能够确保所有员工为每个帐户使用唯一的强密码;在支持并遵守其他安全策略的地方启用多因素身份验证(MFA)。
合规和报告
有效地审核和控制对凭证和敏感信息的访问是维护合规性和防止数据泄露的关键。 单一解决方案简化了对HIPAA、FedRAMP、StateRAMP、ISO 27001、PCI DSS、GDPR 和 Sarbanes-Oxley (SOX) 等法规的合规,所有这些法规都需要访问控制报告。
多种解决方案要求审计和财务团队协调不同的存储和报告数据方法。 随着监管合规的成本增加,同时远程工作使合规变得更加复杂,并扩大组织的攻击面,高效的审计流程比以往任何时候都更加重要。
从单一角度鉴证
如果发生安全事件,鉴定分析师需要重新创建事件时间表,以了解攻击者是如何攻击组织的。 被盗的初级帐户(如社交媒体帐户)通常为网络犯罪分子提供进入后升级特权的一个入口。
与简化 IT 控制和合规审核流程类似,单一密码管理解决方案将事件时间表集中,并消除了孤立的报告标准。
使用一个企业密码管理器的商业优势
除了安全考虑之外,仅仅使用一个密码管理器还有大量的商业优势。 单一解决方案还提供了一种更具成本效益、更具支持和响应的选项,用于保护密码和敏感信息。
单一解决方案的成本节约
通过一家供应商而不是多家供应商购买软件,很可能会更具成本效益。 鉴于2023年的 IT 预算将实际下降,首席财务官和 IT 领导者可以依靠密码管理器和其他软件来整合功能和控制支出。
更有能力支持终端用户
一个密码管理器应该能够减少IT服务台收到的与密码相关的工单数量,但不可避免地,一些员工仍然需要帮助。 只需一个密码管理器和一个供系统管理员掌握的功能,IT 团队就可以将更多的时间投入到推动业务的内部项目中。
供应商响应能力
与只用一个工具简化内部支持类似,仅使用一个解决方案所提供的单一外部联系点,以支持员工对密码管理器的使用。 当新用户加入解决方案时,与供应商建立单一联系可以帮助协调整个组织的部署。
如何推动企业主动使用密码管理器
由于成本、实用性和安全的考虑,组织使用单一密码管理器会更好地服务于他们,而不是多个不同和不兼容的解决方案。
一些员工可能会因为建议他们过渡到单一密码管理器而固执己见。 然而,一个企业的密码管理策略(由单一工具支持)有望提高效率、协作和安全。
由于大多数网络攻击是由被盗、弱和重复使用的密码、凭证和密钥引起的,因此组织的保护措施保证了企业的防护。 IT 和合规部门需要一个单一的解决方案,以对关键系统和数据进行随时可用的可见和控制。
准备好在组织中统一密码管理了吗? 马上与我们的网络安全专家讨论协调 Keeper 密码管理器的部署。