2023年01月10日
新冠疫情正在進入新的發(fā)展階段,然而,它所引發(fā)的企業(yè)遠程混合辦公模式變革仍然在持續(xù)。毫無疑問,這種變化大大增加了企業(yè)組織的網(wǎng)絡(luò)安全風(fēng)險,因為它不僅擴大了潛在的攻擊面,而且還打破了傳統(tǒng)邊界安全防護模式。
總的來看,如果企業(yè)組織的遠程辦公環(huán)境安全性不佳,將可能會遇到以下風(fēng)險:
經(jīng)濟損失:主要包括安全事故的恢復(fù)成本,以及受到監(jiān)管機構(gòu)的罰款等;
商譽損失:企業(yè)可能會失去客戶、供應(yīng)商以及合作伙伴的信任;
數(shù)據(jù)資產(chǎn)損失:隨著網(wǎng)絡(luò)攻擊或內(nèi)部威脅的隱患不斷增加,企業(yè)數(shù)據(jù)資產(chǎn)面臨的威脅也將隨之增長;
法務(wù)費用:由于違規(guī)或敏感數(shù)據(jù)泄露,將導(dǎo)致企業(yè)的法律訴訟成本增加;
業(yè)務(wù)運營故障:企業(yè)可能會面臨內(nèi)部業(yè)務(wù)運營和關(guān)鍵供應(yīng)鏈中斷的風(fēng)險。
盡管目前,保障遠程辦公的安全性已經(jīng)引起了企業(yè)組織的高度關(guān)注,但在應(yīng)用實踐中,部分安全人員仍然會在配置和管理遠程辦公環(huán)境方面存在一些較嚴重的錯誤。本文收集整理了企業(yè)在遠程辦公安全防護中最容易犯的10個錯誤,以及如何有效避免這些錯誤。
1、對遠程辦公活動缺乏可見性
對企業(yè)員工的遠程辦公活動缺乏可見性,將會嚴重削弱企業(yè)檢測和阻止安全威脅事件的能力。
雖然工作環(huán)境不同,但遠程工作者往往與在辦公室工作的同事?lián)碛邢嗤墑e的業(yè)務(wù)系統(tǒng)訪問權(quán)限。而據(jù)調(diào)研數(shù)據(jù)顯示,約43%的遠程員工會在網(wǎng)絡(luò)安全方面出現(xiàn)錯誤,因此企業(yè)必須采取措施將這些影響降至最低。
此外,如果遠程工作人員成為惡意的內(nèi)部人員,他們會更容易竊取或破壞敏感數(shù)據(jù),進行商業(yè)間諜活動,或?qū)嵤┢墼p。為了有效應(yīng)對這種威脅,安全團隊必須能夠全面監(jiān)控所有遠程辦公人員的系統(tǒng)訪問活動。為此,組織可以考慮部署專門的可見性監(jiān)控管理軟件。
2、為遠程員工提供過度的訪問權(quán)限
擁有過度訪問權(quán)限的遠程員工很可能會成為特權(quán)濫用、賬戶泄露、數(shù)據(jù)泄露和其他網(wǎng)絡(luò)攻擊的源頭。一種有效的解決辦法是,企業(yè)盡快采取“最小特權(quán)原則”,它意味著除了執(zhí)行工作職責(zé)所需的訪問權(quán)限外,員工幾乎不會被授予額外的訪問權(quán)限。減少遠程員工對關(guān)鍵信息的非必要訪問,可以幫助防止?jié)撛诘陌踩{。企業(yè)還可以考慮實現(xiàn)更全面的即時訪問管理方法,對遠程特權(quán)用戶和第三方合作伙伴,采取比辦公室員工更嚴格的權(quán)限管理策略,因為因為他們訪問組織基礎(chǔ)設(shè)施的特權(quán)可能會被非法提升。
3、缺乏明確的遠程訪問安全策略
如果企業(yè)缺乏明確的安全策略,將可能導(dǎo)致企業(yè)安全建設(shè)目標(biāo)的清晰度和同步性較差。遠程訪問策略(RAP)旨在指導(dǎo)組織努力確保遠程工作的安全性和穩(wěn)定性。這樣的政策概述了安全人員和遠程辦公人員應(yīng)該遵守的工作流程,以減少與業(yè)務(wù)工作相關(guān)的遠程網(wǎng)絡(luò)安全風(fēng)險。RAP可能是企業(yè)中更廣泛的信息安全策略(ISP)的一部分,它應(yīng)該包含用于管理組織遠程工作風(fēng)險的網(wǎng)絡(luò)安全解決方案和工具列表。
4、沒有統(tǒng)一管理用戶密碼
在安全性差的企業(yè)辦公環(huán)境中,遠程辦公員工往往自行設(shè)置賬號密碼,并且會有弱密碼使用習(xí)慣,這增加了由于暴力攻擊、密碼噴灑和其他網(wǎng)絡(luò)攻擊而導(dǎo)致的賬戶泄露風(fēng)險。根據(jù)IBM Security和Morning Consult的一項遠程辦公研究顯示,高達35%的遠程員工在其使用的業(yè)務(wù)系統(tǒng)和登錄賬戶上重復(fù)使用相同的密碼。遠程工作者不良的密碼管理習(xí)慣迫使組織使用專門的安全軟件來管理用戶憑證。
5、不能真實驗證遠程用戶的身份
如果無法檢查誰在使用賬戶,可能會導(dǎo)致對組織關(guān)鍵資產(chǎn)的未經(jīng)授權(quán)訪問行為。如果遠程辦公人員的賬戶憑證被泄露,安全人員必須有辦法防止網(wǎng)絡(luò)犯罪分子訪問組織的資產(chǎn)。多因素身份驗證(MFA)是一種經(jīng)過時間驗證的方法,它可以確保有更多的因素(而不僅僅是密碼)來驗證試圖訪問組織網(wǎng)絡(luò)的用戶。啟用MFA后,網(wǎng)絡(luò)犯罪分子使用竊取憑證的難度將大大提升。如果企業(yè)組織希望更有效保證訪問者身份的真實可信,應(yīng)該充分研究和了解零信任的技術(shù)理念,并考慮在組織中實現(xiàn)零信任安全體系結(jié)構(gòu)。
6、配置錯誤的通信網(wǎng)絡(luò)
研究人員發(fā)現(xiàn),未能正確配置企業(yè)網(wǎng)絡(luò)也是遠程辦公場景中許多安全威脅產(chǎn)生的重要原因之一。在2022年的RSAC會議上,網(wǎng)絡(luò)安全專家Paula Januszkiewicz將“錯誤配置的網(wǎng)絡(luò)通信服務(wù)”列為遠程工作導(dǎo)致網(wǎng)絡(luò)安全事件的首要原因,而根據(jù)Titania的一份報告顯示,網(wǎng)絡(luò)錯誤配置使組織每年損失9%的收入。為了確保組織的網(wǎng)絡(luò)系統(tǒng)和安全工具得到正確配置,企業(yè)應(yīng)該對運維人員的操作進行審計和控制,例如安裝用戶活動監(jiān)控解決方案。
7、缺乏網(wǎng)絡(luò)分段
如果組織的網(wǎng)絡(luò)還是一個相互聯(lián)通的整體,那么網(wǎng)絡(luò)犯罪分子將擁有更多的訪問機會。通過利用網(wǎng)絡(luò)分段技術(shù),將有效限制組織網(wǎng)絡(luò)安全事件的暴露程度,并使組織能夠更好地控制誰可以訪問什么。通過使用網(wǎng)橋(bridges)、交換機和路由器等設(shè)備,可以將網(wǎng)絡(luò)劃分為多個子網(wǎng),每個子網(wǎng)都能夠作為一個單獨的業(yè)務(wù)網(wǎng)絡(luò)運行。
通過將系統(tǒng)和服務(wù)彼此隔離,安全人員可以防止一些特發(fā)的安全漏洞演變成后果嚴重的重大網(wǎng)絡(luò)安全事件。網(wǎng)絡(luò)犯罪分子遇到的阻礙越多,中途放棄的可能性就越大。因此,企業(yè)應(yīng)該考慮限制組織網(wǎng)絡(luò)之間的通信,這將幫助組織限制對敏感系統(tǒng)和數(shù)據(jù)的未經(jīng)授權(quán)訪問行為。組織不僅可以借助路由設(shè)備在物理上分段網(wǎng)絡(luò),還可以使用軟件在邏輯上分段網(wǎng)絡(luò)。
8、未保護員工的家庭環(huán)境
許多網(wǎng)絡(luò)安全事件的根源是由于遠程員工沒有使用正確的工具和措施來保護他們的家庭辦公環(huán)境。一旦企業(yè)制定了遠程訪問策略(RAP),請確保所有的遠程辦公人員都有效遵守它。
為了確保員工連接的環(huán)境是安全的,安全團隊需要為他們提供一份清單,列出他們應(yīng)該做什么,以及需要避免哪些網(wǎng)絡(luò)安全錯誤。這份遠程工作安全清單通常會涵蓋以下基本事項:
應(yīng)用程序的使用:向員工提供一份安全應(yīng)用程序清單,并確保員工安裝了必要的軟件和操作系統(tǒng)更新;
個人設(shè)備的使用:告訴員工應(yīng)該盡量避免使用個人設(shè)備進行遠程工作,同時制定使用遠程辦公設(shè)備時的安全規(guī)則,例如,員工必須讓他們的工作設(shè)備遠離家人;
密碼管理要求:讓員工養(yǎng)成安全使用密碼的習(xí)慣,例如定期更新密碼、不同賬戶使用不同的密碼,以及確保密碼的復(fù)雜度適當(dāng);
網(wǎng)絡(luò)安全指導(dǎo):要讓遠程員工了解如何正確使用殺毒軟件、vpn和其他安全工具,重要的是,員工要保護他們的家庭Wi-Fi,避免使用公共網(wǎng)絡(luò)進行遠程工作;
電子郵件安全:企業(yè)應(yīng)該教育員工了解社會工程攻擊以及如何避免淪為受害者,要確保所有遠程辦公人員僅使用公司電子郵件發(fā)送和存儲和工作相關(guān)的數(shù)據(jù)。
9、未開展網(wǎng)絡(luò)安全意識培訓(xùn)
如果遠程辦公人員不認為網(wǎng)絡(luò)安全很重要,他們就可能會忘記、忽視甚至破壞關(guān)鍵的安全流程。企業(yè)應(yīng)該明確要求所有的員工定期接受網(wǎng)絡(luò)安全培訓(xùn),讓遠程員工為新的網(wǎng)絡(luò)威脅做好準備。通過培訓(xùn),遠程辦公員工將更有可能記住并使用組織的安全建議。因此,要確保有足夠的網(wǎng)絡(luò)安全事件示例,特別是網(wǎng)絡(luò)釣魚攻擊案例及其后果。如果可能的話,應(yīng)該向員工們展示在組織中可能會出現(xiàn)的各種安全威脅和攻擊事件。
10、沒有遠程辦公安全響應(yīng)計劃
安全人員檢測、響應(yīng)和修復(fù)網(wǎng)絡(luò)安全事件所需的時間越長,網(wǎng)絡(luò)犯罪分子對企業(yè)造成的損害就會越大。如果沒有一個提前制定的遠程辦公安全事件響應(yīng)計劃,企業(yè)將在遭遇突發(fā)攻擊時,喪失寶貴的響應(yīng)時間,這也將帶來更多資產(chǎn)和商譽損失。
安全事件響應(yīng)計劃(IRP)可以充當(dāng)網(wǎng)絡(luò)安全“救生船”,它概述了安全人員在發(fā)現(xiàn)威脅時應(yīng)采取的直接和具體步驟。有效的IRP應(yīng)該包含:
網(wǎng)絡(luò)安全事件指標(biāo);
最常見的安全事件和相應(yīng)的響應(yīng)場景的描述;
事件響應(yīng)團隊中包括的員工名單,以及他們在事件響應(yīng)中采取行動的職責(zé);
恢復(fù)和事件調(diào)查措施;
聯(lián)系利益相關(guān)者和監(jiān)管機構(gòu),通知有關(guān)事件等。
來源:安全牛