新冠疫情正在進入新的發展階段,然而,它所引發的企業遠程混合辦公模式變革仍然在持續。毫無疑問,這種變化大(dà)大(dà)增加了企業組織的網絡安全風險,因為(wèi)它不僅擴大(dà)了潛在的攻擊面,而且還(hái)打破了傳統邊界安全防護模式。 總的來(lái)看,如果企業組織的遠程辦公環境安全性不佳,将可(kě)能會(huì)遇到以下風險: 經濟損失:主要包括安全事故的恢複成本,以及受到監管機構的罰款等; 商譽損失:企業可(kě)能會(huì)失去客戶、供應商以及合作(zuò)夥伴的信任; 數(shù)據資産損失:随着網絡攻擊或內(nèi)部威脅的隐患不斷增加,企業數(shù)據資産面臨的威脅也将随之增長; 法務費用:由于違規或敏感數(shù)據洩露,将導緻企業的法律訴訟成本增加; 業務運營故障:企業可(kě)能會(huì)面臨內(nèi)部業務運營和(hé)關鍵供應鏈中斷的風險。 盡管目前,保障遠程辦公的安全性已經引起了企業組織的高(gāo)度關注,但(dàn)在應用實踐中,部分安全人(rén)員仍然會(huì)在配置和(hé)管理(lǐ)遠程辦公環境方面存在一些(xiē)較嚴重的錯誤。本文收集整理(lǐ)了企業在遠程辦公安全防護中最容易犯的10個(gè)錯誤,以及如何有(yǒu)效避免這些(xiē)錯誤。
01 對遠程辦公活動缺乏可(kě)見性 對企業員工的遠程辦公活動缺乏可(kě)見性,将會(huì)嚴重削弱企業檢測和(hé)阻止安全威脅事件的能力。 雖然工作(zuò)環境不同,但(dàn)遠程工作(zuò)者往往與在辦公室工作(zuò)的同事擁有(yǒu)相同級别的業務系統訪問權限。而據調研數(shù)據顯示,約43%的遠程員工會(huì)在網絡安全方面出現錯誤,因此企業必須采取措施将這些(xiē)影(yǐng)響降至最低(dī)。 此外,如果遠程工作(zuò)人(rén)員成為(wèi)惡意的內(nèi)部人(rén)員,他們會(huì)更容易竊取或破壞敏感數(shù)據,進行(xíng)商業間(jiān)諜活動,或實施欺詐。為(wèi)了有(yǒu)效應對這種威脅,安全團隊必須能夠全面監控所有(yǒu)遠程辦公人(rén)員的系統訪問活動。為(wèi)此,組織可(kě)以考慮部署專門(mén)的可(kě)見性監控管理(lǐ)軟件。 02 為(wèi)遠程員工提供過度的訪問權限 擁有(yǒu)過度訪問權限的遠程員工很(hěn)可(kě)能會(huì)成為(wèi)特權濫用、賬戶洩露、數(shù)據洩露和(hé)其他網絡攻擊的源頭。一種最有(yǒu)效的解決辦法是,企業盡快采取“最小(xiǎo)特權原則”,它意味着除了執行(xíng)工作(zuò)職責所需的訪問權限外,員工幾乎不會(huì)被授予額外的訪問權限。減少(shǎo)遠程員工對關鍵信息的非必要訪問,可(kě)以幫助防止潛在的安全威脅。企業還(hái)可(kě)以考慮實現更全面的即時(shí)訪問管理(lǐ)方法,對遠程特權用戶和(hé)第三方合作(zuò)夥伴,采取比辦公室員工更嚴格的權限管理(lǐ)策略,因為(wèi)因為(wèi)他們訪問組織基礎設施的特權可(kě)能會(huì)被非法提升。 03 缺乏明(míng)确的遠程訪問安全策略 如果企業缺乏明(míng)确的安全策略,将可(kě)能導緻企業安全建設目标的清晰度和(hé)同步性較差。遠程訪問策略(RAP)旨在指導組織努力确保遠程工作(zuò)的安全性和(hé)穩定性。這樣的政策概述了安全人(rén)員和(hé)遠程辦公人(rén)員應該遵守的工作(zuò)流程,以最大(dà)限度地減少(shǎo)與業務工作(zuò)相關的遠程網絡安全風險。RAP可(kě)能是企業中更廣泛的信息安全策略(ISP)的一部分,它應該包含用于管理(lǐ)組織遠程工作(zuò)風險的網絡安全解決方案和(hé)工具列表。 04 沒有(yǒu)統一管理(lǐ)用戶密碼 在安全性差的企業辦公環境中,遠程辦公員工往往自行(xíng)設置賬号密碼,并且會(huì)有(yǒu)弱密碼使用習慣,這增加了由于暴力攻擊、密碼噴灑和(hé)其他網絡攻擊而導緻的賬戶洩露風險。根據IBM Security和(hé)Morning Consult的一項遠程辦公研究顯示,高(gāo)達35%的遠程員工在其使用的業務系統和(hé)登錄賬戶上(shàng)重複使用相同的密碼。遠程工作(zuò)者不良的密碼管理(lǐ)習慣迫使組織使用專門(mén)的安全軟件來(lái)管理(lǐ)用戶憑證。 05 不能真實驗證遠程用戶的身份 如果無法檢查誰在使用賬戶,可(kě)能會(huì)導緻對組織關鍵資産的未經授權訪問行(xíng)為(wèi)。如果遠程辦公人(rén)員的賬戶憑證被洩露,安全人(rén)員必須有(yǒu)辦法防止網絡犯罪分子訪問組織的資産。多(duō)因素身份驗證(MFA)是一種經過時(shí)間(jiān)驗證的方法,它可(kě)以确保有(yǒu)更多(duō)的因素(而不僅僅是密碼)來(lái)驗證試圖訪問組織網絡的用戶。啓用MFA後,網絡犯罪分子使用竊取憑證的難度将大(dà)大(dà)提升。如果企業組織希望更有(yǒu)效保證訪問者身份的真實可(kě)信,應該充分研究和(hé)了解零信任的技(jì)術(shù)理(lǐ)念,并考慮在組織中實現零信任安全體(tǐ)系結構。 06 配置錯誤的通(tōng)信網絡 研究人(rén)員發現,未能正确配置企業網絡也是遠程辦公場(chǎng)景中許多(duō)安全威脅産生(shēng)的重要原因之一。在2022年的RSAC會(huì)議上(shàng),網絡安全專家(jiā)Paula Januszkiewicz将“錯誤配置的網絡通(tōng)信服務”列為(wèi)遠程工作(zuò)導緻網絡安全事件的首要原因,而根據Titania的一份報告顯示,網絡錯誤配置使組織每年損失9%的收入。為(wèi)了确保組織的網絡系統和(hé)安全工具得(de)到正确配置,企業應該對運維人(rén)員的操作(zuò)進行(xíng)審計(jì)和(hé)控制(zhì),例如安裝用戶活動監控解決方案。 07 缺乏網絡分段 如果組織的網絡還(hái)是一個(gè)相互聯通(tōng)的整體(tǐ),那(nà)麽網絡犯罪分子将擁有(yǒu)更多(duō)的訪問機會(huì)。通(tōng)過利用網絡分段技(jì)術(shù),将有(yǒu)效限制(zhì)組織網絡安全事件的暴露程度,并使組織能夠更好地控制(zhì)誰可(kě)以訪問什麽。通(tōng)過使用網橋(bridges)、交換機和(hé)路由器(qì)等設備,可(kě)以将網絡劃分為(wèi)多(duō)個(gè)子網,每個(gè)子網都能夠作(zuò)為(wèi)一個(gè)單獨的業務網絡運行(xíng)。 通(tōng)過将系統和(hé)服務彼此隔離,安全人(rén)員可(kě)以防止一些(xiē)特發的安全漏洞演變成後果嚴重的重大(dà)網絡安全事件。網絡犯罪分子遇到的阻礙越多(duō),中途放棄的可(kě)能性就越大(dà)。因此,企業應該考慮限制(zhì)組織網絡之間(jiān)的通(tōng)信,這将幫助組織限制(zhì)對敏感系統和(hé)數(shù)據的未經授權訪問行(xíng)為(wèi)。組織不僅可(kě)以借助路由設備在物理(lǐ)上(shàng)分段網絡,還(hái)可(kě)以使用軟件在邏輯上(shàng)分段網絡。 08 未保護員工的家(jiā)庭環境 許多(duō)網絡安全事件的根源是由于遠程員工沒有(yǒu)使用正确的工具和(hé)措施來(lái)保護他們的家(jiā)庭辦公環境。一旦企業制(zhì)定了遠程訪問策略(RAP),請(qǐng)确保所有(yǒu)的遠程辦公人(rén)員都有(yǒu)效遵守它。 為(wèi)了确保員工連接的環境是安全的,安全團隊需要為(wèi)他們提供一份清單,列出他們應該做(zuò)什麽,以及需要避免哪些(xiē)網絡安全錯誤。這份遠程工作(zuò)安全清單通(tōng)常會(huì)涵蓋以下基本事項: 應用程序的使用:向員工提供一份安全應用程序清單,并确保員工安裝了必要的軟件和(hé)操作(zuò)系統更新; 個(gè)人(rén)設備的使用:告訴員工應該盡量避免使用個(gè)人(rén)設備進行(xíng)遠程工作(zuò),同時(shí)制(zhì)定使用遠程辦公設備時(shí)的安全規則,例如,員工必須讓他們的工作(zuò)設備遠離家(jiā)人(rén); 密碼管理(lǐ)要求:讓員工養成安全使用密碼的習慣,例如定期更新密碼、不同賬戶使用不同的密碼,以及确保密碼的複雜度适當; 網絡安全指導:要讓遠程員工了解如何正确使用殺毒軟件、vpn和(hé)其他安全工具,重要的是,員工要保護他們的家(jiā)庭Wi-Fi,避免使用公共網絡進行(xíng)遠程工作(zuò); 電(diàn)子郵件安全:企業應該教育員工了解社會(huì)工程攻擊以及如何避免淪為(wèi)受害者,要确保所有(yǒu)遠程辦公人(rén)員僅使用公司電(diàn)子郵件發送和(hé)存儲和(hé)工作(zuò)相關的數(shù)據。 09 未開(kāi)展網絡安全意識培訓 如果遠程辦公人(rén)員不認為(wèi)網絡安全很(hěn)重要,他們就可(kě)能會(huì)忘記、忽視(shì)甚至破壞關鍵的安全流程。企業應該明(míng)确要求所有(yǒu)的員工定期接受網絡安全培訓,讓遠程員工為(wèi)最新的網絡威脅做(zuò)好準備。通(tōng)過培訓,遠程辦公員工将更有(yǒu)可(kě)能記住并使用組織的安全建議。因此,要确保有(yǒu)足夠的網絡安全事件示例,特别是網絡釣魚攻擊案例及其後果。如果可(kě)能的話(huà),應該向員工們展示在組織中可(kě)能會(huì)出現的各種安全威脅和(hé)攻擊事件。 10 沒有(yǒu)遠程辦公安全響應計(jì)劃 安全人(rén)員檢測、響應和(hé)修複網絡安全事件所需的時(shí)間(jiān)越長,網絡犯罪分子對企業造成的損害就會(huì)越大(dà)。如果沒有(yǒu)一個(gè)提前制(zhì)定的遠程辦公安全事件響應計(jì)劃,企業将在遭遇突發攻擊時(shí),喪失寶貴的響應時(shí)間(jiān),這也将帶來(lái)更多(duō)資産和(hé)商譽損失。 安全事件響應計(jì)劃(IRP)可(kě)以充當網絡安全“救生(shēng)船(chuán)”,它概述了安全人(rén)員在發現威脅時(shí)應采取的直接和(hé)具體(tǐ)步驟。有(yǒu)效的IRP應該包含: 網絡安全事件指标; 最常見的安全事件和(hé)相應的響應場(chǎng)景的描述; 事件響應團隊中包括的員工名單,以及他們在事件響應中采取行(xíng)動的職責; 恢複和(hé)事件調查措施; 聯系利益相關者和(hé)監管機構,通(tōng)知有(yǒu)關事件等。
