信息化觀察網

本文來自微信公眾號“安全牛”。

新冠疫情正在進入新的發(fā)展階段，然而，它所引發(fā)的企業(yè)遠程混合辦公模式變革仍然在持續(xù)。毫無疑問，這種變化大大增加了企業(yè)組織的網絡安全風險，因為它不僅擴大了潛在的攻擊面，而且還打破了傳統(tǒng)邊界安全防護模式。

總的來看，如果企業(yè)組織的遠程辦公環(huán)境安全性不佳，將可能會遇到以下風險：

經濟損失：主要包括安全事故的恢復成本，以及受到監(jiān)管機構的罰款等；

商譽損失：企業(yè)可能會失去客戶、供應商以及合作伙伴的信任；

數(shù)據資產損失：隨著網絡攻擊或內部威脅的隱患不斷增加，企業(yè)數(shù)據資產面臨的威脅也將隨之增長；

法務費用：由于違規(guī)或敏感數(shù)據泄露，將導致企業(yè)的法律訴訟成本增加；

業(yè)務運營故障：企業(yè)可能會面臨內部業(yè)務運營和關鍵供應鏈中斷的風險。

盡管目前，保障遠程辦公的安全性已經引起了企業(yè)組織的高度關注，但在應用實踐中，部分安全人員仍然會在配置和管理遠程辦公環(huán)境方面存在一些較嚴重的錯誤。本文收集整理了企業(yè)在遠程辦公安全防護中最容易犯的10個錯誤，以及如何有效避免這些錯誤。

01

對遠程辦公活動缺乏可見性

對企業(yè)員工的遠程辦公活動缺乏可見性，將會嚴重削弱企業(yè)檢測和阻止安全威脅事件的能力。

雖然工作環(huán)境不同，但遠程工作者往往與在辦公室工作的同事?lián)碛邢嗤墑e的業(yè)務系統(tǒng)訪問權限。而據調研數(shù)據顯示，約43%的遠程員工會在網絡安全方面出現(xiàn)錯誤，因此企業(yè)必須采取措施將這些影響降至最低。

此外，如果遠程工作人員成為惡意的內部人員，他們會更容易竊取或破壞敏感數(shù)據，進行商業(yè)間諜活動，或實施欺詐。為了有效應對這種威脅，安全團隊必須能夠全面監(jiān)控所有遠程辦公人員的系統(tǒng)訪問活動。為此，組織可以考慮部署專門的可見性監(jiān)控管理軟件。

02

為遠程員工提供過度的訪問權限

擁有過度訪問權限的遠程員工很可能會成為特權濫用、賬戶泄露、數(shù)據泄露和其他網絡攻擊的源頭。一種最有效的解決辦法是，企業(yè)盡快采取“最小特權原則”，它意味著除了執(zhí)行工作職責所需的訪問權限外，員工幾乎不會被授予額外的訪問權限。減少遠程員工對關鍵信息的非必要訪問，可以幫助防止?jié)撛诘陌踩{。企業(yè)還可以考慮實現(xiàn)更全面的即時訪問管理方法，對遠程特權用戶和第三方合作伙伴，采取比辦公室員工更嚴格的權限管理策略，因為因為他們訪問組織基礎設施的特權可能會被非法提升。

03

缺乏明確的遠程訪問安全策略

如果企業(yè)缺乏明確的安全策略，將可能導致企業(yè)安全建設目標的清晰度和同步性較差。遠程訪問策略（RAP）旨在指導組織努力確保遠程工作的安全性和穩(wěn)定性。這樣的政策概述了安全人員和遠程辦公人員應該遵守的工作流程，以最大限度地減少與業(yè)務工作相關的遠程網絡安全風險。RAP可能是企業(yè)中更廣泛的信息安全策略（ISP）的一部分，它應該包含用于管理組織遠程工作風險的網絡安全解決方案和工具列表。

04

沒有統(tǒng)一管理用戶密碼

在安全性差的企業(yè)辦公環(huán)境中，遠程辦公員工往往自行設置賬號密碼，并且會有弱密碼使用習慣，這增加了由于暴力攻擊、密碼噴灑和其他網絡攻擊而導致的賬戶泄露風險。根據IBM Security和Morning Consult的一項遠程辦公研究顯示，高達35%的遠程員工在其使用的業(yè)務系統(tǒng)和登錄賬戶上重復使用相同的密碼。遠程工作者不良的密碼管理習慣迫使組織使用專門的安全軟件來管理用戶憑證。

05

不能真實驗證遠程用戶的身份

如果無法檢查誰在使用賬戶，可能會導致對組織關鍵資產的未經授權訪問行為。如果遠程辦公人員的賬戶憑證被泄露，安全人員必須有辦法防止網絡犯罪分子訪問組織的資產。多因素身份驗證（MFA）是一種經過時間驗證的方法，它可以確保有更多的因素（而不僅僅是密碼）來驗證試圖訪問組織網絡的用戶。啟用MFA后，網絡犯罪分子使用竊取憑證的難度將大大提升。如果企業(yè)組織希望更有效保證訪問者身份的真實可信，應該充分研究和了解零信任的技術理念，并考慮在組織中實現(xiàn)零信任安全體系結構。

06

配置錯誤的通信網絡

研究人員發(fā)現(xiàn)，未能正確配置企業(yè)網絡也是遠程辦公場景中許多安全威脅產生的重要原因之一。在2022年的RSAC會議上，網絡安全專家Paula Januszkiewicz將“錯誤配置的網絡通信服務”列為遠程工作導致網絡安全事件的首要原因，而根據Titania的一份報告顯示，網絡錯誤配置使組織每年損失9%的收入。為了確保組織的網絡系統(tǒng)和安全工具得到正確配置，企業(yè)應該對運維人員的操作進行審計和控制，例如安裝用戶活動監(jiān)控解決方案。

07

缺乏網絡分段

如果組織的網絡還是一個相互聯(lián)通的整體，那么網絡犯罪分子將擁有更多的訪問機會。通過利用網絡分段技術，將有效限制組織網絡安全事件的暴露程度，并使組織能夠更好地控制誰可以訪問什么。通過使用網橋（bridges）、交換機和路由器等設備，可以將網絡劃分為多個子網，每個子網都能夠作為一個單獨的業(yè)務網絡運行。

通過將系統(tǒng)和服務彼此隔離，安全人員可以防止一些特發(fā)的安全漏洞演變成后果嚴重的重大網絡安全事件。網絡犯罪分子遇到的阻礙越多，中途放棄的可能性就越大。因此，企業(yè)應該考慮限制組織網絡之間的通信，這將幫助組織限制對敏感系統(tǒng)和數(shù)據的未經授權訪問行為。組織不僅可以借助路由設備在物理上分段網絡，還可以使用軟件在邏輯上分段網絡。

08

未保護員工的家庭環(huán)境

許多網絡安全事件的根源是由于遠程員工沒有使用正確的工具和措施來保護他們的家庭辦公環(huán)境。一旦企業(yè)制定了遠程訪問策略（RAP），請確保所有的遠程辦公人員都有效遵守它。

為了確保員工連接的環(huán)境是安全的，安全團隊需要為他們提供一份清單，列出他們應該做什么，以及需要避免哪些網絡安全錯誤。這份遠程工作安全清單通常會涵蓋以下基本事項：

應用程序的使用：向員工提供一份安全應用程序清單，并確保員工安裝了必要的軟件和操作系統(tǒng)更新；

個人設備的使用：告訴員工應該盡量避免使用個人設備進行遠程工作，同時制定使用遠程辦公設備時的安全規(guī)則，例如，員工必須讓他們的工作設備遠離家人；

密碼管理要求：讓員工養(yǎng)成安全使用密碼的習慣，例如定期更新密碼、不同賬戶使用不同的密碼，以及確保密碼的復雜度適當；

網絡安全指導：要讓遠程員工了解如何正確使用殺毒軟件、vpn和其他安全工具，重要的是，員工要保護他們的家庭Wi-Fi，避免使用公共網絡進行遠程工作；

電子郵件安全：企業(yè)應該教育員工了解社會工程攻擊以及如何避免淪為受害者，要確保所有遠程辦公人員僅使用公司電子郵件發(fā)送和存儲和工作相關的數(shù)據。

09

未開展網絡安全意識培訓

如果遠程辦公人員不認為網絡安全很重要，他們就可能會忘記、忽視甚至破壞關鍵的安全流程。企業(yè)應該明確要求所有的員工定期接受網絡安全培訓，讓遠程員工為最新的網絡威脅做好準備。通過培訓，遠程辦公員工將更有可能記住并使用組織的安全建議。因此，要確保有足夠的網絡安全事件示例，特別是網絡釣魚攻擊案例及其后果。如果可能的話，應該向員工們展示在組織中可能會出現(xiàn)的各種安全威脅和攻擊事件。

10

沒有遠程辦公安全響應計劃

安全人員檢測、響應和修復網絡安全事件所需的時間越長，網絡犯罪分子對企業(yè)造成的損害就會越大。如果沒有一個提前制定的遠程辦公安全事件響應計劃，企業(yè)將在遭遇突發(fā)攻擊時，喪失寶貴的響應時間，這也將帶來更多資產和商譽損失。

安全事件響應計劃（IRP）可以充當網絡安全“救生船”，它概述了安全人員在發(fā)現(xiàn)威脅時應采取的直接和具體步驟。有效的IRP應該包含：

●網絡安全事件指標；

●最常見的安全事件和相應的響應場景的描述；

●事件響應團隊中包括的員工名單，以及他們在事件響應中采取行動的職責；

●恢復和事件調查措施；

●聯(lián)系利益相關者和監(jiān)管機構，通知有關事件等。