企業遠程辦公安全防護中最容易犯的10個錯誤
責編:gltian |2023-01-11 17:10:18新冠疫情正在進入新的發展階段,然而,它所引發的企業遠程混合辦公模式變革仍然在持續。毫無疑問,這種變化大大增加了企業組織的網絡安全風險,因為它不僅擴大了潛在的攻擊面,而且還打破了傳統邊界安全防護模式。
總的來看,如果企業組織的遠程辦公環境安全性不佳,將可能會遇到以下風險:
- 經濟損失:主要包括安全事故的恢復成本,以及受到監管機構的罰款等;
- 商譽損失:企業可能會失去客戶、供應商以及合作伙伴的信任;
- 數據資產損失:隨著網絡攻擊或內部威脅的隱患不斷增加,企業數據資產面臨的威脅也將隨之增長;
- 法務費用:由于違規或敏感數據泄露,將導致企業的法律訴訟成本增加;
- 業務運營故障:企業可能會面臨內部業務運營和關鍵供應鏈中斷的風險。
盡管目前,保障遠程辦公的安全性已經引起了企業組織的高度關注,但在應用實踐中,部分安全人員仍然會在配置和管理遠程辦公環境方面存在一些較嚴重的錯誤。本文收集整理了企業在遠程辦公安全防護中最容易犯的10個錯誤,以及如何有效避免這些錯誤。
01
對遠程辦公活動缺乏可見性
對企業員工的遠程辦公活動缺乏可見性,將會嚴重削弱企業檢測和阻止安全威脅事件的能力。
雖然工作環境不同,但遠程工作者往往與在辦公室工作的同事擁有相同級別的業務系統訪問權限。而據調研數據顯示,約43%的遠程員工會在網絡安全方面出現錯誤,因此企業必須采取措施將這些影響降至最低。
此外,如果遠程工作人員成為惡意的內部人員,他們會更容易竊取或破壞敏感數據,進行商業間諜活動,或實施欺詐。為了有效應對這種威脅,安全團隊必須能夠全面監控所有遠程辦公人員的系統訪問活動。為此,組織可以考慮部署專門的可見性監控管理軟件。
02
為遠程員工提供過度的訪問權限
擁有過度訪問權限的遠程員工很可能會成為特權濫用、賬戶泄露、數據泄露和其他網絡攻擊的源頭。一種最有效的解決辦法是,企業盡快采取“最小特權原則”,它意味著除了執行工作職責所需的訪問權限外,員工幾乎不會被授予額外的訪問權限。減少遠程員工對關鍵信息的非必要訪問,可以幫助防止潛在的安全威脅。企業還可以考慮實現更全面的即時訪問管理方法,對遠程特權用戶和第三方合作伙伴,采取比辦公室員工更嚴格的權限管理策略,因為因為他們訪問組織基礎設施的特權可能會被非法提升。
03
缺乏明確的遠程訪問安全策略
如果企業缺乏明確的安全策略,將可能導致企業安全建設目標的清晰度和同步性較差。遠程訪問策略(RAP)旨在指導組織努力確保遠程工作的安全性和穩定性。這樣的政策概述了安全人員和遠程辦公人員應該遵守的工作流程,以最大限度地減少與業務工作相關的遠程網絡安全風險。RAP可能是企業中更廣泛的信息安全策略(ISP)的一部分,它應該包含用于管理組織遠程工作風險的網絡安全解決方案和工具列表。
04
沒有統一管理用戶密碼
在安全性差的企業辦公環境中,遠程辦公員工往往自行設置賬號密碼,并且會有弱密碼使用習慣,這增加了由于暴力攻擊、密碼噴灑和其他網絡攻擊而導致的賬戶泄露風險。根據IBM Security和Morning Consult的一項遠程辦公研究顯示,高達35%的遠程員工在其使用的業務系統和登錄賬戶上重復使用相同的密碼。遠程工作者不良的密碼管理習慣迫使組織使用專門的安全軟件來管理用戶憑證。
05
不能真實驗證遠程用戶的身份
如果無法檢查誰在使用賬戶,可能會導致對組織關鍵資產的未經授權訪問行為。如果遠程辦公人員的賬戶憑證被泄露,安全人員必須有辦法防止網絡犯罪分子訪問組織的資產。多因素身份驗證(MFA)是一種經過時間驗證的方法,它可以確保有更多的因素(而不僅僅是密碼)來驗證試圖訪問組織網絡的用戶。啟用MFA后,網絡犯罪分子使用竊取憑證的難度將大大提升。如果企業組織希望更有效保證訪問者身份的真實可信,應該充分研究和了解零信任的技術理念,并考慮在組織中實現零信任安全體系結構。
06
配置錯誤的通信網絡
研究人員發現,未能正確配置企業網絡也是遠程辦公場景中許多安全威脅產生的重要原因之一。在2022年的RSAC會議上,網絡安全專家Paula Januszkiewicz將“錯誤配置的網絡通信服務”列為遠程工作導致網絡安全事件的首要原因,而根據Titania的一份報告顯示,網絡錯誤配置使組織每年損失9%的收入。為了確保組織的網絡系統和安全工具得到正確配置,企業應該對運維人員的操作進行審計和控制,例如安裝用戶活動監控解決方案。
07
缺乏網絡分段
如果組織的網絡還是一個相互聯通的整體,那么網絡犯罪分子將擁有更多的訪問機會。通過利用網絡分段技術,將有效限制組織網絡安全事件的暴露程度,并使組織能夠更好地控制誰可以訪問什么。通過使用網橋(bridges)、交換機和路由器等設備,可以將網絡劃分為多個子網,每個子網都能夠作為一個單獨的業務網絡運行。
通過將系統和服務彼此隔離,安全人員可以防止一些特發的安全漏洞演變成后果嚴重的重大網絡安全事件。網絡犯罪分子遇到的阻礙越多,中途放棄的可能性就越大。因此,企業應該考慮限制組織網絡之間的通信,這將幫助組織限制對敏感系統和數據的未經授權訪問行為。組織不僅可以借助路由設備在物理上分段網絡,還可以使用軟件在邏輯上分段網絡。
08
未保護員工的家庭環境
許多網絡安全事件的根源是由于遠程員工沒有使用正確的工具和措施來保護他們的家庭辦公環境。一旦企業制定了遠程訪問策略(RAP),請確保所有的遠程辦公人員都有效遵守它。
為了確保員工連接的環境是安全的,安全團隊需要為他們提供一份清單,列出他們應該做什么,以及需要避免哪些網絡安全錯誤。這份遠程工作安全清單通常會涵蓋以下基本事項:
- 應用程序的使用:向員工提供一份安全應用程序清單,并確保員工安裝了必要的軟件和操作系統更新;
- 個人設備的使用:告訴員工應該盡量避免使用個人設備進行遠程工作,同時制定使用遠程辦公設備時的安全規則,例如,員工必須讓他們的工作設備遠離家人;
- 密碼管理要求:讓員工養成安全使用密碼的習慣,例如定期更新密碼、不同賬戶使用不同的密碼,以及確保密碼的復雜度適當;
- 網絡安全指導:要讓遠程員工了解如何正確使用殺毒軟件、vpn和其他安全工具,重要的是,員工要保護他們的家庭Wi-Fi,避免使用公共網絡進行遠程工作;
- 電子郵件安全:企業應該教育員工了解社會工程攻擊以及如何避免淪為受害者,要確保所有遠程辦公人員僅使用公司電子郵件發送和存儲和工作相關的數據。
09
未開展網絡安全意識培訓
如果遠程辦公人員不認為網絡安全很重要,他們就可能會忘記、忽視甚至破壞關鍵的安全流程。企業應該明確要求所有的員工定期接受網絡安全培訓,讓遠程員工為最新的網絡威脅做好準備。通過培訓,遠程辦公員工將更有可能記住并使用組織的安全建議。因此,要確保有足夠的網絡安全事件示例,特別是網絡釣魚攻擊案例及其后果。如果可能的話,應該向員工們展示在組織中可能會出現的各種安全威脅和攻擊事件。
10
沒有遠程辦公安全響應計劃
安全人員檢測、響應和修復網絡安全事件所需的時間越長,網絡犯罪分子對企業造成的損害就會越大。如果沒有一個提前制定的遠程辦公安全事件響應計劃,企業將在遭遇突發攻擊時,喪失寶貴的響應時間,這也將帶來更多資產和商譽損失。
安全事件響應計劃(IRP)可以充當網絡安全“救生船”,它概述了安全人員在發現威脅時應采取的直接和具體步驟。有效的IRP應該包含:
- 網絡安全事件指標;
- 最常見的安全事件和相應的響應場景的描述;
- 事件響應團隊中包括的員工名單,以及他們在事件響應中采取行動的職責;
- 恢復和事件調查措施;
- 聯系利益相關者和監管機構,通知有關事件等。
參考鏈接:
https://www.ekransystem.com/en/blog/mistakes-in-securing-remote-work