企業遠端辦公安全防護中最容易犯的10個錯誤

新冠疫情正在進入新的發展階段,然而,它所引發的企業遠端混合辦公模式變革仍然在持續。毫無疑問,這種變化大大增加了企業組織的網路安全風險,因為它不僅擴大了潛在的攻擊面,而且還打破了傳統邊界安全防護模式。

總的來看,如果企業組織的遠端辦公環境安全性不佳,將可能會遇到以下風險:

  • 經濟損失:主要包括安全事故的恢復成本,以及受到監管機構的罰款等;

  • 商譽損失:企業可能會失去客戶、供應商以及合作伙伴的信任;

  • 資料資產損失:隨著網路攻擊或內部威脅的隱患不斷增加,企業資料資產面臨的威脅也將隨之增長;

  • 法務費用:由於違規或敏感資料洩露,將導致企業的法律訴訟成本增加;

  • 業務運營故障:企業可能會面臨內部業務運營和關鍵供應鏈中斷的風險。

儘管目前,保障遠端辦公的安全性已經引起了企業組織的高度關注,但在應用實踐中,部分安全人員仍然會在配置和管理遠端辦公環境方面存在一些較嚴重的錯誤。本文收集整理了企業在遠端辦公安全防護中最容易犯的10個錯誤,以及如何有效避免這些錯誤。

01

對遠端辦公活動缺乏可見性

對企業員工的遠端辦公活動缺乏可見性,將會嚴重削弱企業檢測和阻止安全威脅事件的能力。

雖然工作環境不同,但遠端工作者往往與在辦公室工作的同事擁有相同級別的業務系統訪問許可權。而據調研資料顯示,約43%的遠端員工會在網路安全方面出現錯誤,因此企業必須採取措施將這些影響降至最低。

此外,如果遠端工作人員成為惡意的內部人員,他們會更容易竊取或破壞敏感資料,進行商業間諜活動,或實施欺詐。為了有效應對這種威脅,安全團隊必須能夠全面監控所有遠端辦公人員的系統訪問活動。為此,組織可以考慮部署專門的可見性監控管理軟體。

02

為遠端員工提供過度的訪問許可權

擁有過度訪問許可權的遠端員工很可能會成為特權濫用、賬戶洩露、資料洩露和其他網路攻擊的源頭。一種最有效的解決辦法是,企業儘快採取「最小特權原則」,它意味著除了執行工作職責所需的訪問許可權外,員工幾乎不會被授予額外的訪問許可權。減少遠端員工對關鍵資訊的非必要訪問,可以幫助防止潛在的安全威脅。企業還可以考慮實現更全面的即時訪問管理方法,對遠端特權使用者和第三方合作伙伴,採取比辦公室員工更嚴格的許可權管理策略,因為因為他們訪問組織基礎設施的特權可能會被非法提升。

03

缺乏明確的遠端訪問安全策略

如果企業缺乏明確的安全策略,將可能導致企業安全建設目標的清晰度和同步性較差。遠端訪問策略(RAP)旨在指導組織努力確保遠端工作的安全性和穩定性。這樣的政策概述了安全人員和遠端辦公人員應該遵守的工作流程,以最大限度地減少與業務工作相關的遠端網路安全風險。RAP可能是企業中更廣泛的資訊安全策略(ISP)的一部分,它應該包含用於管理組織遠端工作風險的網路安全解決方案和工具列表。

04

沒有統一管理使用者密碼

在安全性差的企業辦公環境中,遠端辦公員工往往自行設置賬號密碼,並且會有弱密碼使用習慣,這增加了由於暴力攻擊、密碼噴灑和其他網路攻擊而導致的賬戶洩露風險。根據IBM Security和Morning Consult的一項遠端辦公研究顯示,高達35%的遠端員工在其使用的業務系統和登入賬戶上重複使用相同的密碼。遠端工作者不良的密碼管理習慣迫使組織使用專門的安全軟體來管理使用者憑證。

05

不能真實驗證遠端使用者的身份

如果無法檢查誰在使用賬戶,可能會導致對組織關鍵資產的未經授權訪問行為。如果遠端辦公人員的賬戶憑證被洩露,安全人員必須有辦法防止網路犯罪分子訪問組織的資產。多因素身份驗證(MFA)是一種經過時間驗證的方法,它可以確保有更多的因素(而不僅僅是密碼)來驗證試圖訪問組織網路的使用者。啟用MFA後,網路犯罪分子使用竊取憑證的難度將大大提升。如果企業組織希望更有效保證訪問者身份的真實可信,應該充分研究和了解零信任的技術理念,並考慮在組織中實現零信任安全體系結構。

06

配置錯誤的通訊網路

研究人員發現,未能正確配置企業網路也是遠端辦公場景中許多安全威脅產生的重要原因之一。在2022年的RSAC會議上,網路安全專家Paula Januszkiewicz將「錯誤配置的網路通訊服務」列為遠端工作導致網路安全事件的首要原因,而根據Titania的一份報告顯示,網路錯誤配置使組織每年損失9%的收入。為了確保組織的網路系統和安全工具得到正確配置,企業應該對運維人員的操作進行審計和控制,例如安裝使用者活動監控解決方案。

07

缺乏網路分段

如果組織的網路還是一個相互聯通的整體,那麼網路犯罪分子將擁有更多的訪問機會。通過利用網路分段技術,將有效限制組織網路安全事件的暴露程度,並使組織能夠更好地控制誰可以訪問什麼。通過使用網橋(bridges)、交換機和路由器等設備,可以將網路劃分為多個子網,每個子網都能夠作為一個單獨的業務網路運行。

通過將系統和服務彼此隔離,安全人員可以防止一些特發的安全漏洞演變成後果嚴重的重大網路安全事件。網路犯罪分子遇到的阻礙越多,中途放棄的可能性就越大。因此,企業應該考慮限制組織網路之間的通訊,這將幫助組織限制對敏感系統和資料的未經授權訪問行為。組織不僅可以藉助路由設備在物理上分段網路,還可以使用軟體在邏輯上分段網路。

08

未保護員工的家庭環境

許多網路安全事件的根源是由於遠端員工沒有使用正確的工具和措施來保護他們的家庭辦公環境。一旦企業制定了遠端訪問策略(RAP),請確保所有的遠端辦公人員都有效遵守它。

為了確保員工連接的環境是安全的,安全團隊需要為他們提供一份清單,列出他們應該做什麼,以及需要避免哪些網路安全錯誤。這份遠端工作安全清單通常會涵蓋以下基本事項:

  • 應用程序的使用:向員工提供一份安全應用程序清單,並確保員工安裝了必要的軟體和作業系統更新;

  • 個人設備的使用:告訴員工應該儘量避免使用個人設備進行遠端工作,同時制定使用遠端辦公設備時的安全規則,例如,員工必須讓他們的工作設備遠離家人;

  • 密碼管理要求:讓員工養成安全使用密碼的習慣,例如定期更新密碼、不同賬戶使用不同的密碼,以及確保密碼的複雜度適當;

  • 網路安全指導:要讓遠端員工了解如何正確使用防毒軟體、vpn和其他安全工具,重要的是,員工要保護他們的家庭Wi-Fi,避免使用公共網路進行遠端工作;

  • 電子郵件安全:企業應該教育員工了解社會工程攻擊以及如何避免淪為受害者,要確保所有遠端辦公人員僅使用公司電子郵件發送和儲存和工作相關的資料。

09

未開展網路安全意識培訓

如果遠端辦公人員不認為網路安全很重要,他們就可能會忘記、忽視甚至破壞關鍵的安全流程。企業應該明確要求所有的員工定期接受網路安全培訓,讓遠端員工為最新的網路威脅做好準備。通過培訓,遠端辦公員工將更有可能記住並使用組織的安全建議。因此,要確保有足夠的網路安全事件示例,特別是網路釣魚攻擊案例及其後果。如果可能的話,應該向員工們展示在組織中可能會出現的各種安全威脅和攻擊事件。

10

沒有遠端辦公安全響應計劃

安全人員檢測、響應和修復網路安全事件所需的時間越長,網路犯罪分子對企業造成的損害就會越大。如果沒有一個提前制定的遠端辦公安全事件響應計劃,企業將在遭遇突發攻擊時,喪失寶貴的響應時間,這也將帶來更多資產和商譽損失。

安全事件響應計劃(IRP)可以充當網路安全「救生船」,它概述了安全人員在發現威脅時應採取的直接和具體步驟。有效的IRP應該包含:

  • 網路安全事件指標;

  • 最常見的安全事件和相應的響應場景的描述;

  • 事件響應團隊中包括的員工名單,以及他們在事件響應中採取行動的職責;

  • 恢復和事件調查措施;

  • 聯繫利益相關者和監管機構,通知有關事件等。

參考連結:

https://www.ekransystem.com/en/blog/mistakes-in-securing-remote-work

相關文章