当员工远程工作并且您的团队正在过渡到远程员工时,您如何维护安全性?
随着远程工作成为业务中越来越普遍的趋势,并考虑到的疫情,现在没有比现在更好的时间让员工和公司在保护远程工作方面取得长足的进步。
本指南旨在指导员工和企业管理,无论大小,为他们提供可用的工具和步骤。
仅采用以下安全措施之一不足以阻止网络威胁。每个安全措施孤立地都不能保证安全的远程工作;但是,当与多种措施一起使用时,它会为您的网络安全带来复合影响。
1.为远程工作者制定网络安全策略
如果您的企业允许远程工作,则必须制定清晰的网络安全政策,以确保每个员工对公司数据的访问都是安全的。没有适当的策略,任何员工都可以轻易成为黑客劫持您组织网络的切入点。
为了防止这种情况的发生,请创建网络安全策略,其中规定了符合家庭或旅行安全协议的准则。策略可能包括预期使用经过许可的带有加密功能的消息传递程序,例如Signal或WhatsApp;更新和修补计算机安全计划,例如更新防病毒或反恶意软件;以及远程擦除设备上的协议(如果丢失)。
公司拥有的设备
如果您的企业有能力为员工提供笔记本电脑,则应考虑使用。此策略是确保远程工作安全的最佳方法,因为您可以让IT部门手动配置防火墙设置并安装防病毒和防恶意软件。
定期备份硬盘
任何业务都与其数据一样好。如今,大多数公司都将数据在线存储在受加密保护的云存储服务上。但是,也建议定期备份到物理驱动器,因为它们不能被远程入侵。
第三方供应商
并非只有直接员工冒着损害公司内部网络的风险。第三方供应商还负责创建进入系统基础架构的入口点;因此,您的政策也应同样适用于他们。
Target的数据泄露是第三方供应商特权过多导致数据泄露的一个例子。目标示例说明了组织在向第三方授予特权时需要改革其政策的情况;否则,它们可能会无意间在安全性方面建立薄弱的环节。
考虑到第三方供应商,您可以通过盘点所有供应商连接来更好地了解第三方环境。一旦有了想法,就可以通过进行会话记录并查找任何恶意活动或违反政策的行为来监视和调查供应商的活动,从而提高安全性。
服务等级协定
向第三方供应商提供服务级别协议(SLA)。此选项将迫使供应商遵守您组织的安全策略;否则,他们将面临处罚。
消除共享帐户
一种简单而有效的方法是消除供应商之间的共享帐户。如果没有共享帐户,则可以降低未经授权访问的风险;这是投资密码管理工具的另一个原因。
移动安全
随着业务和生活的交织越来越紧密,员工经常将手机用于工作目的。尽管使用移动设备工作可能会对您的业务造成安全风险。
通知您的员工不安全的Wi-Fi网络的危险。使用不安全的Wi-Fi时,您的手机容易受到潜在黑客的攻击,这些黑客正试图破坏您的设备。为防止任何不必要的入侵,请仅使用加密软件进行通信。
最好在工作时限制在移动设备上使用应用程序。您可以通过研究手机的应用程序权限设置(应用程序权限)来实现。
最后,在工作时关闭蓝牙可以限制入侵的路径。
网络边界保护
对于大型企业,可以对网络流量进行过滤以处理合法流量,并阻止希望利用您的网络的潜在入侵者。这种过滤意味着您可以分析和阻止来自未经授权IP地址的入站请求,因为这些请求是系统固有的风险。可以在防火墙的入站规则中设置阻止来自未知来源的传入请求的配置。
2.选择一个远程访问软件
远程办公时,有三种主要的在线安全保护方法。您选择使用远程计算机访问,虚拟专用网络还是直接应用程序访问。每种方法都有其优点和缺点。选择最适合您的组织的方法。
桌面共享
远程PC访问方法(例如桌面共享)将远程计算机从办公室外部的辅助位置连接到主机。这种设置意味着操作员可以访问主机上的本地文件,就像它们实际存在于办公室中一样。
通过登录第三方应用程序,员工可以将便携式设备变成显示器,以访问其办公计算机上的数据。
即使存在直接访问的好处,这种软件也具有使公司内部网络暴露于危险中的高风险,因为它为外部威胁创建了一个额外的端点,以访问企业的局域网。
为了应对潜在的风险,组织不仅必须对防火墙和通信进行加密,而且员工的计算机也需要相同级别的加密。根据您的业务规模,此选项可能太昂贵而无法使用。
LogMeIn,TeamViewer和GoToMyPC等应用程序提供此类服务。
虚拟专用网
虚拟专用网(VPN)是一种通过加密数据在Internet上创建安全连接的软件。通过使用隧道协议对从发送方到接收方的消息进行加密和解密的过程,远程工作人员可以保护其来自外部各方的数据传输。
最常见的是,远程工作人员将使用远程访问VPN客户端连接到组织的VPN网关,以访问其内部网络,但并非没有首先进行身份验证。通常,使用VPN时有两种选择:IP安全性(IPsec)或安全套接字层(SSL)。
IPsec VPN是在远程设备上手动安装和配置的。他们将要求操作员输入详细信息,例如目标网络的网关IP地址以及安全密钥,以访问公司网络。
SSL VPN较新且易于安装。网络管理员无需手动安装VPN,而是将VPN客户端发布到公司防火墙,并提供给公众下载。之后,员工可以从目标网页下载VPN客户端。
VPN连接的缺点是,使用VPN的任何远程设备都有可能将恶意软件引入与其连接的网络。
如果组织计划使用VPN进行远程工作,那么让员工拥有远程设备来遵守其安全策略是他们的最大利益。
VPN的安装因操作系统和类型而异;虽然,这很简单。
直接应用程序访问
远程工作的最低风险选择是直接访问工作应用程序。员工无需访问整个网络,而可以在网络上的各个应用程序中远程工作。
使用这种方法工作时,将公司的内部网络暴露于网络威胁之下的风险很小。由于在网络的基础架构上使用了粒状的外围应用程序,因此针对敏感数据泄露的攻击面有限。
直接访问应用程序极大地限制了不良行为者的风险;同样,它将工作限制在一个应用程序的范围内。与公司网络上所有数据的连接很少,与上述远程访问方法相比,员工的工作量就显得微不足道。
3.使用加密
为您的在线员工选择一种访问方法同等重要,这些方法使用加密来保护远程员工的数据和连接也同样重要。
简而言之,加密是将数据转换为代码或密文的过程。只有拥有密钥或密码的人才能解密和使用数据。
加密软件为企业和远程工作人员增加了一层保护。例如,如果远程员工的计算机丢失或放错位置,并且恶意行为者将其恢复,则加密软件是阻止未经授权的访问的第一道防线。
先进的加密标准
就目前而言,大多数企业由于具有与多种应用程序的兼容性,因此具有使用高级加密标准(AES)来保护数据的安全协议。它使用对称密钥加密,这意味着接收方使用密钥对发送方的数据进行解码。与非对称加密相比,使用它的好处是使用起来更快。寻找使用AES保护公司数据的加密软件。
端到端加密
当使用电子邮件和软件之类的东西进行常规通信时,请寻找使用端到端加密的应用程序,因为它使用了难以置信的强大加密,如果两个端点都安全,则无法破解。
4.实施密码管理软件
由于大多数数据泄露是由于使用非法获取的凭证而发生的,因此密码管理软件是远程工作安全性的宝贵解决方案。
随机密码生成
密码管理软件的功能远不只是存储密码。它还可以生成和检索存储在加密数据库中的复杂的随机密码组合。利用此功能,企业可以完全减少使用相同或相似的密码。
具有所有相似的密码会产生深远的影响。例如,如果一个坏演员获得了您的用户名和密码,他们可以使用这些凭据作为其他应用程序或网络媒体资源的潜在登录名。可以说,由于我们有限的存储容量,人们倾向于重复使用密码,无论有无细微变化。独特的强密码可以消除这种情况的发生和后果。
自动密码轮换
此外,密码管理软件可能需要自动进行密码轮换。顾名思义,密码会不断重置以限制可能的使用时间。通过减少密码的寿命,敏感数据变得更不容易受到攻击。
一次性凭证
可以使用密码保护数据的另一种策略是创建一次性凭证。要制定一次性使用的凭证,请在电子表格中创建一个密码日志,作为“安全”。如果出于业务原因使用一次性密码,请让用户在电子表格中将密码标记为“已签出”。完成任务后,让用户再次签入密码并撤消密码。
5.应用两因素身份验证
验证用户身份是访问控制的重要方面。要获得访问权限,通常需要输入用户名和密码。使用两要素身份验证,您可以通过创建登录所需的两个要求而不是一个来提高远程工作的安全性。本质上,它创建了额外的登录保护层。
两因素身份验证使用两条信息来授予访问权限。它使用诸如用户名和密码之类的凭据以及一个秘密问题或密码,该密码或密码将发送到用户的电话或电子邮件中。这种方法使恶意行为者很难访问系统,因为他们不太可能访问这两个信息。
建议企业采用此安全措施进行系统登录。
6.采用最小特权原则
减轻安全风险的有效方法是限制您的工作人员特权。
网络安全特权分为三种:超级用户,标准用户和来宾用户,其特权以该顺序递减。访客用户对此讨论没有任何影响。
超级用户是那些拥有系统特权的完全访问权限的用户。他们可以通过完成诸如安装或修改软件,设置和用户数据之类的操作来在网络上发布更改。这是当超级用户帐户落入错误的人手中,并且灾难发生在最大范围内的时候。根据您使用的操作系统,超级用户使用不同的名称:Windows系统中的管理员帐户和Linux或Unix系统中的root帐户
note的第二个用户帐户是标准用户,也称为最低特权用户,它具有一组有限的特权。此受限帐户是您希望员工大部分时间使用的帐户,尤其是如果这些人员不属于您的IT部门时。
作为预防措施,我们建议所有员工使用标准用户帐户执行日常任务。仅将超级用户特权授予IT团队的受信任成员,并让他们仅在绝对必要时才使用这些特定帐户执行管理职责。这种称为最小特权原则的方法通过限制过多数据,极大地消除了严重数据泄露的风险。
删除孤立帐户
孤立帐户是有问题的,因为它们是旧的用户帐户,其中包含包含用户名,密码,电子邮件等数据。这些帐户通常属于以前的雇员,这些雇员与公司没有当前联系。这些过去的员工可能已经搬走了,但是他们的帐户可能仍在您的网络上并且可以访问。
问题是他们很难看到您的组织是否不知道它们的存在。如果您在网络上拥有孤立帐户,并且外部或内部威胁找到了它们,则可以使用它们来升级其特权。这些攻击称为哈希传递(PtH)攻击。这些阴险攻击利用低级凭据来进入您的网络,并旨在从管理员帐户窃取密码哈希。如果被盗,黑客可以重复使用散列来解锁管理访问权限。
查找和删除孤立帐户以及任何潜在威胁的最佳方法是使用特权访问管理解决方案。这些工具有助于查找和删除遗留的帐户。
7.创建员工网络安全培训
内部人员在公司网络安全面临的危险中占了很大一部分。实际上,2019年发生的所有数据泄露事件中,只有三分之一以上是由于员工的恶意或过失造成的。
事实并非如此。相反,企业可以通过对员工进行网络安全最佳实践培训来培养安全文化,从而减轻内部威胁的危险。
设备的物理安全
首先,鼓励远程员工在实际旅行时锁定计算机,以保护他们的安全。如果无法实际访问他们的设备,犯规的机会仍然很低。其次,当员工在公共场所工作时,指示他们在键入敏感信息(例如登录名或密码)时注意任何围观者。这种现象被称为“肩膀冲浪”,并且比看起来更有效。
指示员工在不使用计算机时始终注销或关闭计算机。将不受密码保护的计算机留在系统上与任何恶意软件攻击一样有效。
最后,如果密码被记录在纸上,请您的员工撕碎这些纸,而不是仅仅将它们扔到垃圾桶中。
安全的互联网协议
如果您的企业无法向远程员工提供带有Internet限制应用程序的笔记本电脑或计算机,则可以为安全浏览,安装弹出窗口阻止程序以及下载受信任的应用程序以工作中的最佳做法设置准则。
社会工程学攻击
利用人类心理欺骗人们提供敏感信息的恶意行为者称为社会工程师。这些社会工程学攻击有多种形式 ; 但是,最常见的是网络钓鱼攻击。
黑客设计这些攻击是为了将员工误导到伪造的登录页面,以窃取信息或安装他们用来危害网络安全的恶意软件。网络钓鱼攻击最常见的是来自未经请求的电子邮件。因此,培训员工切勿打开未经请求的电子邮件,单击邮件中的未知链接并当心附件。
保护您的远程劳动力
在全球分散的业务环境中,恶意行为者将继续对业务网络安全构成威胁。考虑到这种危险。企业必须采取预防措施来确保员工的远程工作,否则后果自负。
无论您的企业规模大小,都有可以负担得起的解决方案来保护您的生计。如果您在确定哪种选择最适合您的业务方面需要帮助,请立即寻求我们专家的帮助进行咨询。听到我们的一位专家谈到远程办公时保持Office 365安全性的重要性。
此外,了解有关漏洞评估扫描的信息,以完成保护网络的过程。