當員工遠程工作并且您的團隊正在過渡到遠程員工時���,您如何維護安全性?
隨著遠程工作成為業(yè)務(wù)中越來越普遍的趨勢�,并考慮到的疫情����,現(xiàn)在沒有比現(xiàn)在更好的時間讓員工和公司在保護遠程工作方面取得長足的進步�。
本指南旨在指導(dǎo)員工和企業(yè)管理,無論大小�,為他們提供可用的工具和步驟。
僅采用以下安全措施之一不足以阻止網(wǎng)絡(luò)威脅�。每個安全措施孤立地都不能保證安全的遠程工作;但是����,當與多種措施一起使用時,它會為您的網(wǎng)絡(luò)安全帶來復(fù)合影響�。
1.為遠程工作者制定網(wǎng)絡(luò)安全策略
如果您的企業(yè)允許遠程工作,則必須制定清晰的網(wǎng)絡(luò)安全政策��,以確保每個員工對公司數(shù)據(jù)的訪問都是安全的���。沒有適當?shù)牟呗���,任何員工都可以輕易成為黑客劫持您組織網(wǎng)絡(luò)的切入點。
為了防止這種情況的發(fā)生�,請創(chuàng)建網(wǎng)絡(luò)安全策略,其中規(guī)定了符合家庭或旅行安全協(xié)議的準則��。策略可能包括預(yù)期使用經(jīng)過許可的帶有加密功能的消息傳遞程序,例如Signal或WhatsApp����;更新和修補計算機安全計劃,例如更新防病毒或反惡意軟件�����;以及遠程擦除設(shè)備上的協(xié)議(如果丟失)����。
公司擁有的設(shè)備
如果您的企業(yè)有能力為員工提供筆記本電腦,則應(yīng)考慮使用�����。此策略是確保遠程工作安全的最佳方法�����,因為您可以讓IT部門手動配置防火墻設(shè)置并安裝防病毒和防惡意軟件�����。
定期備份硬盤
任何業(yè)務(wù)都與其數(shù)據(jù)一樣好��。如今����,大多數(shù)公司都將數(shù)據(jù)在線存儲在受加密保護的云存儲服務(wù)上。但是�����,也建議定期備份到物理驅(qū)動器��,因為它們不能被遠程入侵�����。
第三方供應(yīng)商
并非只有直接員工冒著損害公司內(nèi)部網(wǎng)絡(luò)的風(fēng)險����。第三方供應(yīng)商還負責創(chuàng)建進入系統(tǒng)基礎(chǔ)架構(gòu)的入口點;因此�����,您的政策也應(yīng)同樣適用于他們���。
Target的數(shù)據(jù)泄露是第三方供應(yīng)商特權(quán)過多導(dǎo)致數(shù)據(jù)泄露的一個例子����。目標示例說明了組織在向第三方授予特權(quán)時需要改革其政策的情況;否則�����,它們可能會無意間在安全性方面建立薄弱的環(huán)節(jié)����。
考慮到第三方供應(yīng)商,您可以通過盤點所有供應(yīng)商連接來更好地了解第三方環(huán)境���。一旦有了想法����,就可以通過進行會話記錄并查找任何惡意活動或違反政策的行為來監(jiān)視和調(diào)查供應(yīng)商的活動�����,從而提高安全性�����。
服務(wù)等級協(xié)定
向第三方供應(yīng)商提供服務(wù)級別協(xié)議(SLA)����。此選項將迫使供應(yīng)商遵守您組織的安全策略;否則���,他們將面臨處罰���。
消除共享帳戶
一種簡單而有效的方法是消除供應(yīng)商之間的共享帳戶。如果沒有共享帳戶��,則可以降低未經(jīng)授權(quán)訪問的風(fēng)險�����;這是投資密碼管理工具的另一個原因��。
移動安全
隨著業(yè)務(wù)和生活的交織越來越緊密���,員工經(jīng)常將手機用于工作目的���。盡管使用移動設(shè)備工作可能會對您的業(yè)務(wù)造成安全風(fēng)險。
通知您的員工不安全的Wi-Fi網(wǎng)絡(luò)的危險�。使用不安全的Wi-Fi時,您的手機容易受到潛在黑客的攻擊,這些黑客正試圖破壞您的設(shè)備��。為防止任何不必要的入侵�,請僅使用加密軟件進行通信。
最好在工作時限制在移動設(shè)備上使用應(yīng)用程序�。您可以通過研究手機的應(yīng)用程序權(quán)限設(shè)置(應(yīng)用程序權(quán)限)來實現(xiàn)。
最后��,在工作時關(guān)閉藍牙可以限制入侵的路徑����。
網(wǎng)絡(luò)邊界保護
對于大型企業(yè),可以對網(wǎng)絡(luò)流量進行過濾以處理合法流量�,并阻止希望利用您的網(wǎng)絡(luò)的潛在入侵者。這種過濾意味著您可以分析和阻止來自未經(jīng)授權(quán)IP地址的入站請求�����,因為這些請求是系統(tǒng)固有的風(fēng)險��。可以在防火墻的入站規(guī)則中設(shè)置阻止來自未知來源的傳入請求的配置���。
2.選擇一個遠程訪問軟件
遠程辦公時,有三種主要的在線安全保護方法�����。您選擇使用遠程計算機訪問,虛擬專用網(wǎng)絡(luò)還是直接應(yīng)用程序訪問���。每種方法都有其優(yōu)點和缺點���。選擇最適合您的組織的方法。
桌面共享
遠程PC訪問方法(例如桌面共享)將遠程計算機從辦公室外部的輔助位置連接到主機��。這種設(shè)置意味著操作員可以訪問主機上的本地文件�,就像它們實際存在于辦公室中一樣。
通過登錄第三方應(yīng)用程序��,員工可以將便攜式設(shè)備變成顯示器�����,以訪問其辦公計算機上的數(shù)據(jù)���。
即使存在直接訪問的好處�����,這種軟件也具有使公司內(nèi)部網(wǎng)絡(luò)暴露于危險中的高風(fēng)險�����,因為它為外部威脅創(chuàng)建了一個額外的端點��,以訪問企業(yè)的局域網(wǎng)�����。
為了應(yīng)對潛在的風(fēng)險����,組織不僅必須對防火墻和通信進行加密,而且員工的計算機也需要相同級別的加密��。根據(jù)您的業(yè)務(wù)規(guī)模�����,此選項可能太昂貴而無法使用��。
LogMeIn���,TeamViewer和GoToMyPC等應(yīng)用程序提供此類服務(wù)����。
虛擬專用網(wǎng)
虛擬專用網(wǎng)(VPN)是一種通過加密數(shù)據(jù)在Internet上創(chuàng)建安全連接的軟件。通過使用隧道協(xié)議對從發(fā)送方到接收方的消息進行加密和解密的過程���,遠程工作人員可以保護其來自外部各方的數(shù)據(jù)傳輸。
最常見的是���,遠程工作人員將使用遠程訪問VPN客戶端連接到組織的VPN網(wǎng)關(guān)�,以訪問其內(nèi)部網(wǎng)絡(luò)����,但并非沒有首先進行身份驗證。通常���,使用VPN時有兩種選擇:IP安全性(IPsec)或安全套接字層(SSL)�����。
IPsec VPN是在遠程設(shè)備上手動安裝和配置的��。他們將要求操作員輸入詳細信息����,例如目標網(wǎng)絡(luò)的網(wǎng)關(guān)IP地址以及安全密鑰���,以訪問公司網(wǎng)絡(luò)�。
SSL VPN較新且易于安裝。網(wǎng)絡(luò)管理員無需手動安裝VPN���,而是將VPN客戶端發(fā)布到公司防火墻����,并提供給公眾下載�����。之后���,員工可以從目標網(wǎng)頁下載VPN客戶端�����。
VPN連接的缺點是����,使用VPN的任何遠程設(shè)備都有可能將惡意軟件引入與其連接的網(wǎng)絡(luò)����。
如果組織計劃使用VPN進行遠程工作����,那么讓員工擁有遠程設(shè)備來遵守其安全策略是他們的最大利益����。
VPN的安裝因操作系統(tǒng)和類型而異�����;雖然��,這很簡單��。
直接應(yīng)用程序訪問
遠程工作的最低風(fēng)險選擇是直接訪問工作應(yīng)用程序�。員工無需訪問整個網(wǎng)絡(luò),而可以在網(wǎng)絡(luò)上的各個應(yīng)用程序中遠程工作��。
使用這種方法工作時�,將公司的內(nèi)部網(wǎng)絡(luò)暴露于網(wǎng)絡(luò)威脅之下的風(fēng)險很小。由于在網(wǎng)絡(luò)的基礎(chǔ)架構(gòu)上使用了粒狀的外圍應(yīng)用程序�,因此針對敏感數(shù)據(jù)泄露的攻擊面有限。
直接訪問應(yīng)用程序極大地限制了不良行為者的風(fēng)險����;同樣����,它將工作限制在一個應(yīng)用程序的范圍內(nèi)���。與公司網(wǎng)絡(luò)上所有數(shù)據(jù)的連接很少��,與上述遠程訪問方法相比�,員工的工作量就顯得微不足道����。
3.使用加密
為您的在線員工選擇一種訪問方法同等重要,這些方法使用加密來保護遠程員工的數(shù)據(jù)和連接也同樣重要�。
簡而言之,加密是將數(shù)據(jù)轉(zhuǎn)換為代碼或密文的過程��。只有擁有密鑰或密碼的人才能解密和使用數(shù)據(jù)����。
加密軟件為企業(yè)和遠程工作人員增加了一層保護。例如�����,如果遠程員工的計算機丟失或放錯位置�,并且惡意行為者將其恢復(fù)�,則加密軟件是阻止未經(jīng)授權(quán)的訪問的第一道防線�����。
先進的加密標準
就目前而言�����,大多數(shù)企業(yè)由于具有與多種應(yīng)用程序的兼容性�����,因此具有使用高級加密標準(AES)來保護數(shù)據(jù)的安全協(xié)議����。它使用對稱密鑰加密����,這意味著接收方使用密鑰對發(fā)送方的數(shù)據(jù)進行解碼。與非對稱加密相比����,使用它的好處是使用起來更快。尋找使用AES保護公司數(shù)據(jù)的加密軟件����。
端到端加密
當使用電子郵件和軟件之類的東西進行常規(guī)通信時��,請尋找使用端到端加密的應(yīng)用程序��,因為它使用了難以置信的強大加密����,如果兩個端點都安全����,則無法破解。
4.實施密碼管理軟件
由于大多數(shù)數(shù)據(jù)泄露是由于使用非法獲取的憑證而發(fā)生的��,因此密碼管理軟件是遠程工作安全性的寶貴解決方案���。
隨機密碼生成
密碼管理軟件的功能遠不只是存儲密碼�����。它還可以生成和檢索存儲在加密數(shù)據(jù)庫中的復(fù)雜的隨機密碼組合�����。利用此功能���,企業(yè)可以完全減少使用相同或相似的密碼�����。
具有所有相似的密碼會產(chǎn)生深遠的影響�。例如��,如果一個壞演員獲得了您的用戶名和密碼��,他們可以使用這些憑據(jù)作為其他應(yīng)用程序或網(wǎng)絡(luò)媒體資源的潛在登錄名��。可以說���,由于我們有限的存儲容量,人們傾向于重復(fù)使用密碼�,無論有無細微變化。獨特的強密碼可以消除這種情況的發(fā)生和后果���。
自動密碼輪換
此外�,密碼管理軟件可能需要自動進行密碼輪換����。顧名思義���,密碼會不斷重置以限制可能的使用時間。通過減少密碼的壽命��,敏感數(shù)據(jù)變得更不容易受到攻擊�����。
一次性憑證
可以使用密碼保護數(shù)據(jù)的另一種策略是創(chuàng)建一次性憑證����。要制定一次性使用的憑證,請在電子表格中創(chuàng)建一個密碼日志���,作為“安全”�����。如果出于業(yè)務(wù)原因使用一次性密碼�����,請讓用戶在電子表格中將密碼標記為“已簽出”�����。完成任務(wù)后��,讓用戶再次簽入密碼并撤消密碼��。
5.應(yīng)用兩因素身份驗證
驗證用戶身份是訪問控制的重要方面�����。要獲得訪問權(quán)限��,通常需要輸入用戶名和密碼�����。使用兩要素身份驗證��,您可以通過創(chuàng)建登錄所需的兩個要求而不是一個來提高遠程工作的安全性�����。本質(zhì)上���,它創(chuàng)建了額外的登錄保護層。
兩因素身份驗證使用兩條信息來授予訪問權(quán)限。它使用諸如用戶名和密碼之類的憑據(jù)以及一個秘密問題或密碼�����,該密碼或密碼將發(fā)送到用戶的電話或電子郵件中�。這種方法使惡意行為者很難訪問系統(tǒng),因為他們不太可能訪問這兩個信息���。
建議企業(yè)采用此安全措施進行系統(tǒng)登錄��。
6.采用最小特權(quán)原則
減輕安全風(fēng)險的有效方法是限制您的工作人員特權(quán)��。
網(wǎng)絡(luò)安全特權(quán)分為三種:超級用戶�,標準用戶和來賓用戶���,其特權(quán)以該順序遞減����。訪客用戶對此討論沒有任何影響����。
超級用戶是那些擁有系統(tǒng)特權(quán)的完全訪問權(quán)限的用戶。他們可以通過完成諸如安裝或修改軟件����,設(shè)置和用戶數(shù)據(jù)之類的操作來在網(wǎng)絡(luò)上發(fā)布更改�。這是當超級用戶帳戶落入錯誤的人手中�����,并且災(zāi)難發(fā)生在最大范圍內(nèi)的時候��。根據(jù)您使用的操作系統(tǒng)����,超級用戶使用不同的名稱:Windows系統(tǒng)中的管理員帳戶和Linux或Unix系統(tǒng)中的root帳戶
note的第二個用戶帳戶是標準用戶,也稱為最低特權(quán)用戶����,它具有一組有限的特權(quán)。此受限帳戶是您希望員工大部分時間使用的帳戶��,尤其是如果這些人員不屬于您的IT部門時��。
作為預(yù)防措施���,我們建議所有員工使用標準用戶帳戶執(zhí)行日常任務(wù)。僅將超級用戶特權(quán)授予IT團隊的受信任成員����,并讓他們僅在絕對必要時才使用這些特定帳戶執(zhí)行管理職責��。這種稱為最小特權(quán)原則的方法通過限制過多數(shù)據(jù)����,極大地消除了嚴重數(shù)據(jù)泄露的風(fēng)險��。
刪除孤立帳戶
孤立帳戶是有問題的�,因為它們是舊的用戶帳戶,其中包含包含用戶名����,密碼,電子郵件等數(shù)據(jù)�。這些帳戶通常屬于以前的雇員,這些雇員與公司沒有當前聯(lián)系����。這些過去的員工可能已經(jīng)搬走了,但是他們的帳戶可能仍在您的網(wǎng)絡(luò)上并且可以訪問��。
問題是他們很難看到您的組織是否不知道它們的存在�。如果您在網(wǎng)絡(luò)上擁有孤立帳戶,并且外部或內(nèi)部威脅找到了它們�,則可以使用它們來升級其特權(quán)��。這些攻擊稱為哈希傳遞(PtH)攻擊�����。這些陰險攻擊利用低級憑據(jù)來進入您的網(wǎng)絡(luò)�����,并旨在從管理員帳戶竊取密碼哈希�。如果被盜�,黑客可以重復(fù)使用散列來解鎖管理訪問權(quán)限。
查找和刪除孤立帳戶以及任何潛在威脅的最佳方法是使用特權(quán)訪問管理解決方案�。這些工具有助于查找和刪除遺留的帳戶。
7.創(chuàng)建員工網(wǎng)絡(luò)安全培訓(xùn)
內(nèi)部人員在公司網(wǎng)絡(luò)安全面臨的危險中占了很大一部分����。實際上,2019年發(fā)生的所有數(shù)據(jù)泄露事件中�����,只有三分之一以上是由于員工的惡意或過失造成的�。
事實并非如此。相反,企業(yè)可以通過對員工進行網(wǎng)絡(luò)安全最佳實踐培訓(xùn)來培養(yǎng)安全文化�,從而減輕內(nèi)部威脅的危險。
設(shè)備的物理安全
首先�����,鼓勵遠程員工在實際旅行時鎖定計算機����,以保護他們的安全�。如果無法實際訪問他們的設(shè)備,犯規(guī)的機會仍然很低���。其次�,當員工在公共場所工作時����,指示他們在鍵入敏感信息(例如登錄名或密碼)時注意任何圍觀者。這種現(xiàn)象被稱為“肩膀沖浪”��,并且比看起來更有效����。
指示員工在不使用計算機時始終注銷或關(guān)閉計算機。將不受密碼保護的計算機留在系統(tǒng)上與任何惡意軟件攻擊一樣有效�����。
最后,如果密碼被記錄在紙上�����,請您的員工撕碎這些紙����,而不是僅僅將它們?nèi)拥嚼爸小?/span>
安全的互聯(lián)網(wǎng)協(xié)議
如果您的企業(yè)無法向遠程員工提供帶有Internet限制應(yīng)用程序的筆記本電腦或計算機,則可以為安全瀏覽����,安裝彈出窗口阻止程序以及下載受信任的應(yīng)用程序以工作中的最佳做法設(shè)置準則。
社會工程學(xué)攻擊
利用人類心理欺騙人們提供敏感信息的惡意行為者稱為社會工程師�。這些社會工程學(xué)攻擊有多種形式 ; 但是,最常見的是網(wǎng)絡(luò)釣魚攻擊�。
黑客設(shè)計這些攻擊是為了將員工誤導(dǎo)到偽造的登錄頁面,以竊取信息或安裝他們用來危害網(wǎng)絡(luò)安全的惡意軟件�。網(wǎng)絡(luò)釣魚攻擊最常見的是來自未經(jīng)請求的電子郵件。因此�����,培訓(xùn)員工切勿打開未經(jīng)請求的電子郵件,單擊郵件中的未知鏈接并當心附件��。
保護您的遠程勞動力
在全球分散的業(yè)務(wù)環(huán)境中�����,惡意行為者將繼續(xù)對業(yè)務(wù)網(wǎng)絡(luò)安全構(gòu)成威脅�����。考慮到這種危險�����。企業(yè)必須采取預(yù)防措施來確保員工的遠程工作�,否則后果自負�����。
無論您的企業(yè)規(guī)模大小���,都有可以負擔得起的解決方案來保護您的生計��。如果您在確定哪種選擇最適合您的業(yè)務(wù)方面需要幫助����,請立即尋求我們專家的幫助進行咨詢。聽到我們的一位專家談到遠程辦公時保持Office 365安全性的重要性����。
此外,了解有關(guān)漏洞評估掃描的信息�����,以完成保護網(wǎng)絡(luò)的過程���。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
