企业远程办公安全防护中最容易犯的10个错误
新冠疫情正在进入新的发展阶段,然而,它所引发的企业远程混合办公模式变革仍然在持续。毫无疑问,这种变化大大增加了企业组织的网络安全风险,因为它不仅扩大了潜在的攻击面,而且还打破了传统边界安全防护模式。
总的来看,如果企业组织的远程办公环境安全性不佳,将可能会遇到以下风险:
- 经济损失:主要包括安全事故的恢复成本,以及受到监管机构的罚款等;
- 商誉损失:企业可能会失去客户、供应商以及合作伙伴的信任;
- 数据资产损失:随着网络攻击或内部威胁的隐患不断增加,企业数据资产面临的威胁也将随之增长;
- 法务费用:由于违规或敏感数据泄露,将导致企业的法律诉讼成本增加;
- 业务运营故障:企业可能会面临内部业务运营和关键供应链中断的风险。
尽管目前,保障远程办公的安全性已经引起了企业组织的高度关注,但在应用实践中,部分安全人员仍然会在配置和管理远程办公环境方面存在一些较严重的错误。本文收集整理了企业在远程办公安全防护中最容易犯的10个错误,以及如何有效避免这些错误。
01、对远程办公活动缺乏可见性
对企业员工的远程办公活动缺乏可见性,将会严重削弱企业检测和阻止安全威胁事件的能力。
虽然工作环境不同,但远程工作者往往与在办公室工作的同事拥有相同级别的业务系统访问权限。而据调研数据显示,约43%的远程员工会在网络安全方面出现错误,因此企业必须采取措施将这些影响降至最低。
此外,如果远程工作人员成为恶意的内部人员,他们会更容易窃取或破坏敏感数据,进行商业间谍活动,或实施欺诈。为了有效应对这种威胁,安全团队必须能够全面监控所有远程办公人员的系统访问活动。为此,组织可以考虑部署专门的可见性监控管理软件。
02、为远程员工提供过度的访问权限
拥有过度访问权限的远程员工很可能会成为特权滥用、账户泄露、数据泄露和其他网络攻击的源头。一种最有效的解决办法是,企业尽快采取“最小特权原则”,它意味着除了执行工作职责所需的访问权限外,员工几乎不会被授予额外的访问权限。减少远程员工对关键信息的非必要访问,可以帮助防止潜在的安全威胁。企业还可以考虑实现更全面的即时访问管理方法,对远程特权用户和第三方合作伙伴,采取比办公室员工更严格的权限管理策略,因为因为他们访问组织基础设施的特权可能会被非法提升。
03、缺乏明确的远程访问安全策略
如果企业缺乏明确的安全策略,将可能导致企业安全建设目标的清晰度和同步性较差。远程访问策略(RAP)旨在指导组织努力确保远程工作的安全性和稳定性。这样的政策概述了安全人员和远程办公人员应该遵守的工作流程,以最大限度地减少与业务工作相关的远程网络安全风险。RAP可能是企业中更广泛的信息安全策略(ISP)的一部分,它应该包含用于管理组织远程工作风险的网络安全解决方案和工具列表。
04、没有统一管理用户密码
在安全性差的企业办公环境中,远程办公员工往往自行设置账号密码,并且会有弱密码使用习惯,这增加了由于暴力攻击、密码喷洒和其他网络攻
击而导致的账户泄露风险。根据IBM Security和Morning Consult的一项远程办公研究显示,高达35%的远程员工在其使用的业务系统和登录账户上重复使用相同的密码。远程工作者不良的密码管理习惯迫使组织使用专门的安全软件来管理用户凭证。
05、不能真实验证远程用户的身份
如果无法检查谁在使用账户,可能会导致对组织关键资产的未经授权访问行为。如果远程办公人员的账户凭证被泄露,安全人员必须有办法防止网络犯罪分子访问组织的资产。多因素身份验证(MFA)是一种经过时间验证的方法,它可以确保有更多的因素(而不仅仅是密码)来验证试图访问组织网络的用户。启用MFA后,网络犯罪分子使用窃取凭证的难度将大大提升。如果企业组织希望更有效保证访问者身份的真实可信,应该充分研究和了解零信任的技术理念,并考虑在组织中实现零信任安全体系结构。
06、配置错误的通信网络
研究人员发现,未能正确配置企业网络也是远程办公场景中许多安全威胁产生的重要原因之一。在2022年的RSAC会议上,网络安全专家Paula Januszkiewicz将“错误配置的网络通信服务”列为远程工作导致网络安全事件的首要原因,而根据Titania的一份报告显示,网络错误配置使组织每年损失9%的收入。为了确保组织的网络系统和安全工具得到正确配置,企业应该对运维人员的操作进行审计和控制,例如安装用户活动监控解决方案。
07、缺乏网络分段
如果组织的网络还是一个相互联通的整体,那么网络犯罪分子将拥有更多的访问机会。通过利用网络分段技术,将有效限制组织网络安全事件的暴露程度,并使组织能够更好地控制谁可以访问什么。通过使用网桥(bridges)、交换机和路由器等设备,可以将网络划分为多个子网,每个子网都能够作为一个单独的业务网络运行。
通过将系统和服务彼此隔离,安全人员可以防止一些特发的安全漏洞演变成后果严重的重大网络安全事件。网络犯罪分子遇到的阻碍越多,中途放弃的可能性就越大。因此,企业应该考虑限制组织网络之间的通信,这将帮助组织限制对敏感系统和数据的未经授权访问行为。组织不仅可以借助路由设备在物理上分段网络,还可以使用软件在逻辑上分段网络。
08、未保护员工的家庭环境
许多网络安全事件的根源是由于远程员工没有使用正确的工具和措施来保护他们的家庭办公环境。一旦企业制定了远程访问策略(RAP),请确保所有的远程办公人员都有效遵守它。
为了确保员工连接的环境是安全的,安全团队需要为他们提供一份清单,列出他们应该做什么,以及需要避免哪些网络安全错误。这份远程工作安全清单通常会涵盖以下基本事项:
- 应用程序的使用:向员工提供一份安全应用程序清单,并确保员工安装了必要的软件和操作系统更新;
- 个人设备的使用:告诉员工应该尽量避免使用个人设备进行远程工作,同时制定使用远程办公设备时的安全规则,例如,员工必须让他们的工作设备远离家人;
- 密码管理要求:让员工养成安全使用密码的习惯,例如定期更新密码、不同账户使用不同的密码,以及确保密码的复杂度适当;
- 网络安全指导:要让远程员工了解如何正确使用杀毒软件、vpn和其他安全工具,重要的是,员工要保护他们的家庭Wi-Fi,避免使用公共网络进行远程工作;
- 电子邮件安全:企业应该教育员工了解社会工程攻击以及如何避免沦为受害者,要确保所有远程办公人员仅使用公司电子邮件发送和存储和工作相关的数据。
09、未开展网络安全意识培训
如果远程办公人员不认为网络安全很重要,他们就可能会忘记、忽视甚至破坏关键的安全流程。企业应该明确要求所有的员工定期接受网络安全培训,让远程员工为最新的网络威胁做好准备。通过培训,远程办公员工将更有可能记住并使用组织的安全建议。因此,要确保有足够的网络安全事件示例,特别是网络钓鱼攻击案例及其后果。如果可能的话,应该向员工们展示在组织中可能会出现的各种安全威胁和攻击事件。
10、没有远程办公安全响应计划
安全人员检测、响应和修复网络安全事件所需的时间越长,网络犯罪分子对企业造成的损害就会越大。如果没有一个提前制定的远程办公安全事件响应计划,企业将在遭遇突发攻击时,丧失宝贵的响应时间,这也将带来更多资产和商誉损失。
安全事件响应计划(IRP)可以充当网络安全“救生船”,它概述了安全人员在发现威胁时应采取的直接和具体步骤。有效的IRP应该包含:
- 网络安全事件指标;
- 最常见的安全事件和相应的响应场景的描述;
- 事件响应团队中包括的员工名单,以及他们在事件响应中采取行动的职责;
- 恢复和事件调查措施;
- 联系利益相关者和监管机构,通知有关事件等。
