由于新冠病毒疫情的封鎖措施,全球許多企業(yè)的員工被迫在家工作。對于在將來可能需要繼續(xù)遠程工作支持的企業(yè)來說,員工家庭網絡以及與家庭網絡連接的設備的安全性變得越來越重要。
在Gartner對316位首席財務官和財務負責人進行的一項調查顯示,現(xiàn)在有大約四分之一的美國組織計劃在疫情過后,至少將20%的現(xiàn)場辦公人員轉移到永久性的遠程辦公職位。74%的公司計劃削減成本,許多公司推遲了內部支出,而將重點放在在家辦公員工的設備提供上。
分析師表示,這一趨勢使家庭路由器,打印機,安全系統(tǒng),DVR,游戲機和其他智能設備很可能成為影響企業(yè)網絡安全的因素。企業(yè)更加需要關注家庭網絡以及與家庭網絡連接的智能產品和其他設備的安全性。
惡意軟件感染
BitSight在最近的一項研究中發(fā)現(xiàn),家庭網絡中感染惡意軟件的幾率是辦公室網絡的七倍以上。25%的智能家居產品,PC,打印機,相機和其他家庭網絡上的設備可以通過互聯(lián)網直接訪問。在45%的公司中,有個別設備曾訪問過帶有惡意軟件的家庭網絡。
易于訪問的管理界面
451 Group的分析師Daniel Kennedy表示:“家庭網絡與公司網絡從根本上是不同的,家庭網絡存在更大的風險。”他指出,在家庭網絡中經常會出現(xiàn)使用默認密碼或密碼較弱的情況,這種情況會使攻擊者易于訪問家庭路由器的管理界面和IoT設備。而公司防火墻則會避免這些情況的出現(xiàn)。
較弱的WiFi保護
同樣,家庭WiFi網絡可能無法像公司網絡那樣受到有效保護,從而防止網絡上其他用戶的危險行為。Kennedy指出:“辦公室的大多數(shù)員工在完成一天的工作后,很少會下載一些游戲玩,但是在家庭網絡中,卻不能避免員工的孩子下載游戲玩。” 雖然這些情況都是理論上的風險,但是在家庭網絡中存在的虛擬助手(例如Alexa和Google Home),也會存在普遍的隱私或機密性問題。這可能會導致無意間泄露員工在家工作時參加會議的內容和商務通信。
規(guī)模擴大則面臨攻擊面的擴大
遠程辦公面臨的風險并不是一個新的問題。多年來,支持遠程工作的企業(yè)都不得不處理一些安全性的問題。Kennedy指出:“很多企業(yè)預計將會永久性的增加在家工作的需求。規(guī)模擴大則面臨攻擊面的擴大,那企業(yè)如何保障安全性呢?
Kennedy和其他安全專家在此提供了四個技巧,以減輕家庭網絡和智能家居設備對企業(yè)安全性的影響。
1. 不信任任何的驗證
將家庭網絡和設備視為不可信的,因為它們本質上比在公司環(huán)境更加脆弱。實施控制以確保每次從家庭網絡到企業(yè)系統(tǒng)和數(shù)據(jù)的所有訪問請求都經過完整的身份驗證。
IT-Harvest的首席分析師Richard Stiennon表示:“這是必須重新評估信任模型的時候。” 如今,它包含的范圍不僅僅是公司網絡,還包括了每個員工家庭網絡中的所有內容。他指出,在一些有青少年的家庭中,智能攝像機、智能燈、智能電視和平板電腦中的漏洞已成為公司IT部門安全性的一部分。”
訪問決策不僅限于具有正確憑據(jù)的人員,還要有一些其他決策。每次發(fā)出訪問請求時,都需要對設備和用戶進行安全審查。授予訪問權限后,訪問權限應以最小特權為基礎,甚至只能訪問用戶適當需要工作的系統(tǒng)和數(shù)據(jù)。
Stiennon說,必須持續(xù)監(jiān)控他們的活動,并且網絡必須時刻的響應他們的活動。這就是零信任。
IDC分析師Pete Lindstrom說,組織應盡可能部署多因素身份驗證(MFA)。雖然這不是靈丹妙藥,但MFA可以減少很多遠程辦公所帶來的風險。Lindstrom表示,一般來說,重點應放在擴展網絡的安全控制,并使其更貼近應用程序,數(shù)據(jù)和用戶。
2. 識別安全漏洞
支持少數(shù)在家工作的員工所帶來的安全隱患與支持大規(guī)模的人數(shù)完全不同。Lindstrom說,將網絡連接擴展到員工住所的IT環(huán)境可能使企業(yè)服務器,應用程序資源和數(shù)據(jù)面臨新的漏洞和風險。
Unisys的CISO Mat Newfield表示,想解決這些風險,首先要意識到一些問題。
您是否在公司系統(tǒng)上擁有適當?shù)陌踩ぞ邚亩鴮⒏腥韭式抵磷畹?
您是否對遠程訪問進行了適當?shù)呐渲煤捅O(jiān)控,以確保您發(fā)送回家的公司系統(tǒng)不會充當公司網絡和家庭網絡之間的橋梁?
您是否為在家工作的人員提供適當?shù)墓ぞ吆团嘤枺源_保其在家庭網絡中遵守與公司網絡相同的安全要求?
如果出現(xiàn)問題,他們是否有必要具備安全應急的方法?
確定您是否有適當?shù)谋O(jiān)控,以便能夠通過遠程訪問環(huán)境快速檢測到問題。
Kennedy表示,可見性是另一個問題。在網絡邊緣運行的某些基于網絡的安全控件無法完全捕獲家庭網絡上員工的活動,也無法對其采取行動。如何捕獲他們的活動以及實施安全控制將成為問題。
SANS研究所還有其他一些建議。是否要讓員工在家工作時報告安全事件,提前規(guī)劃報告安全事件的流程,讓員工了解他們應該向誰報告,如何報告,何時報告?
3. 端點保護
確保從家庭網絡訪問到企業(yè)網絡的任何設備都受到保護,以免受到來自智能家居產品和其他連接到家庭網絡設備的潛在安全威脅。Lindstrom說,確保正確配置了端點威脅檢測和響應控制,并且VPN連接穩(wěn)定。
Unisys的Newfield說:“我們看到的許多家庭系統(tǒng)很容易受到攻擊,因為它們的漏洞沒有及時的得到修復。” 例如,許多家庭視頻游戲系統(tǒng)上都存在漏洞,它們可以主動掃描環(huán)境以尋找容易受到攻擊的主機。如果企業(yè)沒有加強防范此類威脅的措施,就有可能成為其受害者。Newfield說:“公司在員工帶回家的設備上部署哪些工具和技術支持,將直接影響通過訪問家庭網絡設備發(fā)生的公司網絡安全事件的可能性。”
另外,還要確保在家中訪問家庭網絡的個人設備也具有足夠的安全防護。SANS研究所新興安全趨勢主管John Pescatore表示,例如,向在家工作的員工展示如何將新用戶非系統(tǒng)管理員帳戶添加到他們的家用電腦中。
Pescatore表示:“這至少可以隔離文件,以防止勒索軟件的影響,同時保持瀏覽器歷史記錄獨立限制特權。” 他指出,應向所有在家工作的員工提供基于云的備份,以預防家庭網絡攻擊。要確保他們在家用電腦上的所有東西上都啟用了自動更新功能,例如:Windows、瀏覽器、Adobe、Zoom等。
4. 提升員工的安全意識
通常,在家工作的大多數(shù)員工都不了解智能設備在家庭網絡與企業(yè)網絡之間相互連接轉換會給企業(yè)帶來安全風險。Newfield解釋道,如果用戶設置了自動更新的提示,那么就會很輕松的實時修補存在漏洞的設備。但沒有啟動該選項的用戶呢?他們是否有定期檢測家庭中設備修補和更新的習慣?是否會定期登錄家庭路由器檢測其更新修補的狀態(tài)?所以提高員工在家辦公的安全意識及簡單的風險應對能力相當重要。
Pescatore表示:如今網絡釣魚攻擊與日俱增,故此,提高員工針對釣魚郵件的安全意識也迫在眉睫。
