新冠疫情进入新的发展阶段,但由此引发的企业远程、混合办公模式的变革仍在继续。毫无疑问,这种变化大大增加了企业组织的网络安全风险,因为它不仅扩大了潜在的攻击面,而且打破了传统的边界安全保护模式。一般来说,如果企业组织的远程办公环境安全性不好,可能会遇到以下风险:经济损失:主要包括安全事件的恢复成本,以及监管机构的罚款;商誉损失:企业可能会失去客户、供应商和合作伙伴的信任;数据资产丢失:随着网络攻击或内部威胁的隐患不断增加,企业数据资产面临的威胁也会增加;法律成本:由于违规或敏感数据泄露,将导致企业法律诉讼成本增加;业务运营失败:企业可能面临内部业务运营和关键供应链中断的风险。虽然目前保障远程办公的安全已经引起了企业组织的高度重视,但在实践中,一些安全人员在远程办公环境的配置和管理上仍然存在一些严重的失误。本文收集整理了企业在远程办公安全防护中最容易犯的10个错误,以及如何有效避免这些错误。01缺乏对远程办公活动的可见性缺乏对公司员工远程办公活动的可见性会严重削弱组织检测和预防安全威胁的能力。虽然工作环境不同,但远程工作人员通常与办公室同事具有相同级别的业务系统访问权限。据调查数据显示,约有43%的远程员工会在网络安全方面出现失误,因此企业必须采取措施将这些影响降到最低。此外,如果远程工作人员成为恶意内部人员,他们可以更容易地窃取或破坏敏感数据、进行企业间谍活动或实施欺诈。为了有效应对这种威胁,安全团队必须能够全面监控所有远程工作人员的系统访问活动。为此,组织可以考虑部署专门的可见性监控管理软件。02为远程工作人员提供过多访问权限拥有过多访问权限的远程工作人员很可能成为特权滥用、帐户泄露、数据泄露和其他网络攻击的源头。最有效的解决方案之一是公司尽快采用“最小特权原则”,这意味着除了履行工作职责所需的权限外,员工几乎没有权限访问。减少远程工作人员对关键信息的不必要访问有助于防止潜在的安全威胁。组织还可以考虑实施更全面的即时访问管理方法,对远程特权用户和第三方合作伙伴采用比办公室员工更严格的权限管理策略,因为他们访问组织基础设施的权限可能会被非法提升。03缺乏明确的远程访问安全策略如果企业缺乏明确的安全策略,可能导致企业安全建设目标的清晰度和同步性差。远程访问策略(RAP)旨在指导组织努力确保远程工作的安全性和稳定性。此类政策概述了安全人员和远程工作人员应遵循的工作流程,以最大程度地减少与业务工作相关的远程网络安全风险。RAP可能是企业中更广泛的信息安全策略(ISP)的一部分,它应该包括用于管理组织远程工作风险的网络安全解决方案和工具列表。04没有统一管理用户密码。在安全性较差的企业办公环境中,远程办公员工往往自行设置账号密码,且有使用弱密码的习惯,增加了暴力破解、密码喷洒等网络攻击导致的账号泄露风险。风险。根据IBMSecurity和MorningConsult的一项远程工作研究,高达35%的远程工作人员对他们使用的业务系统和登录重复使用相同的密码。远程工作人员糟糕的密码管理习惯迫使组织使用专门的安全软件来管理用户凭证。05.未能对远程用户进行真实身份验证未能检查谁在使用帐户可能导致对组织的关键资产进行未经授权的访问。如果远程办公人员的帐户凭据遭到泄露,安全人员必须有办法防止网络犯罪分子访问组织的资产。多因素身份验证(MFA)是一种经过时间考验的方法,可确保使用除密码以外的更多因素来对试图访问组织网络的用户进行身份验证。启用MFA后,网络罪犯使用窃取的凭据变得更加困难。企业组织若想更有效地保证访问者身份的真实性和可信性,应充分学习和理解零信任的技术概念,并考虑在组织内实施零信任安全架构。06错误配置的通信网络研究人员发现,错误配置的企业网络也是远程办公场景中许多安全威胁的主要原因之一。在2022年RSAC会议上,网络安全专家PaulaJanuszkiewicz将“错误配置的网络通信服务”列为远程工作引起的网络安全事件的头号原因,根据Titania的一份报告,网络错误配置使组织每年损失9%的收入。为确保组织的网络系统和安全工具配置正确,企业应对运营人员的操作进行审计和控制,例如安装用户活动监控解决方案。07缺乏网络分段如果组织的网络保持连接的整体,网络犯罪分子将有更多的访问权限。通过利用网络分段技术,您将有效地限制您对网络安全事件的暴露,并让您的组织更好地控制谁可以访问什么。通过网桥、交换机、路由器等设备,可以将一个网络划分为多个子网,每个子网都可以作为一个独立的业务网络运行。通过将系统和服务彼此隔离,安全专业人员可以防止一些特殊的安全漏洞演变成具有严重后果的重大网络安全事件。网络犯罪分子遇到的障碍越多,他们放弃的可能性就越大。因此,企业应考虑限制组织网络之间的通信,这将有助于组织限制对敏感系统和数据的未授权访问。组织不仅可以借助路由设备对网络进行物理分段,还可以使用软件对网络进行逻辑分段。08未受保护的员工家庭环境许多网络安全事件的根源是远程员工没有使用正确的工具和措施来保护他们的家庭办公环境。一旦制定了远程访问策略(RAP),请确保所有远程办公人员都有效地遵守它。为确保员工连接的环境安全,安全团队需要向他们提供一份清单,列出他们应该做什么以及需要避免哪些网络安全错误。此远程工作安全清单通常涵盖以下基础知识:应用程序使用:为员工提供安全应用程序列表,并确保员工已安装必要的软件和操作系统更新;避免使用个人设备进行远程工作,并在使用远程办公设备时建立安全规则,例如,员工必须将工作设备远离家人;密码管理要求:让员工养成安全使用密码的习惯,如定期更新密码、不同账户使用不同密码、密码复杂度适当等;网络安全指导:为了教育远程员工如何正确使用杀毒软件、VPN和其他安全工具,重要的是员工要确保家庭Wi-Fi安全,避免使用公共网络进行远程工作;电子邮件安全:企业应就社会工程攻击以及如何避免成为受害者进行教育,并确保所有远程办公人员仅使用公司电子邮件发送和存储与工作相关的数据。09未能进行网络安全意识培训如果远程办公者不认为网络安全很重要,他们可能会忘记、忽略甚至破坏关键的安全流程。企业应明确表示,所有员工都定期接受网络安全培训,让远程工作人员为应对最新的网络威胁做好准备。通过培训,远程办公员工将更有可能记住并使用组织的安全建议。因此,确保有足够的网络安全事件示例,尤其是网络钓鱼攻击的案例及其后果。如果可能,员工应该暴露在组织中可能发生的各种安全威胁和攻击中。10没有远程办公安全响应计划安全人员检测、响应和补救网络安全事件所需的时间越长,网络犯罪分子对企业造成的损害就越大。如果没有提前制定远程办公安全事件响应预案,企业在遇到突发攻击时将失去宝贵的响应时间,也会导致更多的资产和商誉损失。事件响应计划(IRP)可以充当网络安全“救生艇”,它概述了安全人员在发现威胁时应立即采取的具体步骤。有效的IRP应包含:网络安全事件指标;描述最常见的安全事件和相应的响应场景;事件响应团队中的员工名单及其在事件响应中采取行动的职责;恢复和事件调查措施;与利益相关者和监管机构联络,通知事件等。参考链接:https://www.ekransystem.com/en/blog/mistakes-in-securing-remote-work
