在網絡安全方面,總是會出現一些問題,這是因為難以避免人為錯誤。即使是最安全的系統也會帶來風險,而居心不良者一直尋找利用任何漏洞的機會。
因此,網絡安全有時就是“變化越多,它們就越保持不變”。這也是提出的安全建議主要是適應新環境而不是硬重啟的原因。
然而,人們現在生活的時代似乎一切都在改變。在家遠程工作的員工是否仍面臨著同樣的安全挑戰和採用同樣的緩解策略?
如今面臨的挑戰也在不斷髮展,並且有時突然出現。那麼人為錯誤仍然是一個主要問題嗎?這是肯定的,但是之前對人為錯誤的定義可能解釋為對於疫情相關的焦慮,以至於很多人現在都有這種感覺。
儘管可能不需要提醒員工使用強密碼,但需要記住,即使在平常工作的時候,也會定期得到提示,表明設定的一些密碼很脆弱。與在線安全的其他基本知識一樣,密碼強度也成為了人們面臨的主要問題。
NetEnrich公司網絡安全業務主管Vikram Chabra指出:“只要人們在遠程工作,網絡攻擊面就會增加,企業和個人的信息就會變得更加脆弱。”
4個遠程安全挑戰
在這裡更適用的說法是需要安全基礎設施“重煥生機”,因為儘管仍然適用,但如何使用可能需要在疫情期間進行增強或修訂。以下對企業員工在遠程工作時需要注意的4個常見挑戰進行分析。
(1)將更多的安全責任轉移給員工
企業、政府、教育和其他類型的組織一直秉承“安全是每個人的責任”這樣的理念。例如,這個概念的版本會在DevSecOps場景中定期出現,或者在任何可能出現問題的地方出現。
大多數安全專家也知道這一點:“安全是每個人的責任”,這可能是一個理想的目標。即使在具有遠見的公司,這個觀點很少出現在日常工作中。銷售團隊會關注這一點嗎?他們更關心的是銷售業務。金融部門會關心這一點嗎?他們更關注的是如何更多獲利。
現在有許多人在家中遠程工作(可能在書房、客廳、臥室,或者他們可以完成工作的任何地方),很多員工可能沒有意識到,安全責任實際上也更多地轉移到了其個人身上。隨時可以訪問個人設備和服務的家庭網絡以及其他的媒介,現在已經成為員工日常工作和生活的一部分。
瞻博網絡公司全球安全戰略總監Laurence Pitt說:“在企業的辦公室,員工可以獲得安全措施的保護,企業在安全基礎設施方面進行了大量投資,以確保採用正確的解決方案來保護數據安全,並防止外部威脅。而在家中遠程工作的員工,採用企業設備或個人的設備也許會有一定程度的保護措施,但是這種網絡環境將會顯著增加風險。”
員工在家遠程工作需要重新考慮一些事情,並儘可能地進行調整。NetEnrich公司的Chabra指出,儘管惡意軟件等外部威脅一如既往地存在,但內部風險也在增加。影子IT可能也會經歷某種復興。
例如,“使用強密碼”向企業員工提供有關家庭網絡安全基礎知識的建議和提醒。如果員工仍然使用默認網絡的名稱和密碼(很多人的網絡密碼都標註在路由器上的標籤上),那麼他們很容易遭到網絡攻擊者的攻擊。路由器的管理員憑據也是如此,眾所周知,大多數主要的硬件廠商都知道該憑據。
Pitt s說:“員工有責任將企業的安全意識應用到自己的環境中,以承擔額外的責任。”
(2)更容易受到詐騙的影響
在員工的日常工作以某種方式被顛覆的時候,很容易出現人為錯誤。雖然員工遠程工作可以極大地提高生產力,但是員在家工作在安全方面添加了許多新變量。
Pitt說:“很多員工在家工作時有很多幹擾因素:例如孩子、寵物或家務等各種事項。網絡攻擊者採用針對寬帶連接的惡意軟件,在其家庭網絡中尋找遠程工作者這樣的目標。”
這就是與冠狀病毒疫情相關的網絡釣魚欺詐和其他網絡攻擊普遍存在的原因。Pitt指出,網絡釣魚攻擊不僅僅是電子郵件,還包括短信、社交媒體和其他網絡聯繫方式。
Pitt說,“人們需要關注那些看似有用的信息鏈接的詐騙短信。如果不知道信息的確切來源,千萬不要點擊鏈接。”
人們需要了解疫情期間有關網絡釣魚詐騙的一些誤區。當員工在家工作時,這是一個前所未有的高風險。
如果企業的員工遇到網絡釣魚詐騙活動,需要舉報可能發生的安全事件。SAS公司首席信息安全官(CISO)Brian Wilson為此提出建議,當人們擔心成為受害者會受到報復時,網絡釣魚攻擊會迅速加劇。
正如Red Hat公司首席安全架構師Mike Bursell指出的那樣,任何人都可能發生這種情況。
(3)虛擬專用網(VPN)並不是靈丹妙藥
虛擬專用網(VPN)長期以來一直是遠程工作採用的主流網絡,但它並不能解決一切問題。這裡的根本問題是,即使是習慣於定期進行遠程工作的員工現在也可能過於依賴虛擬專用網(VPN)以作為保障。
Pitt說,“當員工在家工作時,大多數人都會使用虛擬專用網(VPN),這使員工的電腦就像在公司辦公室一樣工作,並且可以不採用身份驗證,在某些情況下,這是訪問企業信息的唯一方法。但是,虛擬專用網(VPN)也是接入全球互聯網的瓶頸,很多的用戶減緩了訪問速度。”
NetEnrich公司的Chabra指出,該公司最近對某些虛擬專用網(VPN)進行了意外的壓力測試。Chabra說:“通常,由於虛擬專用網(VPN)服務器或家庭網絡服務提供商(ISP)的帶寬減少、許可證和節流問題受到限制。企業需要確保員工可以通過虛擬專用網(VPN)進行連接,並且要有足夠的許可證和帶寬。”
那些支付個人賬單、閱讀新聞的員工可能採用企業虛擬專用網(VPN)進行登錄。甚至進入一些公司帳戶,如基於雲計算的電子郵件和其他SaaS應用程序,可能更好地服務於虛擬專用網(VPN)之外的多因素身份驗證和其他協議。一般來說,虛擬專用網(VPN)不應被視為防範外部威脅的靈丹妙藥。
Pitt說,“在大多數組織中,虛擬專用網(VPN)旨在保護對業務服務的訪問,諸如銀行和社交媒體之類的常規在線活動不受影響。如果企業的政策允許,在開始工作時不要自動加載虛擬專用網(VPN),也就是在需要時使用它,而在不需要時卸載。”
(4)安全優先級被打亂
員工面臨最大的挑戰之一是安全優先級被打亂。甚至具有強大安全計劃的企業也可能會遇到這種情況。但是現在不是放棄的時候。例如,出於上述所有原因,安全意識培訓與以往一樣重要。如何、何時、何地創造這種意識可能會發生轉變,但這仍然是需要的。
修補程序是另一個例子;它可能很容易推遲,但未修補的系統將繼續是網絡攻擊者的目標。雖然短期內可能會進行分類工作,但不要長期忽視。
JetPatch公司首席執行官Shai Toren說:“由於IT團隊迅速改變了優先事項,以幫助員工開展遠程工作,打補丁可能會被迫退居次要地位。這可能會使很多企業員工受到漏洞的影響。”
另一個可能尚未引起足夠重視的關鍵領域是:用戶權限可能需要即時修改。
CyberArk公司執行副總裁Adam Bosnian表示:“曾經為IT部門指定的權限現在對於其他部門(如財務和法律部門)來說是必需的措施,這些部門需要訪問雲計算控制檯、RPA控制檯和業務流程管理工具。隨著特權用戶的定義的發展,安全團隊經常難以保持可見性,以瞭解這些用戶在何時何地從遠程工作位置訪問什麼。”
Bosnian補充說,隨著企業員工逐漸適應,無論是解決緊迫的優先事項還是填補可能缺乏人手的空白,某些員工的日常職責正在不斷髮展,而沒有提前通知。
Bosnian說:“在某些情況下,員工要求的特權高於他們通常擁有的特權,並且常常賦予他們沒有適當安全策略的權利。這使得網絡攻擊者更容易利用通常授予強大內部人員的訪問權限,利用該權限發起和執行攻擊,並可能獲得對所有基礎設施的控制權。這意味著員工需要對此格外警惕。”
