Gartner公司對 316 名首席財務(wù)官和財務(wù)主管進行的一項新調(diào)查顯示,目前約25%的美國企業(yè)計劃在疫情后將至少 20% 的辦公室員工轉(zhuǎn)變?yōu)殚L期遠程辦公狀態(tài)。作為削減成本措施的一部分,74% 的企業(yè)也計劃對約 5% 的員工采取同樣的做法。許多企業(yè)推遲了公司內(nèi)部的技術(shù)支出,轉(zhuǎn)而側(cè)重于為居家辦公人員提供公司發(fā)放的設(shè)備。
分析人士表示,這一趨勢使企業(yè)需要更加關(guān)注家庭網(wǎng)絡(luò)、智能家居產(chǎn)品以及與之相連的其他設(shè)備的安全性。家用路由器、打印機、安全系統(tǒng)、硬盤錄像機、游戲機和其他智能設(shè)備能夠顯著改變企業(yè)網(wǎng)絡(luò)的威脅模型,其原因如下。
遭到更多惡意軟件的感染
BitSight 公司最近的一項研究發(fā)現(xiàn),與辦公網(wǎng)絡(luò)相比,家庭網(wǎng)絡(luò)有七倍以上的可能性會遭受五種或以上不同類型惡意軟件的感染。25% 的智能家居產(chǎn)品、個人電腦、打印機、攝像頭和家庭網(wǎng)絡(luò)中的其他設(shè)備可以通過互聯(lián)網(wǎng)被直接訪問; 45% 的公司是使用帶有惡意軟件的設(shè)備從家庭網(wǎng)絡(luò)訪問其公司網(wǎng)絡(luò)。
由于許多遠程辦公人員仍使用自己的電腦工作,因此,這一問題變得更加嚴(yán)重。 Morphisec 公司最近的一項調(diào)查顯示,49% 的員工在遠程辦公時仍使用個人筆記本電腦。與 2020 年有 57% 的員工使用個人電腦相比,這一數(shù)字并未顯著下降。
易于訪問的管理接口
451 Group 公司的分析師丹尼爾·肯尼迪 (Daniel Kennedy) 說:“家庭網(wǎng)絡(luò)與企業(yè)網(wǎng)絡(luò)有著根本的不同,因此存在一些風(fēng)險,盡管這些風(fēng)險也可能存在于企業(yè)網(wǎng)絡(luò)中,但在企業(yè)網(wǎng)絡(luò)中卻很罕見。”他指出,由于家用路由器和物聯(lián)網(wǎng)設(shè)備具有默認(rèn)密碼或弱密碼,因此其管理接口可以輕松進行訪問。“無論是有意還是無意,家用路由器都很可能會暴露一些企業(yè)防火墻通常不會允許的服務(wù)。”他說。
較弱的 WiFi 保護措施
同樣,家庭 WiFi 網(wǎng)絡(luò)可能無法像企業(yè)網(wǎng)絡(luò)那樣有效地防止其他用戶在網(wǎng)絡(luò)上的危險行為。“你的大多數(shù)辦公室同事在完成一天的工作后不太可能會玩一些下載的游戲,但員工的孩子卻會這樣做。”肯尼迪指出。盡管這更多的是一個理論上的風(fēng)險,但由于家庭網(wǎng)絡(luò)上存在 Alexa 和 Google Home 等虛擬助手,因此也存在一般性的隱私或保密問題。肯尼迪表示,這些設(shè)備可能會無意中收集到員工居家辦公時可能進行的語音和業(yè)務(wù)溝通信息。
更大的規(guī)模和攻擊范圍
這些風(fēng)險并非都是新出現(xiàn)的。多年來,為遠程辦公人員提供支持的企業(yè)不得不一直在應(yīng)對其中一些問題。這些問題的不同之處是規(guī)模??夏岬现赋觯?ldquo;很大比例的企業(yè)預(yù)計將增加居家辦公人員的規(guī)模,并會成為一種長期狀態(tài)。”“這一問題變成了,如果很大一部分員工不是通過公司網(wǎng)絡(luò)來使用公司服務(wù),那么安全性會是什么狀態(tài)?”
在此,肯尼迪和其他安全專家就如何降低家庭網(wǎng)絡(luò)和智能家居設(shè)備給企業(yè)帶來的安全風(fēng)險提供了四點建議:
1.不要相信任何東西;對所有事情進行驗證
要將家庭網(wǎng)絡(luò)和設(shè)備視為不可信的東西,因為它們本質(zhì)上比企業(yè)環(huán)境更容易受到攻擊。要實施控制措施,以確保從家庭網(wǎng)絡(luò)向企業(yè)系統(tǒng)以及對數(shù)據(jù)發(fā)出的所有訪問請求,每次都經(jīng)過充分地身份驗證。
“現(xiàn)在必須重新評估信任模型,”IT-Harvest 公司的首席分析師理查德•斯蒂農(nóng) (Richard Stiennon) 說。曾經(jīng)被精心管理的公司網(wǎng)絡(luò),現(xiàn)在包含了每個員工家庭網(wǎng)絡(luò)上的所有東西。“家庭監(jiān)控攝像頭、智能電燈開關(guān)、智能電視和屬于青少年的平板電腦的漏洞,現(xiàn)在這已成為企業(yè) IT 部門職權(quán)范圍的一部分。”他指出。
訪問決策不僅需要基于某人是否擁有正確的憑證。當(dāng)每次發(fā)出訪問請求時,設(shè)備和用戶都需要接受安全審查。當(dāng)授予訪問權(quán)限時,應(yīng)基于最低權(quán)限原則來提供,即使該用戶正常工作僅需要訪問系統(tǒng)和數(shù)據(jù)。
斯蒂農(nóng)表示,必須持續(xù)監(jiān)控他們的行為,并且必須在網(wǎng)絡(luò)上對他們的行為進行動態(tài)響應(yīng)。“這就是零信任,”他指出。“你真的想讓你的財務(wù)副總裁的智能冰箱為某一入侵行為負責(zé)嗎?”
IDC分析師皮特·林德斯托姆 (Pete Lindstrom) 表示,企業(yè)應(yīng)盡可能部署多重身份驗證 (MFA)。盡管MFA 不是靈丹妙藥,但它可以降低很多與居家辦公相關(guān)的風(fēng)險。林德斯托姆表示,一般來說,重點應(yīng)該是對家庭網(wǎng)絡(luò)增加安全控制措施,并應(yīng)更靠近你的應(yīng)用程序、數(shù)據(jù)和用戶。
2.找出安全隱患
對少數(shù)居家辦公人員提供支持與為隨時隨地從事電腦工作的人員提供大規(guī)模支持,其安全含義是完全不同的。林德斯托姆表示,將網(wǎng)絡(luò)連接擴展到員工家庭的 IT 環(huán)境可能會使企業(yè)服務(wù)器、應(yīng)用程序資源和數(shù)據(jù)面臨新的漏洞和風(fēng)險。
開始應(yīng)對這些風(fēng)險的最佳方法是知道該問什么問題。“首先,你是否在公司系統(tǒng)上安裝了所有適合的安全工具來最大限度地減少感染?”優(yōu)利系統(tǒng)公司 (Unisys) 首席信息安全官馬特•紐菲爾德 (Mat Newfield) 說。“你是否對遠程訪問進行了適當(dāng)?shù)呐渲煤捅O(jiān)控,以確保你帶回家中的企業(yè)系統(tǒng)不會充當(dāng)公司網(wǎng)絡(luò)和員工家庭網(wǎng)絡(luò)之間的橋梁?”
這方面似乎還有改進的空間。根據(jù) Morphisec 公司的研究,居家辦公人員所使用的電腦中只有 52% 是通過企業(yè) VPN 進行連接的,而只有 41% 的電腦是通過防火墻進行連接。
要查明是否為居家辦公人員提供了適當(dāng)?shù)墓ぞ吆团嘤?xùn),以確保他們的家庭網(wǎng)絡(luò)遵循了與工作網(wǎng)絡(luò)相同的安全規(guī)則。他們是否得到了必要的指導(dǎo),以確保他們知道在出現(xiàn)問題時該如何處理?紐菲爾德表示,不要忘記去弄清楚,你是否有適當(dāng)?shù)谋O(jiān)控措施,以便能夠通過遠程訪問環(huán)境來快速發(fā)現(xiàn)問題。
可見性是另一個問題。某些在網(wǎng)絡(luò)邊緣運行的網(wǎng)絡(luò)安全控制措施無法完全獲取員工在家庭網(wǎng)絡(luò)上各種行為的遙測數(shù)據(jù),也無法對其行為采取行動。“如何獲取這種遙測數(shù)據(jù),以及將安全控制措施設(shè)置在哪里,已成為一個問題;終端、云端或其他入網(wǎng)點?”肯尼迪說。
美國系統(tǒng)網(wǎng)絡(luò)安全協(xié)會 (SANS Institute) 提供了一些其他建議。要提前弄清楚,你是否想讓員工在家辦公時匯報安全事件。如果你想這樣做,他們應(yīng)該向誰匯報,以及如何和何時進行匯報?
3.保護員工的終端
要確保從家庭網(wǎng)絡(luò)訪問企業(yè)網(wǎng)絡(luò)的所有設(shè)備都受到保護,免受由于易受攻擊的智能家居產(chǎn)品和網(wǎng)絡(luò)上其他連接設(shè)備所帶來的潛在安全威脅。確保你的終端威脅檢測和響應(yīng)控制措施配置正確,并且你的 VPN 連接非??煽?,林德斯托姆說。
“我們看到的許多家庭系統(tǒng)都很容易受到攻擊,因為它們沒有正確安裝補丁程序。”優(yōu)利系統(tǒng)公司的紐菲爾德說。例如,許多家庭電視游戲系統(tǒng)都在運行存在漏洞的程序,這些程序可以主動掃描環(huán)境,以尋找脆弱的主機進行攻擊。那些未能強化其設(shè)備以應(yīng)對此類威脅的企業(yè),可能會成為這些威脅的受害者。“企業(yè)在與員工帶回家的設(shè)備上部署哪些工具和技術(shù),將直接潛在影響由該員工家庭網(wǎng)絡(luò)所引發(fā)的公司網(wǎng)絡(luò)安全事件。”紐菲爾德說。
還要確保從家中訪問公司網(wǎng)絡(luò)的任何私人和未受管理的設(shè)備也具有足夠的安全保護。例如,向使用家庭電腦的居家辦公人員演示如何將非系統(tǒng)管理員的新用戶帳戶添加到他們的家庭電腦中,美國系統(tǒng)網(wǎng)絡(luò)安全協(xié)會的新安全趨勢業(yè)務(wù)主管約翰•佩斯卡托雷 (John Pescatore) 說。
佩斯卡托雷說:“這至少可以隔離一些文件,防止受到勒索軟件的影響,同時可以隔離瀏覽器歷史記錄和限制權(quán)限。”他指出,還應(yīng)為所有居家辦公人員提供云端備份,以預(yù)防家庭網(wǎng)絡(luò)出現(xiàn)漏洞。“至少要確保他們打開家用電腦上所有軟件的自動更新功能——Windows、瀏覽器、Adobe、Zoom 等。”
4.為員工提供培訓(xùn)
居家辦公人員通常沒有意識到,在他們用來登錄公司網(wǎng)絡(luò)環(huán)境的家庭網(wǎng)絡(luò)中存在一些易受攻擊的智能產(chǎn)品和其他有問題的設(shè)備,而這會帶來潛在風(fēng)險。“如果你已對電腦進行了設(shè)置,即在發(fā)布新補丁程序時通知你,那么就很容易記住給個人電腦打補丁,但如果你沒有對電腦進行設(shè)置,該怎么辦,”紐菲爾德問道。“你是否有定期檢查和為你的家庭物聯(lián)網(wǎng)設(shè)備打補丁的習(xí)慣?你是否曾經(jīng)登錄過你的互聯(lián)網(wǎng)路由器,并檢查其是否已打過所有補丁和足夠安全?”需要讓居家辦公人員意識到家庭網(wǎng)絡(luò)給他們的企業(yè)帶來的風(fēng)險在升高,并就如何減輕這些風(fēng)險對其進行培訓(xùn)。
面向家庭用戶,“針對網(wǎng)絡(luò)釣魚攻擊事件的上升,為員工提供有針對性的認(rèn)識和教育,”佩斯卡托雷說。“如果你過去常常在辦公室里對某一同事大喊,讓他核實電子郵件中某些請求行為,那么現(xiàn)在就用手機給他打電話。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。