最容易忽略的安全風(fēng)險(xiǎn)之一是什么?就是認(rèn)為沒有風(fēng)險(xiǎn)。
當(dāng)涉及到工具、人員和流程時(shí),保持安全性是正確的。當(dāng)人們認(rèn)為很少甚至不可能出差錯(cuò)時(shí),那么其面臨的風(fēng)險(xiǎn)往往會(huì)擴(kuò)大。自滿情緒可能會(huì)導(dǎo)致這種心態(tài),并且可能是一個(gè)不斷增長(zhǎng)的風(fēng)險(xiǎn)因素。而人們產(chǎn)生的誤解通常是對(duì)于安全過(guò)度自信的根源。人們可能以為自己知道一些東西,但是如果這些知識(shí)是不合時(shí)宜的或過(guò)時(shí)的呢?如果環(huán)境突然改變?cè)趺崔k?
由于冠狀病毒在全球各地傳播,很多人現(xiàn)在都不得不在家遠(yuǎn)程工作。對(duì)于許多組織來(lái)說(shuō),最顯著的變化是其業(yè)務(wù)快速轉(zhuǎn)移到遠(yuǎn)程工作。而這產(chǎn)生了廣泛的影響,包括對(duì)組織安全狀況的影響,可能需要進(jìn)行一些調(diào)整。
以下列出針對(duì)員工在線遠(yuǎn)程工作在安全方面的一些常見誤解:
誤解1:Zoom是端到端加密的視頻會(huì)議平臺(tái)
首先,Zoom視頻會(huì)議平臺(tái)的安全性已經(jīng)引起了人們廣泛的關(guān)注。視頻會(huì)議平臺(tái)如今在全球各地的使用量呈急劇上升趨勢(shì),這使其成為網(wǎng)絡(luò)攻擊者更具吸引力的目標(biāo)。有關(guān)Zoom的各種風(fēng)險(xiǎn)的頭條新聞很多,而Zoom公司也在致力于解決其中許多問題。
正如最近在有關(guān)如何改善Zoom視頻會(huì)議安全的帖子中所述,組織需要評(píng)估自己的安全設(shè)置。但是問題是:視頻會(huì)議尚未以故障安全的方式完全加密。Zoom公司宣布了其收購(gòu)初創(chuàng)廠商Keybase公司的意圖,以便為其產(chǎn)品添加端到端加密功能。Zoom公司還概述了一個(gè)為期90天的解決安全問題的計(jì)劃。
NetEnrich公司網(wǎng)絡(luò)安全業(yè)務(wù)主管Vikram Chabra說(shuō):“Zoom視頻會(huì)議平臺(tái)并不是端到端加密的,而Zoom可以在會(huì)議過(guò)程中使用它所持有的密鑰來(lái)解密數(shù)據(jù)。這或多或少取決于組織的風(fēng)險(xiǎn)承受能力、監(jiān)管需求和其他因素。”
誤解2:個(gè)人設(shè)備與公司設(shè)備一樣安全
企業(yè)、政府部門、教育機(jī)構(gòu)等很多組織的員工采用自帶設(shè)備(BYOD)遠(yuǎn)程工作,并且使用個(gè)人設(shè)備訪問服務(wù)和數(shù)據(jù)的人數(shù)大量增加。其中一個(gè)原因是不得不采用個(gè)人設(shè)備。
而這并不是一個(gè)新問題。組織需要采取措施,以確保遠(yuǎn)程工作的員工使用個(gè)人設(shè)備需要額外的安全保護(hù),因?yàn)檫@些設(shè)備本身可能不如組織提供的硬件設(shè)備那樣安全。
Chabra說(shuō):“組織必須啟用雙因素身份驗(yàn)證,并使用內(nèi)容過(guò)濾和身份識(shí)別與訪問管理(IAM)解決方案。在為在家工作的員工創(chuàng)建新帳戶時(shí),組織必須鼓勵(lì)使用強(qiáng)密碼,并遵守最低特權(quán)原則。”
這并不是說(shuō)不讓員工更頻繁地使用個(gè)人設(shè)備,而是更頻繁地使用這些設(shè)備訪問組織的數(shù)據(jù)和服務(wù)可能面臨風(fēng)險(xiǎn)。
Accellion公司首席技術(shù)官Cliff White說(shuō),“隨著越來(lái)越多的員工在家工作,對(duì)自帶設(shè)備(BYOD)和系統(tǒng)對(duì)內(nèi)容可用性的需求增加。”
這可能迫使組織IT領(lǐng)導(dǎo)者在確保訪問業(yè)務(wù)連續(xù)性和安全性之間尋求一種平衡。過(guò)于廣泛地授予訪問權(quán)限(為實(shí)現(xiàn)不受限制的業(yè)務(wù)運(yùn)營(yíng))可能會(huì)帶來(lái)不必要的風(fēng)險(xiǎn)。
White說(shuō):“創(chuàng)建或處理敏感信息或IP的每個(gè)組織必須采取不同的預(yù)防措施,以確保其數(shù)據(jù)不會(huì)與未經(jīng)批準(zhǔn)或受到感染的端點(diǎn)共享或傳輸給未經(jīng)批準(zhǔn)或受感染的端點(diǎn)。這其中包括采用加密和雙因素身份驗(yàn)證之類的工具,還要采取精細(xì)的策略控制,例如基于角色的權(quán)限以及內(nèi)部和外部用戶的訪問控制。”
誤解3:登錄到組織VPN會(huì)保證安全性
組織的筆記本電腦和其他設(shè)備可能已經(jīng)配備了VPN訪問功能,這通常是一件好事。但是要記住,VPN連接不是靈丹妙藥。而且,如果員工一直在使用以前不曾使用的原有軟件,則可能需要重新訪問該軟件以獲得安全性、許可、帶寬和其他配置。
Chabra說(shuō):“未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可能會(huì)破壞易受攻擊的VPN服務(wù)器。”
在這種情況下,網(wǎng)絡(luò)攻擊者可能潛在地獲得對(duì)所有活躍用戶及其純文本憑據(jù)的訪問權(quán)限。網(wǎng)絡(luò)攻擊者在成功連接到VPN服務(wù)器時(shí),也有可能在每個(gè)VPN客戶端上執(zhí)行任意命令。
Chabra說(shuō):“組織必須確保修補(bǔ)了VPN軟件并安裝了最新版本。他們還應(yīng)該確保有適當(dāng)?shù)某绦騺?lái)保持軟件的更新。”
這并不是說(shuō)員工并不能使用VPN。更確切地說(shuō),需要確保它是最新的版本,并且已將其用于預(yù)期的用途。正如瞻博網(wǎng)絡(luò)公司全球安全策略總監(jiān)Laurence Pitt所說(shuō)的那樣,這通常意味著員工正在使用它來(lái)保護(hù)運(yùn)營(yíng)的業(yè)務(wù),而不是針對(duì)所有在線活動(dòng)。
誤解4:運(yùn)行在云端可以保證安全性
從基礎(chǔ)設(shè)施到應(yīng)用程序的各個(gè)方面都依賴云計(jì)算服務(wù)的組織可能在連續(xù)性方面獲得先機(jī)。而基于云計(jì)算的電子郵件之類的服務(wù)通常是不需要通過(guò)VPN登錄的一個(gè)很好例子。
員工不要誤以為在云平臺(tái)運(yùn)行業(yè)務(wù)就會(huì)自動(dòng)確保安全。Fugue公司聯(lián)合創(chuàng)始人兼首席技術(shù)官 Josh Stella指出,由于組織的團(tuán)隊(duì)訪問云計(jì)算環(huán)境的方式發(fā)生了重大變化,可能會(huì)使以往的安全狀況大打折扣。
Stella說(shuō),“組織員工以前通過(guò)企業(yè)網(wǎng)絡(luò)訪問云計(jì)算基礎(chǔ)設(shè)施,現(xiàn)在他們?cè)诩依锕ぷ?,這可能會(huì)面臨不習(xí)慣管理的新威脅。網(wǎng)絡(luò)攻擊者正在使用自動(dòng)化工具專門在互聯(lián)網(wǎng)上搜索虛擬服務(wù)器和網(wǎng)絡(luò),并且在適應(yīng)這些新的遠(yuǎn)程訪問模式時(shí),身份和訪問管理服務(wù)沒有得到安全配置。組織的員工可能經(jīng)常更改云計(jì)算資源配置以完成他們的工作。”
可見性仍然是安全性和其他原因的主要需求,特別是在分布式環(huán)境中。
Stella建議說(shuō):“組織需要設(shè)置通知,以便知道何時(shí)對(duì)安全關(guān)鍵資源(如IAM、安全組、對(duì)象存儲(chǔ)服務(wù)和數(shù)據(jù)庫(kù)服務(wù))進(jìn)行配置更改。在出現(xiàn)危險(xiǎn)的錯(cuò)誤配置時(shí),在網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)并利用它們之前,快速識(shí)別并糾正它們。”
誤解5:?jiǎn)T工知道如何發(fā)現(xiàn)騙局
網(wǎng)絡(luò)釣魚攻擊如今仍然存在并且十分有效。實(shí)際上,很多人并不擅長(zhǎng)發(fā)現(xiàn)虛假電子郵件、短信和類似威脅。正如Red Hat公司首席安全架構(gòu)師Mike Bursell最近指出的那樣,這就是為什么釣魚攻擊可能發(fā)生在任何人身上的原因。
Chabra表示,人們并不擅長(zhǎng)發(fā)現(xiàn)更加狡猾的電子郵件,因此需要采取相應(yīng)的行動(dòng)。
Chabra建議說(shuō):“員工需要確保實(shí)施電子郵件安全控制措施,以阻止網(wǎng)絡(luò)釣魚攻擊,并檢測(cè)和隔離惡意軟件威脅。”
甚至安全工具(如安全電子郵件網(wǎng)關(guān))也可能會(huì)出錯(cuò)。因此,現(xiàn)在不是放棄認(rèn)知計(jì)劃以及其他形式的教育和溝通的時(shí)候。組織確保有一個(gè)雙向的權(quán)威渠道供員工報(bào)告可疑消息和鏈接等。
誤解6:遠(yuǎn)程工作只是一個(gè)短期行為
人們希望遠(yuǎn)程工作只是一個(gè)短期行為,但是從安全的角度來(lái)看,這種想法是錯(cuò)誤的。
Information Security Forum總經(jīng)理Steve Durbin表示,轉(zhuǎn)向遠(yuǎn)程工作很可能會(huì)對(duì)許多組織產(chǎn)生持久的影響。他認(rèn)為,在家工作可能成為一種“新的業(yè)務(wù)常態(tài)”。
Durbin認(rèn)為,從安全的角度來(lái)看,現(xiàn)在組織的員工正處于三個(gè)發(fā)展的階段。第一階段的重點(diǎn)是技術(shù):讓員工隊(duì)伍在家遠(yuǎn)程工作,并使用在家中完成工作所需的工具運(yùn)行。第二階段是,網(wǎng)絡(luò)攻擊者可能通過(guò)在家工作的員工的操作破壞組織業(yè)務(wù)的安全性。
Durbin說(shuō):“我們將會(huì)看到針對(duì)組織的威脅,遠(yuǎn)程工作者被視為可能是安全鏈中最薄弱的環(huán)節(jié),并不一定是他們?cè)L問公司界面的方式,而是通過(guò)第三方訪問途徑,他們將不可避免地遇到這種威脅保持開放以履行其職責(zé)。”
從Zoom安全到有針對(duì)性的網(wǎng)絡(luò)釣魚攻擊等等,上述大多數(shù)問題都屬于第一階段,第二階段或兩者兼有。而它們肯定是相關(guān)的。
此外,組織的員工還可能處于第三階段,IT領(lǐng)導(dǎo)者和安全專家需要注意這一點(diǎn):自滿。
Durbin說(shuō),“這將導(dǎo)致員工警惕性降低,需要通過(guò)增加壓力和網(wǎng)絡(luò)焦慮來(lái)克服,坦率地說(shuō),當(dāng)正常的工作和生活建立在社交互動(dòng)的基礎(chǔ)上時(shí),遠(yuǎn)程工作就成為一種無(wú)聊的行為。我最擔(dān)心的是遠(yuǎn)程工作的員工何時(shí)進(jìn)入第三階段,因?yàn)檫h(yuǎn)程團(tuán)隊(duì)的負(fù)責(zé)人和管理者不太可能在這些跡象出現(xiàn)之前識(shí)別出來(lái)。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)