2020年的冠状病毒大流行导致许多工人在家中工作以减缓其传播。企业主必须积极应对这些变化,同时尽最大努力才能有效,安全地运行。公司的新常态是可以继续远程提供业务服务的员工队伍。本文介绍了公司用于成功保护其远程工作人员的一些提示和策略。
在我们深入研究之前,唐界传媒全球智库(SRCNN)需要将公司分为两种独特的类型,如下所示:
已针对其大部分运营需求进行了数字化转换为云服务的企业;和越来越多的传统企业使用现场应用程序和服务来开展业务。数字化转型成熟度经过数字化转型的公司可能比采用传统内部部署解决方案的公司在远程工作者安全方面更有优势。这些支持云的公司简化了无数的网络安全挑战。在云中运营业务的公司必须采取以下措施来真正保护自己。
首先,所有云服务都必须具有强大的身份验证措施,其中包括两个主要工具:
在所有启用Internet的服务上使用两因素身份验证
在整个公司使用密码管理器
其次,公司必须建立强有力的管理流程,包括:
采用有效的入职和离职实践
建立治理策略/过程,以指导员工选择,使用和安全配置软件即服务(SaaS)解决方案
最后,需要采取强有力的网络安全措施,包括:
确保在那些启用了云的应用程序中设置了最小特权,以限制对所需内容的访问
对传输中和静止时的所有关键和敏感数据进行加密
并非所有达到相同数字化成熟度水平的公司。有些尚未解决上述许多安全建议。即使在已经完成向云服务的数字化转型的公司中,唐界传媒全球智库(SRCNN)也会经常发现远程工作人员计划中的差距。但是,从本质上讲,比起使用更传统的本地技术解决方案的公司,保护已经在云中工作的企业中的远程工作者更为容易。这是我们将注意力转移到下一个地方的地方。
远程工作者的现场应用程序安全注意事项
与基于云的服务运营相比,远程工作者在现场业务运营方面面临着其他独特的网络安全挑战。人们关注的焦点从提供对资源的本地访问转变为确保远程工作者继续对那些相同的本地应用程序具有可靠和安全的访问。不幸的是,这些本地应用程序常常没有为远程用户保护和强化,而是依赖于少数本地用户。我们的下一部分将分析这些差异,这些差异通常是在本地公司迁移到远程劳动力时发现的。
个人设备上的端点不安全
在现场工作时,端点安全性通常非常可靠和可靠。公司拥有的设备运行防病毒保护,并具有权限管理,不活动后锁定设备以及定期修补操作系统和应用程序的功能。许多公司没有为家庭劳动力的移动工作预算。面对为每位员工购买笔记本电脑的问题(笔记本电脑供不应求已达数月之久),许多公司选择允许安全性较低的家用计算机连接到本地资源和应用程序。在某些配置中,这会将安全性较低的计算机放在内部网络中。这会给您的数据带来额外的风险。这些都是政策以及某些情况下需要解决的技术问题。
访问最初只为本地连接保护的应用程序
允许从家庭中的个人设备访问这些相同的应用程序可以使这些应用程序面临不安全和可能受到威胁的家用计算机的风险,权限不佳(可能在发生漏洞时造成更大的损害),使安全的远程访问以前受保护的系统的复杂性。向本地但有限的联系敞开大门。与此形成对比的是,云解决方案始终假设来自受感染计算机的最坏连接。他们每天假设并见证来自整个Internet的黑客攻击。他们经过严格的渗透测试,以确保与大多数从未为此类产品设计的本地应用程序,服务器和网络相比,系统被锁定并确保安全。
无论您的应用程序是在云端还是本地,都需要确保一些重要的安全实践并按设计运行。让我们将注意力转移到安全的远程访问上,并将其转换为特权管理,加密和两因素身份验证的最佳实践。
远程工作人员的安全提示
尽管保护公司范围内的远程访问比保护众多公司提供的笔记本电脑容易,但仍应遵循其他最佳做法。为了减少使用远程访问时数据泄露的可能性,企业应该执行以下操作:
要求两方面身份验证(2FA)
必须配置所有最终用户使用2FA进行远程访问。否则,就是引发安全事故和妥协。太多的员工在访问多个网站时会重复使用其VPN帐户上的密码,这些网站之一肯定会遭到破坏,而这些凭据也会在黑暗的网络中漂浮。如果您需要遵守PCI,HIPAA或CMMC之类的安全标准,那么这尤其重要。如果您只做一件事,那就应该是–使2FA进入您的本地网络及其托管的数据/应用程序。
最小特权原则
必须仔细分配对现场和云应用程序的访问权限,以便最终用户只能访问他们需要的资源。公司这样做的一种方法,同时也将攻击范围限制在一个协议内,是通过将远程桌面协议启用到办公室的工作站中。单一的门可以从应用程序权限到默认存储位置,强制执行工作环境中的所有现有安全性,从而在工作机器已经说过许可证的情况下降低家用机器的额外许可成本。
这可能需要在传统的虚拟专用网络(VPN)连接上设置其他限制,以在连接VPN客户端时授予基于网络的访问权限,以访问通常平坦的内部网络上的所有资源。这人为地将远程访问用户的安全门槛降低到了端点安全的门槛,如果端点安全受到威胁,则可能将勒索软件和病毒引入公司网络。相比之下,在RDP网关上启用到单个工作站的单个路由器而没有其他端口或协议则可以显着提高远程工作者的整体安全性。
加密最终用户设备与其桌面之间的所有流量
这可以通过VPN来完成,但是要遵循此路线,需要安装和配置VPN客户端,从而将最终用户限制在特定的设备上,并增加了复杂性。利用Web浏览器通用性的远程访问解决方案可以提供适当的加密,同时还可以避免VPN的局限性。如果可能,此类解决方案仍应按每个用户绑定到单个目标。
不允许直接访问
不安全的远程访问服务是黑客的常见目标,并且永远都不应暴露于公共Internet。将这些服务放置在远程桌面网关的后面可防止它们直接进行公共访问,并提供额外的安全性和访问控制层,最好与两因素身份验证配合使用。
在唯一网络中隔离(SEGMENT)您的远程桌面
最后,保持细分并隔离您的内部网络至关重要。使用远程桌面网关,可以将服务器配置为仅接受来自经过2FA身份验证的用户的入站连接。应该存在各种内部段,以限制一个网络段受到病毒,蠕虫或黑客感染的损害。
网络安全和远程工作者结论
几年前过渡到支持云的服务的公司很快安全地进行了调整,以迁移到远程工作者。但是,无论您使用内部部署应用程序还是云应用程序,都可以通过实施本文概述的保护措施,确保您的业务运营安全,并限制遭受损害的风险,停机时间,品牌损害以及客户/收入失利。
必须安全地远程访问公司网络,这取决于您所走过的数字化转型之路。如上所述,通过修补,监视,资本支出升级来保护内部设备的安全,这使确定更具挑战性,但这是可行的。但是,它的确凸显了为移动和日益远程的工作人员更积极地迁移到支持云的服务所带来的一些好处。