减轻家庭网络设备影响企业安全的4种方法
2020-09-16何静
何静
由于新型冠病毒疫情的封锁措施,全球许多企业的员工被迫在家工作。对于在将来可能需要继续远程工作支持的企业来说,员工家庭网络以及与家庭网络连接设备的安全性变得越来越重要。
在Gartner对316位首席财务官和财务负责人进行的一项调查显示,现在有大约1/4的美国组织计划在疫情过后,至少将20 %的现场办公人员转移到永久性的远程办公职位。74 %的公司计划削减成本,许多公司推迟了内部支出,而将重点放在在家办公员工的设备提供上。
分析师表示,这一趋势使家庭路由器、打印机、安全系统、DVR、游戏机和其他智能设备很可能成为影响企业网络安全的因素。企业更加需要关注家庭网络以及与家庭网络连接的智能产品和其他设备的安全性。
BitSight在最近的一项研究中发现,家庭网络中感染恶意软件的几率是办公室网络的7倍以上。25 %的智能家居产品、PC、打印机、相机和其他家庭网络上的设备可以通过互联网直接访问。在45 %的公司中,有个别设备曾访问过带有恶意软件的家庭网络。
451 Group的分析师Daniel Kennedy表示:“家庭网络与公司网络从根本上是不同的,家庭网络存在更大的风险。”他指出,在家庭网络中经常会出现使用默认密码或密码较弱的情况,这会使攻击者易于访问家庭路由器的管理界面和IoT设备;而公司防火墙则会避免这些情况的出现。
同样,家庭WiFi网络可能无法像公司网络那样受到有效保护,从而防止网络上其他用户的危险行为。Kennedy指出:“办公室的大多数员工在完成一天的工作后,很少会下载一些游戏玩,但是在家庭网络中,却不能避免员工的孩子下载游戏玩。”虽然这些情况都是理论上的风险,但是在家庭网络中存在的虚拟助手(例如Alexa,Google Home),也会存在普遍的隐私或机密性问题。这可能会导致无意间泄露员工在家工作时参加会议的内容和商务通信。
远程办公面临的风险并不是一个新的问题。多年来,支持远程工作的企业都不得不处理一些安全性的问题。Kennedy指出:“很多企业预计将会永久性增加在家工作的需求。但是规模扩大则面临攻击面的扩大,那企业如何保障安全性呢?
Kennedy和其他安全专家在此提供了4个技巧,以减轻家庭网络和智能家居设备对企业安全性的影响。
1.不信任任何的验证
将家庭网络和设备视为不可信的,因为他们本质上比公司环境更加脆弱。实施控制以确保每次从家庭网络到企业系统和数据的所有访问请求都经过完整的身份验证。
IT-Harvest的首席分析师Richard Stiennon表示:“这是必须重新评估信任模型的时候。”如今,它包含的范围不仅是公司网络,还包括了每个员工家庭网络中的所有内容。他指出,在一些有青少年的家庭中,智能摄像机、智能灯、智能电视和平板电脑中的漏洞已成为公司IT部门安全性的一部分。”
访问决策不仅限于具有正确凭据的人员,还要有一些其他决策。每次发出访问请求时,都需要对设备和用户进行安全审查。授予访问权限后,访问权限应以最小特权为基础,甚至只能访问用户适当需要工作的系统和数据。
Stiennon说,必须持续监控他们的活动,并且网络必须时刻响应他们的活动,这就是零信任。
IDC分析师Pete Lindstrom说,组织应尽可能部署多因素身份验证(MFA)。虽然这不是灵丹妙药,但MFA可以减少很多远程办公所带来的风险,一般来说,重点应放在扩展网络的安全控制,并使其更贴近应用程序、数据和用户。
2.识别安全漏洞
支持少数在家工作的员工所带来的安全隐患与支持大规模的人数完全不同。Lindstrom说,将网络连接扩展到员工住所的IT环境可能使企业服务器、应用程序资源和数据面临新的漏洞和风险。
Unisys的CISO Mat Newfield表示,想解决这些风险,首先要意识到一些问题。
①您是否在公司系统上拥有适当的安全工具从而将感染率降至最低?
②您是否对远程访问进行了适当的配置和监控,以确保发送回家的公司系统不会充当公司网络和家庭网络之间的桥梁?
③您是否为在家工作的人员提供适当的工具和培训,以确保其在家庭网络中遵守与公司网络相同的安全要求?
⑤如果出现问题,是否有必要具备安全应急的方法?
⑥确定您是否有适当的监控,以便能够通过远程访问环境快速检测到问题。
Kennedy表示,可见性是另一个问题。在网络边缘运行的某些基于网络的安全控件无法完全捕获家庭网络上员工的活动,也无法对其采取行动。如何捕获他们的活动以及实施安全控制将成为问题。
SANS研究所还有其他一些建议。是否要让员工在家工作时报告安全事件,提前规划报告安全事件的流程,让员工了解他们应该向谁报告,如何报告,何时报告?
3.端点保护
确保从家庭网络访问到企业网络的任何设备都受到保护,以免受到来自智能家居产品和其他连接到家庭网络设备的潜在安全威胁。Lindstrom说,确保正确配置了端点威胁检测和响应控制,并且VPN连接稳定。
Unisys的Newfield说:“我们看到许多家庭系统很容易受到攻击,因为他们的漏洞没有及时得到修复。”例如,许多家庭视频游戏系统上都存在漏洞,他们可以主动扫描环境以寻找容易受到攻擊的主机。如果企业没有加强防范此类威胁的措施,就有可能成为受害者。Newfield说:“公司在员工带回家的设备上部署哪些工具和技术支持,直接影响通过访问家庭网络的设备对公司产生安全事件的可能性。”
另外,家庭网络中的个人设备也具有足够的安全防护。SANS研究所新兴安全趋势主管John Pescatore表示,例如,向在家工作的员工展示如何将新用户非系统管理员帐户添加到他们的家用电脑中。
Pescatore表示:“这至少可以隔离文件,以防止勒索软件的影响,同时保持浏览器历史记录独立限制特权。”他指出,应向所有在家工作的员工提供基于云的备份,以预防家庭网络攻击。要确保他们在家用电脑上的所有东西上都启用了自动更新功能,例如:Windows、Adobe、Zoom和浏览器等。
4.提升员工的安全意识
通常,在家工作的大多数员工都不了解智能设备在家庭网络与企业网络之间相互连接转换会给企业带来安全风险。Newfield解释道,如果用户设置了自动更新的提示,就会实时修补存在漏洞的设备。所以提高员工在家办公的安全意识及简单的风险应对能力相当重要。