01.远程工作
远程工作并非适合每个组织,也不是无风险的工作。当员工离开公司时,那么公司的相关物理和虚拟保护都暂时或者永久的失效;员工的远程办公也会增加许多领域的风险,包括信息风险、隐私风险、法律风险、技术风险和合规风险。
那么,组织为了保持生产力和竞争力就需要了解这些风险并制定减轻或消除这些风险策略。(远程工作协议)
一、风险
1、缺乏物理安全控制
公司为实现保护员工安全实施的相关物理设备,在远程工作时无法对员工提供相应的保护。
2、不安全的网络
当公司在其设施中部署有无线和有线网络时,他们会建立相应的安全措施(访问控制、数据加密、入侵检测和防御服务、恶意软件防护等)来保护公司及其员工。但是在员工离开公司进行远程工作时,那么这些措施就会出失效,此外,大部分的公共网络为了易于访问和方便而构建的,这就导致攻击者可以在公共网络中设置自己的Wi-Fi和蜂窝网络接入点。
3、隔离、无法访问且不受管理的基础架构
远程员工使用的网络与公司的基础设施在物理上隔离,公司的信息技术(IT)或安全人员无法访问并进行远程验证,从而无法监控这些网络的性能问题或潜在的安全问题。
4、使用不安全的技术管理机密信息
当员工在远程工作时,他们可能使用不安全的技术来传输机密信息,从而导致公司受到法律和监管部门的处罚。
在家庭环境中也包含物联网技术,许多物联网设备本身缺乏有效的安全保护,即使发现了安全或隐私问题,大多数物联网设备也缺乏更新能力。如果这些设备在员工工作电脑所在的同一网络上使用,员工的工作和机密信息就可能在员工或公司不知情的情况下被监控、复制并发送到未知目的地。
5、商业活动与个人生活相结合
大多数公司都有关于员工是否可以以及如何将公司设备用于个人用途的政策。随着越来越多的员工离开公司i场所并开始远程工作,“公司”和“个人”之间的区别开始模式,除非员工能够为工作时间和个人时间设定非常明确的界限。
随着这种转变的继续,维护公司设备和信息适当安全的责任越来越多落在了远程工作人员身上。因此,如果没有持续强化,他们对数据保护、机密信息和政策合规性等问题的态度可能会开始变得松懈。
6、法律、法规的限制
遵守当地、国家和国际安全、隐私和就业法律是任何组织最关心的问题。
以下是可能代价高昂的违规行为的几个示例:
- 在另外一个国家临时长期居留;
- 在一个国家为一家公司工作,而没有适当的工作签证而居住在另一个国家;
- 将个人身份信息(PII)或受保护的健康信息(PHI)从一个国家/地区带到另一个国家/地区;
所有这些都是真实人们采取行动的例子,虽然这些行动是善意的,但可能违反了一个或多个国家/地区的适用安全、隐私或就业法。如果不提供适当的政策、培训和意识来告知员工远程工作的法律要求的基本知识以及如何遵守这些要求,一旦违规行为暴露在公众面前,公司可能会面临诉讼、罚款和客户信心丧失。
二、环境问题
1、一切始于政策
有效的远程工作政策将为员工理解对他们的期望奠定基础,并在出现政策规定的可接受和不可接受的行为问题时提供参考点。制定一项有效的政策,规定员工在各种情况下应如何工作和行为,这涉及多个领域的专业知识。因此,在制定远程工作政策时,公司的信息安全、法律、隐私、人力资源和实体安全团队都应参与其中。
远程工作政策应该涉及的一些重要部分。每个组织应该审查这些方面,并根据公司的情况、文化和支持政策的能力进行调整。
- 允许哪些职位的员工能够远程工作?
- 员工远程工作的地点和时间是否有限制?法律、法规以及员工待遇有哪些影响?
- 远程工作是否需要审批?相关审批流程是什么?
- 用于远程工作的计算机和网络的技术安全和支持要求是什么?
- 远程员工是否需要特殊培训?
2、建立安全的远程工作环境
一旦你的员工离开安全的办公室,他们将需要在远程位置建立尽可能安全的环境。有许多环境因素有助于确保贵组织的信息尽可能安全,这些因素应成为远程员工政策和程序的一部分,并通过安全意识培训加以强化。
远程工作人员尽量在工作地点流出专门的工作区域。如果员工必须与他人(如配偶、伴侣或室友)共用一个工作区,他们应注意确保自己的工作区不被他人看到。应尽可能阻挡他人看到自己电脑的视线,电脑屏幕和工作文件不应被外人公开看到,以防止有价值的信息泄露。能否将工作区和个人区明确分开,是远程工作环境安全与否的关键所在。
3、将工作生活和个人生活分开
将公司信息和个人信息混为一谈,会给员工和公司带来负面影响。如果公司为远程员工提供 IT 和办公设备,那么员工只能将公司设备用于公司工作,而个人电脑和设备则用于满足个人需求。如果公司不提供设备或没有 BYOD 政策,则应向员工提供如何在个人设备上保持工作文件的独立和安全的信息。此外,企业还可以考虑部署一些技术,在员工通过非公司所有设备访问公司信息时对其进行隔离和保护,例如移动设备管理服务或员工可在个人电脑上使用的加密软件。
4、电话会议和视频会议
当员工在公共场所接听电话会议和视频会议,关键是要确保在你开会时,周围没有人可以看到或听到你的工作。如果你的工作文件散落在周围,或者任何人都能看到或听到你的谈话,那么他们就有可能看到或听到你公司的机密、秘密或敏感信息。这不仅违反了贵公司的安全政策,还可能违反贵公司可能承担的任何法律或行业合规义务。
5、在公共场所工作
在公共场所,组织无法控制员工可能使用的物理环境或网络技术基础设施的安全性。因此,员工需要确保周围环境的安全。
如果员工使用公共 Wi-Fi 热点连接互联网,他们的连接极有可能被人拦截和监控,试图获取有价值的信息,如用户 ID、密码、访问代码或其他公司机密信息。大多数公共热点都会受到一种被称为 "接入点欺骗"、"窃听 "或 "邪恶双胞胎 "的攻击。
三、远程工作的技术最佳实践
1、基础技术控制
通常,针对远程工作人员的安全技术通常分为三个控制类别,这三个控制类别结合在一起,就形成了一种多层次的方法,可以保护组织和远程工作者免受各种攻击。所有三个层面都很重要,因为任何一个层面的控制失效都不会导致安全完全失效。其他层中的控制措施可提供后备保护,帮助防止这种故障演变成整个系统的灾难性故障。
1)保护最终用户设备的控制
第一类控制措施适用于终端用户的远程电脑、笔记本电脑、手机、平板电脑或他们可能用于远程工作的任何其他设备。由于终端用户要与这些设备进行交互,因此它们所包含的安全保护措施必须能保护这些设备免受各种威胁,并防止用户或攻击者执行可能对设备或公司基础设施造成危害的操作。
2)保护这些设备上的信息控制
工作设备的存在是为了移动和管理组织的信息。第二类控制措施有助于保护信息不被攻击者窃取或破坏,以及不被意外暴露或删除。这些控制措施还有助于保护信息,确保信息只存储在经批准的地点,并防止信息在这些地点存储时遭到未经授权的披露。
3)保护设备通信的控制
第三类控制措施通过保护远程设备与公司网络之间的网络流量,确保无人可以窃听这些流量并窃取这些连接中的信息,从而保护组织的安全。
2、保护最终用户的设备
这一过程首先要检查远程员工用于连接公司网络和访问这些网络上的信息的设备。通过采取一些基本的预防措施,可以大大提高这些设备的安全性能。
1)更新设备组件
所有设备上运行的软件(包括操作系统、应用程序和使用程序)必须保持最新。
如果公司控制并管理员工的设备,就可以使用集中式软件分发服务将更新和补丁直接发送到这些设备上,既可以定期发送,也可以根据需要发送。但是某些更新可能会占用大量网络带宽,因此企业必须计划和安全更新,以尽量减少对最终用户和企业的影响。
如果公司不拥有或集中管理远程员工的设备,则应向所有远程员工提供明确的指导,让他们了解如何更新所有工作和个人设备,并将此作为意识培训的一部分。
2)安全本地网络设备额
大多数远离办公室的远程工作人员使用的网络设备通常不由公司管理。大多数面向消费者的设备在出厂时都是为了方便使用而配置的,而不是为了严密的安全性。因此,基于家庭的网络为攻击者提供了许多机会来访问这些设备,并利用这些访问权限监控你的网络流量或访问你的计算机。
您的远程工作计划应包括确保家庭网络设备安全的基本步骤说明,使攻击者更难以立足。
3)启用本地防火墙
防火墙传统上是独立的网络设备,但所有现代操作系统都有内置软件防火墙功能。这有助于防止未经授权从网络上的其他设备连接到计算机,这些设备可能已被恶意软件感染或被攻击者接管。公司拥有的所有计算机都应启用和配置防火墙功能,以防止本地用户修改或禁用其功能。这将阻止访问公司所属系统的攻击者禁用可能检测或报告其存在的关键安全控制。
4)建立支持机制
对于远程工作地点的公司自有设备,组织应建立明确的支持和维修服务,使远程工作人员能够将出现故障的设备送修或更换。如果组织认为内部没有足够的资源支持这项服务,可以选择外包。无论在哪种情况下,组织都应制定明确的流程,以便安全地返还设备进行维修或更换,并制定在设备维修期间保护设备上信息的程序。有了明确的支持程序,员工就更有可能在内部而不是外部寻求支持,从而进一步确保设备和数据的安全。
5)设置屏幕超时和自动锁定标准
离开电脑一段时间后,大多数用户都会打开电脑并登录当时使用的任何账户。这样,就有可能有人走近电脑,以合法用户的身份查看、复制或修改机密信息或执行交易。
为防止这种情况发生,所有电脑和移动设备都应配置为在一定时间后锁定屏幕,通常为 5 至 10 分钟,并要求输入密码才能重新进入设备。这将有助于防止无人值守设备上的信息被盗或丢失。组织的宣传和沟通计划还应强调,切勿将便携式电脑和移动设备置于无人看管的状态,尤其是在公共场所。
3、保护远程工作者设备上的信息
1)加密
加密使用一种称为密钥的特殊代码来扰乱信息,只有掌握该密钥的人才能解扰或解密信息。加密可以防止存储数据丢失或被篡改,因为复制或窃取加密数据的攻击者将无法使用或修改这些数据。因此,远程工作人员可以安全地复制、备份或移动加密数据到另一个设备。
2)外部存储
现代技术的好处之一是为公众提供了各种便携式、低成本的大容量存储设备,用于存储日益增多的个人和企业数据。如果这些设备丢失、被盗或遗落在不幸的地方,企业可以采取几种措施来保护信息。
首先,企业可以通过政策和技术控制阻止在公司计算机上使用外部存储设备。许多实施此类限制的组织允许员工读取设备中的信息(以便接收大量信息,如技术文档或大型媒体文件),但禁止向这些设备写入任何信息,以防止数据丢失或外泄。
另一种方法是为员工提供使用硬件加密技术保护数据的存储设备。这些设备保护信息的方式与基于软件的设备基本相同,但基于硬件的设备使用硬盘内置的特殊加密电路来保护设备上的数据。
3)云存储
对于远程工作人员来说,使用云存储服务具有许多安全优势。将数据文件存储在云中,使其远离本地计算机。如果电脑丢失或被盗(甚至电脑坏了需要快速更换),本地硬盘上存储的文件也不会被窃取或泄露;它们都安全地存储在云中。企业可以对员工的云存储进行集中管理,从而实施适当的访问控制,确保未经授权的人员不会查看或复制他们无权访问的任何信息。最后,云存储服务还可以作为远程员工的有效备份站点,公司可以对用户的电脑进行配置,自动将文件备份到安全的云存储中保存。
4)强制实施强身份验证保护
大多数专家目前都认为,长度为 10 到 12 个字符的密码足够强大,可以抵御大多数猜测尝试,而不需要额外的复杂性或过期规则。公司安全团队和 IT 团队之间的紧密合作将产生一个良好的折衷方案,并将其纳入组织的安全策略。
用户不应该在不同网站之间重复使用密码,因为攻击者在一个网站上找到用户的 ID 和密码后,可能会在另一个网站上使用相同的 ID 和密码。最好的办法是鼓励用户使用密码管理器来存储和管理所有密码。
5)建立高级端点保护
无论是在办公室还是远程工作,基本的恶意软件保护都应成为每位员工计算机配置的必备功能。
然而,近年来恶意软件和其他攻击变得更加复杂,传统的恶意软件保护基于将计算机活动与已知的计算机和网络行为模式相匹配,不再像以前那样提供强大的安全保护。为了填补这一空白,新一代端点防护系统应运而生,为终端用户系统提供更先进的检测、预防和报告功能。这些系统有许多不同的名称,如端点入侵防御系统(EIPS)或用户和实体行为与分析系统(UEBA)。这些新一代系统可识别和跟踪用户和系统行为,将其作为潜在恶意活动的指标。通过这样做,IPS 和 UEBA 系统可以为终端用户,尤其是缺乏企业环境中其他保护措施的远程工作人员提供更准确、更有效的防御层。
6)部署移动性管理服务
最后,有一种技术可以帮助自动保护企业手机和平板电脑上的敏感数据,而无需终端用户进行额外配置。这些技术统称为企业移动管理(EMM)。EMM 是一系列不同功能的总称,企业可利用这些功能保护远程设备和这些设备上的信息免遭丢失或泄露。
EMM 解决方案的主要功能包括
- 移动设备管理:为企业提供配置、取消配置、加密、分区和保护移动设备安全的能力。
- 移动应用管理:允许企业管理设备上的特定应用程序,而不是整个设备。这包括将业务应用程序与个人应用程序分开,并对设备上的公司数据进行加密。
4、保护通信渠道
1)窃听攻击场景
在第一种情况下,攻击者在公司网络和本地互联网服务提供商(ISP)之间的线路上安装了一个监控设备。这样,他们就可以看到公司与 ISP 之间的所有流量。在这种情况下,攻击者需要花费大量精力去发现通信线路从大楼中穿过的位置,挖开其中的一部分,切断电缆,并在线路上连接一个监听设备。所有这些都必须在躲避公司警卫或网络监控小组发现的同时完成。
还显示了一种更有可能也更常见的情况。在这个例子中,攻击者设置了一个信号很强的伪基站,欺骗本地手机连接到它,而不是电话公司的官方基站。这与模块一中讨论的假 Wi-Fi 接入点类似。其结果与攻击者挖掘电缆相同,即可以监控手机与互联网服务提供商之间的通信。但这种方案所需的体力要少得多,被手机用户发现的概率也低得多。因此,我们的目标是找到限制或防止窃听信道的方法。
2)隧道
确保通信通道安全的主要方法是使用一种称为隧道的方法。隧道技术是将正常通信流包裹在第二层保护通信层中的过程。
如果远程工作人员可以访问和使用公司网络内的计算机,而不是在公共和不受管理的网络上传输所有信息,那么就可以减轻所有这些数据移动所带来的风险和带宽需求。
隧道:远程桌面访问(RDP)
远程桌面访问(RDA)允许企业网络外的用户访问和操作网络内的计算机,而无需在它们之间交换任何数据。
隧道:虚拟设备接口(VDI)
除了使用 RDA 直接访问内部系统外,还有一种方法就是使用虚拟设备接口服务器(VDI)。VDI 与 RDA 有许多相同的特点和优势,但也有一些不足之处。
隧道:确保SMS通信安全
短信服务(SMS )可实现用户之间的快速通信,通常被视为比电子邮件更即时、更非正式的通信方式。但它没有内置的安全功能来保护信息,因此通过 SMS 发送的信息很容易被窃听和发现。如果类似短信的通信被视为企业业务和运营模式的重要组成部分,公司就应该研究和部署这些更安全的信息应用软件,供员工用于传递敏感和机密信息。
3)虚拟专用网络(VPN)
VPN使用强大的加密技术创建隧道,以保护用户和互联网之间传输的信息。使用 VPN 保护与公司网络的连接还有其他几个安全优势。其中最主要的是,远程工作人员的计算机在公司看来就好像它直接位于公司网络上而不是远程位置一样。这允许组织使用公司中的所有网络安全和现有基础结构来保护远程计算机。它有助于集中管理这些资源,并消除对网络内和网络外远程用户使用单独技术的需求。
4)传输层安全(TLS)
某些连接可能使用称为传输层安全性或 TLS 的附加隧道层。下图显示了 TLS 与 VPN 结合使用,以保护用户的 Web 浏览器和公司的 Web 服务器之间的连接。当传输离开最终用户的浏览器时,它被包装在 TLS 加密隧道中。然后,当它离开计算机时,它再次被包裹在VPN加密隧道中,并在发送到公司的Web服务器的途中。
一旦传输到达公司的VPN服务器,VPN加密隧道就会被删除,只留下TLS加密隧道。当通信到达目标 Web 服务器时,将删除该 TLS 加密包装器,并在传输发起时接收传输。
加密隧道的两层中的每一层都有不同的用途。VPN 隧道用于保护两个远程网络之间的常规网络传输。在这些网络之间传输的任何内容都将被加密,而无需用户或任何正在使用的应用程序指定需要加密。但是,一旦传输到达目标网络,加密就会结束,有时安全策略要求加密一直持续到目标应用程序服务器,此过程称为端到端加密。在这种情况下,第二个 TLS 层保证端到端的应用程序级加密。对于无法或不会与最终用户计算机建立完整 VPN 会话的站点,TLS 也是一个很好的安全选项。
在企业环境中,公共网络上的所有通信都应要求使用 VPN 和/或 TLS,以确保所有公司私人和机密信息都通过这些公共网络受到保护。
5)拆分隧道VPN
为了帮助缓解 VPN 可能引入的网络带宽流量拥塞,许多组织使用称为拆分隧道的网络技术。
来自远程工作人员计算机的网络传输会根据其目的地进行分离。发往公司网络的流量将通过 VPN 隧道发送到公司 VPN 服务器。用于互联网服务的流量则直接通过互联网发送,绕过了通过公司 VPN 服务器的往返过程。这就缓解了 VPN 可能出现的拥塞,同时加快了远程工作人员电脑与所连接的互联网服务之间的连接和流量。这两种类型的传输都可以通过加密来保护。企业流量可使用 VPN 隧道加密,互联网流量可使用 TLS 隧道保护。确保所有用户的通信安全。
分拆隧道也是存在相应的风险,许多安全专业人员对允许企业流量绕过安全控制和监控的想法持抵制态度,而安全控制和监控可应用于流经 VPN 服务器的流量。当远程流量被分拆并直接发送到互联网服务时,就会失去这些宝贵的保护措施。
为了应对这种风险的增加,企业必须增加直接置于远程工作人员系统上的安全服务,以便对流量和数据移动进行监控和分析,并在允许潜在恶意流量与基于互联网的系统交互之前对其进行拦截。应在远程工作人员的系统上配置恶意软件保护、UEBA、数据丢失防护(DLP)和终端用户防火墙组件,以监控所有进出流量,无论其目的地是公司网络还是基于互联网的服务。这样,远程工作人员就能享受到这些安全控制带来的好处,同时有助于减少公司 VPN 网络的整体网络负载。
6)软件即服务的安全性
在允许远程工作人员使用软件即服务(SaaS)时,有两个主要步骤可确保这些服务符合贵组织的安全标准。
首先是确保 SaaS 能够直接与贵组织的身份验证服务(包括任何单点登录和目录管理服务)相连接。这样,组织(而不是 SaaS 服务)就可以根据公司已经建立的访问管理策略,在这些服务中对用户进行身份验证并分配适当的访问控制,而不是为每个单独的 SaaS 提供单独的身份验证和授权服务。
其次是进行彻底的安全审查,以验证 SaaS 在 SaaS 环境中通过适当的安全、隐私和数据保护控制措施来保护公司的数据。这样,无论用户是在企业环境内还是从远程位置访问服务,企业都能确保其信息受到保护。
7)
如果远程工作人员可以访问和使用公司网络内的计算机,而不是在公共和不受管理的网络上传输所有信息,那么就可以减轻所有这些数据移动所带来的风险和带宽需求。
