信息化觀察網

人們對于VPN、云計算和網絡釣魚的一些誤解也出現在有關網絡安全和遠程工作的誤區(qū)中，安全專家為此提供了如何保持安全性的建議。

最容易忽略的安全風險之一是什么?就是認為沒有風險。

當涉及到工具、人員和流程時，保持安全性是正確的。當人們認為很少甚至不可能出差錯時，那么其面臨的風險往往會擴大。自滿情緒可能會導致這種心態(tài)，并且可能是一個不斷增長的風險因素。而人們產生的誤解通常是對于安全過度自信的根源。人們可能以為自己知道一些東西，但是如果這些知識是不合時宜的或過時的呢?如果環(huán)境突然改變怎么辦?

由于冠狀病毒在全球各地傳播，很多人現在都不得不在家遠程工作。對于許多組織來說，最顯著的變化是其業(yè)務快速轉移到遠程工作。而這產生了廣泛的影響，包括對組織安全狀況的影響，可能需要進行一些調整。

以下列出針對員工在線遠程工作在安全方面的一些常見誤解：

誤解1：Zoom是端到端加密的視頻會議平臺

首先，Zoom視頻會議平臺的安全性已經引起了人們廣泛的關注。視頻會議平臺如今在全球各地的使用量呈急劇上升趨勢，這使其成為網絡攻擊者更具吸引力的目標。有關Zoom的各種風險的頭條新聞很多，而Zoom公司也在致力于解決其中許多問題。

正如最近在有關如何改善Zoom視頻會議安全的帖子中所述，組織需要評估自己的安全設置。但是問題是：視頻會議尚未以故障安全的方式完全加密。Zoom公司宣布了其收購初創(chuàng)廠商Keybase公司的意圖，以便為其產品添加端到端加密功能。Zoom公司還概述了一個為期90天的解決安全問題的計劃。

NetEnrich公司網絡安全業(yè)務主管Vikram Chabra說：“Zoom視頻會議平臺并不是端到端加密的，而Zoom可以在會議過程中使用它所持有的密鑰來解密數據。這或多或少取決于組織的風險承受能力、監(jiān)管需求和其他因素。”

誤解2：個人設備與公司設備一樣安全

企業(yè)、政府部門、教育機構等很多組織的員工采用自帶設備(BYOD)遠程工作，并且使用個人設備訪問服務和數據的人數大量增加。其中一個原因是不得不采用個人設備。

而這并不是一個新問題。組織需要采取措施，以確保遠程工作的員工使用個人設備需要額外的安全保護，因為這些設備本身可能不如組織提供的硬件設備那樣安全。

Chabra說：“組織必須啟用雙因素身份驗證，并使用內容過濾和身份識別與訪問管理(IAM)解決方案。在為在家工作的員工創(chuàng)建新帳戶時，組織必須鼓勵使用強密碼，并遵守最低特權原則。”

這并不是說不讓員工更頻繁地使用個人設備，而是更頻繁地使用這些設備訪問組織的數據和服務可能面臨風險。

Accellion公司首席技術官Cliff White說，“隨著越來越多的員工在家工作，對自帶設備(BYOD)和系統對內容可用性的需求增加。”

這可能迫使組織IT領導者在確保訪問業(yè)務連續(xù)性和安全性之間尋求一種平衡。過于廣泛地授予訪問權限(為實現不受限制的業(yè)務運營)可能會帶來不必要的風險。

White說：“創(chuàng)建或處理敏感信息或IP的每個組織必須采取不同的預防措施，以確保其數據不會與未經批準或受到感染的端點共享或傳輸給未經批準或受感染的端點。這其中包括采用加密和雙因素身份驗證之類的工具，還要采取精細的策略控制，例如基于角色的權限以及內部和外部用戶的訪問控制。”

誤解3：登錄到組織VPN會保證安全性

組織的筆記本電腦和其他設備可能已經配備了VPN訪問功能，這通常是一件好事。但是要記住，VPN連接不是靈丹妙藥。而且，如果員工一直在使用以前不曾使用的原有軟件，則可能需要重新訪問該軟件以獲得安全性、許可、帶寬和其他配置。

Chabra說：“未經身份驗證的遠程攻擊者可能會破壞易受攻擊的VPN服務器。”

在這種情況下，網絡攻擊者可能潛在地獲得對所有活躍用戶及其純文本憑據的訪問權限。網絡攻擊者在成功連接到VPN服務器時，也有可能在每個VPN客戶端上執(zhí)行任意命令。

Chabra說：“組織必須確保修補了VPN軟件并安裝了最新版本。他們還應該確保有適當的程序來保持軟件的更新。”

這并不是說員工并不能使用VPN。更確切地說，需要確保它是最新的版本，并且已將其用于預期的用途。正如瞻博網絡公司全球安全策略總監(jiān)Laurence Pitt所說的那樣，這通常意味著員工正在使用它來保護運營的業(yè)務，而不是針對所有在線活動。

誤解4：運行在云端可以保證安全性

從基礎設施到應用程序的各個方面都依賴云計算服務的組織可能在連續(xù)性方面獲得先機。而基于云計算的電子郵件之類的服務通常是不需要通過VPN登錄的一個很好例子。

員工不要誤以為在云平臺運行業(yè)務就會自動確保安全。Fugue公司聯合創(chuàng)始人兼首席技術官 Josh Stella指出，由于組織的團隊訪問云計算環(huán)境的方式發(fā)生了重大變化，可能會使以往的安全狀況大打折扣。

Stella說，“組織員工以前通過企業(yè)網絡訪問云計算基礎設施，現在他們在家里工作，這可能會面臨不習慣管理的新威脅。網絡攻擊者正在使用自動化工具專門在互聯網上搜索虛擬服務器和網絡，并且在適應這些新的遠程訪問模式時，身份和訪問管理服務沒有得到安全配置。組織的員工可能經常更改云計算資源配置以完成他們的工作。”

可見性仍然是安全性和其他原因的主要需求，特別是在分布式環(huán)境中。

Stella建議說：“組織需要設置通知，以便知道何時對安全關鍵資源(如IAM、安全組、對象存儲服務和數據庫服務)進行配置更改。在出現危險的錯誤配置時，在網絡攻擊者發(fā)現并利用它們之前，快速識別并糾正它們。”

誤解5：員工知道如何發(fā)現騙局

網絡釣魚攻擊如今仍然存在并且十分有效。實際上，很多人并不擅長發(fā)現虛假電子郵件、短信和類似威脅。正如Red Hat公司首席安全架構師Mike Bursell最近指出的那樣，這就是為什么釣魚攻擊可能發(fā)生在任何人身上的原因。

Chabra表示，人們并不擅長發(fā)現更加狡猾的電子郵件，因此需要采取相應的行動。

Chabra建議說：“員工需要確保實施電子郵件安全控制措施，以阻止網絡釣魚攻擊，并檢測和隔離惡意軟件威脅。”

甚至安全工具(如安全電子郵件網關)也可能會出錯。因此，現在不是放棄認知計劃以及其他形式的教育和溝通的時候。組織確保有一個雙向的權威渠道供員工報告可疑消息和鏈接等。

誤解6：遠程工作只是一個短期行為

人們希望遠程工作只是一個短期行為，但是從安全的角度來看，這種想法是錯誤的。

Information Security Forum總經理Steve Durbin表示，轉向遠程工作很可能會對許多組織產生持久的影響。他認為，在家工作可能成為一種“新的業(yè)務常態(tài)”。

Durbin認為，從安全的角度來看，現在組織的員工正處于三個發(fā)展的階段。第一階段的重點是技術：讓員工隊伍在家遠程工作，并使用在家中完成工作所需的工具運行。第二階段是，網絡攻擊者可能通過在家工作的員工的操作破壞組織業(yè)務的安全性。

Durbin說：“我們將會看到針對組織的威脅，遠程工作者被視為可能是安全鏈中最薄弱的環(huán)節(jié)，并不一定是他們訪問公司界面的方式，而是通過第三方訪問途徑，他們將不可避免地遇到這種威脅保持開放以履行其職責。”

從Zoom安全到有針對性的網絡釣魚攻擊等等，上述大多數問題都屬于第一階段，第二階段或兩者兼有。而它們肯定是相關的。

此外，組織的員工還可能處于第三階段，IT領導者和安全專家需要注意這一點：自滿。

Durbin說，“這將導致員工警惕性降低，需要通過增加壓力和網絡焦慮來克服，坦率地說，當正常的工作和生活建立在社交互動的基礎上時，遠程工作就成為一種無聊的行為。我最擔心的是遠程工作的員工何時進入第三階段，因為遠程團隊的負責人和管理者不太可能在這些跡象出現之前識別出來。”