員工家庭網絡和智能設備改變威脅模型的四種方式
由于與新冠病毒相關的社交距離規定,全球許多企業的員工都被迫在家工作。對于在可預見的未來需要繼續為大量遠程辦公人員提供支持的企業而言,員工家庭網絡以及與其連接設備的安全性正日益成為重要的考慮因素。
Gartner公司對 316 名首席財務官和財務主管進行的一項新調查顯示,目前約25%的美國企業計劃在疫情后將至少 20% 的辦公室員工轉變為長期遠程辦公狀態。作為削減成本措施的一部分,74% 的企業也計劃對約 5% 的員工采取同樣的做法。許多企業推遲了公司內部的技術支出,轉而側重于為居家辦公人員提供公司發放的設備。
分析人士表示,這一趨勢使企業需要更加關注家庭網絡、智能家居產品以及與之相連的其他設備的安全性。家用路由器、打印機、安全系統、硬盤錄像機、游戲機和其他智能設備能夠顯著改變企業網絡的威脅模型,其原因如下。
遭到更多惡意軟件的感染
BitSight 公司最近的一項研究發現,與辦公網絡相比,家庭網絡有七倍以上的可能性會遭受五種或以上不同類型惡意軟件的感染。25% 的智能家居產品、個人電腦、打印機、攝像頭和家庭網絡中的其他設備可以通過互聯網被直接訪問; 45% 的公司是使用帶有惡意軟件的設備從家庭網絡訪問其公司網絡。
由于許多遠程辦公人員仍使用自己的電腦工作,因此,這一問題變得更加嚴重。 Morphisec 公司最近的一項調查顯示,49% 的員工在遠程辦公時仍使用個人筆記本電腦。與 2020 年有 57% 的員工使用個人電腦相比,這一數字并未顯著下降。
易于訪問的管理接口
451 Group 公司的分析師丹尼爾·肯尼迪 (Daniel Kennedy) 說:“家庭網絡與企業網絡有著根本的不同,因此存在一些風險,盡管這些風險也可能存在于企業網絡中,但在企業網絡中卻很罕見。”他指出,由于家用路由器和物聯網設備具有默認密碼或弱密碼,因此其管理接口可以輕松進行訪問。“無論是有意還是無意,家用路由器都很可能會暴露一些企業防火墻通常不會允許的服務。”他說。
較弱的 WiFi 保護措施
同樣,家庭 WiFi 網絡可能無法像企業網絡那樣有效地防止其他用戶在網絡上的危險行為。“你的大多數辦公室同事在完成一天的工作后不太可能會玩一些下載的游戲,但員工的孩子卻會這樣做。”肯尼迪指出。盡管這更多的是一個理論上的風險,但由于家庭網絡上存在 Alexa 和 Google Home 等虛擬助手,因此也存在一般性的隱私或保密問題。肯尼迪表示,這些設備可能會無意中收集到員工居家辦公時可能進行的語音和業務溝通信息。
更大的規模和攻擊范圍
這些風險并非都是新出現的。多年來,為遠程辦公人員提供支持的企業不得不一直在應對其中一些問題。這些問題的不同之處是規模。肯尼迪指出:“很大比例的企業預計將增加居家辦公人員的規模,并會成為一種長期狀態。”“這一問題變成了,如果很大一部分員工不是通過公司網絡來使用公司服務,那么安全性會是什么狀態?”
在此,肯尼迪和其他安全專家就如何降低家庭網絡和智能家居設備給企業帶來的安全風險提供了四點建議:
1.不要相信任何東西;對所有事情進行驗證
要將家庭網絡和設備視為不可信的東西,因為它們本質上比企業環境更容易受到攻擊。要實施控制措施,以確保從家庭網絡向企業系統以及對數據發出的所有訪問請求,每次都經過充分地身份驗證。
“現在必須重新評估信任模型,”IT-Harvest 公司的首席分析師理查德?斯蒂農 (Richard Stiennon) 說。曾經被精心管理的公司網絡,現在包含了每個員工家庭網絡上的所有東西。“家庭監控攝像頭、智能電燈開關、智能電視和屬于青少年的平板電腦的漏洞,現在這已成為企業 IT 部門職權范圍的一部分。”他指出。
訪問決策不僅需要基于某人是否擁有正確的憑證。當每次發出訪問請求時,設備和用戶都需要接受安全審查。當授予訪問權限時,應基于最低權限原則來提供,即使該用戶正常工作僅需要訪問系統和數據。
斯蒂農表示,必須持續監控他們的行為,并且必須在網絡上對他們的行為進行動態響應。“這就是零信任,”他指出。“你真的想讓你的財務副總裁的智能冰箱為某一入侵行為負責嗎?”
IDC分析師皮特·林德斯托姆 (Pete Lindstrom) 表示,企業應盡可能部署多重身份驗證 (MFA)。盡管MFA 不是靈丹妙藥,但它可以降低很多與居家辦公相關的風險。林德斯托姆表示,一般來說,重點應該是對家庭網絡增加安全控制措施,并應更靠近你的應用程序、數據和用戶。
2.找出安全隱患
對少數居家辦公人員提供支持與為隨時隨地從事電腦工作的人員提供大規模支持,其安全含義是完全不同的。林德斯托姆表示,將網絡連接擴展到員工家庭的 IT 環境可能會使企業服務器、應用程序資源和數據面臨新的漏洞和風險。
開始應對這些風險的最佳方法是知道該問什么問題。“首先,你是否在公司系統上安裝了所有適合的安全工具來最大限度地減少感染?”優利系統公司 (Unisys) 首席信息安全官馬特?紐菲爾德 (Mat Newfield) 說。“你是否對遠程訪問進行了適當的配置和監控,以確保你帶回家中的企業系統不會充當公司網絡和員工家庭網絡之間的橋梁?”
這方面似乎還有改進的空間。根據 Morphisec 公司的研究,居家辦公人員所使用的電腦中只有 52% 是通過企業 VPN 進行連接的,而只有 41% 的電腦是通過防火墻進行連接。
要查明是否為居家辦公人員提供了適當的工具和培訓,以確保他們的家庭網絡遵循了與工作網絡相同的安全規則。他們是否得到了必要的指導,以確保他們知道在出現問題時該如何處理?紐菲爾德表示,不要忘記去弄清楚,你是否有適當的監控措施,以便能夠通過遠程訪問環境來快速發現問題。
可見性是另一個問題。某些在網絡邊緣運行的網絡安全控制措施無法完全獲取員工在家庭網絡上各種行為的遙測數據,也無法對其行為采取行動。“如何獲取這種遙測數據,以及將安全控制措施設置在哪里,已成為一個問題;終端、云端或其他入網點?”肯尼迪說。
美國系統網絡安全協會 (SANS Institute) 提供了一些其他建議。要提前弄清楚,你是否想讓員工在家辦公時匯報安全事件。如果你想這樣做,他們應該向誰匯報,以及如何和何時進行匯報?
3.保護員工的終端
要確保從家庭網絡訪問企業網絡的所有設備都受到保護,免受由于易受攻擊的智能家居產品和網絡上其他連接設備所帶來的潛在安全威脅。確保你的終端威脅檢測和響應控制措施配置正確,并且你的 VPN 連接非常可靠,林德斯托姆說。
“我們看到的許多家庭系統都很容易受到攻擊,因為它們沒有正確安裝補丁程序。”優利系統公司的紐菲爾德說。例如,許多家庭電視游戲系統都在運行存在漏洞的程序,這些程序可以主動掃描環境,以尋找脆弱的主機進行攻擊。那些未能強化其設備以應對此類威脅的企業,可能會成為這些威脅的受害者。“企業在與員工帶回家的設備上部署哪些工具和技術,將直接潛在影響由該員工家庭網絡所引發的公司網絡安全事件。”紐菲爾德說。
還要確保從家中訪問公司網絡的任何私人和未受管理的設備也具有足夠的安全保護。例如,向使用家庭電腦的居家辦公人員演示如何將非系統管理員的新用戶帳戶添加到他們的家庭電腦中,美國系統網絡安全協會的新安全趨勢業務主管約翰?佩斯卡托雷 (John Pescatore) 說。
佩斯卡托雷說:“這至少可以隔離一些文件,防止受到勒索軟件的影響,同時可以隔離瀏覽器歷史記錄和限制權限。”他指出,還應為所有居家辦公人員提供云端備份,以預防家庭網絡出現漏洞。“至少要確保他們打開家用電腦上所有軟件的自動更新功能——Windows、瀏覽器、Adobe、Zoom 等。”
4.為員工提供培訓
居家辦公人員通常沒有意識到,在他們用來登錄公司網絡環境的家庭網絡中存在一些易受攻擊的智能產品和其他有問題的設備,而這會帶來潛在風險。“如果你已對電腦進行了設置,即在發布新補丁程序時通知你,那么就很容易記住給個人電腦打補丁,但如果你沒有對電腦進行設置,該怎么辦,”紐菲爾德問道。“你是否有定期檢查和為你的家庭物聯網設備打補丁的習慣?你是否曾經登錄過你的互聯網路由器,并檢查其是否已打過所有補丁和足夠安全?”需要讓居家辦公人員意識到家庭網絡給他們的企業帶來的風險在升高,并就如何減輕這些風險對其進行培訓。
面向家庭用戶,“針對網絡釣魚攻擊事件的上升,為員工提供有針對性的認識和教育,”佩斯卡托雷說。“如果你過去常常在辦公室里對某一同事大喊,讓他核實電子郵件中某些請求行為,那么現在就用手機給他打電話。”
