COVID-19疫情导致数百万人在家工作和学习。我们看到企业虚拟专用网快速扩展的同时,也看到很多远程办公人员使用不安全的家庭网络–使用消费类电子产品所构建。
为了应对疫情,企业迅速扩展其虚拟专用网容量,还有很多企业被迫放宽安全标准。此外,现在在公司网站或LinkedIn有很多重要的雇员信息,导致更多的泄漏点。而且,很多国家现在都有数字财产记录,这使得很容易查找某人的住处。
这些问题足以使网络安全团队噩梦连连。
严格要求以确保网络安全
那么,企业如何保护员工的远程访问并确保安全的网络环境呢?首先,企业需要开始严格要求其系统和流程。
其中重要的一步是重新建立虚拟专用网标准。对于增加容量,企业必须使用完全支持安全标准的永久性设计,而不是临时更改。这些标准本身需要根据企业的新标准进行重新评估。这将包括部署或重新部署基本保护,例如:
- 强密码
- 多因素身份验证
- 基于角色的访问
- 加密
保护家庭网络
家庭网络系统使用个人设备或由宽带提供商提供的系统。网络安全团队必须与员工合作通过以下步骤来增强家庭网络的安全性:
- 对正在使用的宽带提供商进行登记
- 对正在使用的设备进行登记
- 研究并建议配置准则
建立端点保护
为了管理网络安全环境,团队必须重新建立端点保护,这需要执行以下步骤:
- 更新恶意软件和病毒保护;
- 强制执行最低软件更新标准;
- 为安全操作(SecOps)人员建立访问权限
此过程可以包括要求访问员工的家庭网络工具包。这样做的目的是,为员工使用的宽带提供商和家庭网络建立软件级别,并开发标准配置。
这听起来像是复杂而困难的过程,但在美国大多数地区,超过90%的用户会集中使用两家提供商。例如,在我所在的地区,我们超过90%的员工都是用Fios或Xfinity。尽管某些员工可能会认为这侵犯其隐私(因为大多数员工不是网络和安全工程师),但他们可能会欢迎对这些系统的支持。
如果员工距离太远而无法访问其家用路由器,团队可以提供建议配置并要求员工提供证明。
团队可以扫描并查看这些网络是否具有SecOps或者是否使用建议的配置。请考虑以下问题:
- Wi-Fi服务集标识符是否具有足够安全性?
- 是否有访客账户?
- 员工及其家人是否知道路由器上注册的所有系统?
这些问题的答案很重要,因为访客账户和弱密码可能导致相邻房屋或公寓使用相同家庭网络系统。 考虑新的创新的替代方案 曾经,企业会提供具有传统安全性的在家办公系统,但是随着BYOD的出现和宽带普及,这种做法不复存在。企业可能会发现,对于关键员工和企业管理人员,重新恢复这种做法很有必要–根据与员工的访问权限和能力相关的风险状况。
当然,现在很多新技术正在开发中。我们看到超安全系统的出现,例如Attila Security,它提供基于硬件的安全选项,经认证可用于美国国防部。其他选项包括完全替代虚拟专用网技术的新软件选项,例如Elisity的Cognitive Access Service,它提供端点的纳米细分。