Gartner公司对 316 名首席财务官和财务主管进行的一项新调查显示,目前约25%的美国企业计划在疫情后将至少 20% 的办公室员工转变为长期远程办公状态。作为削减成本措施的一部分,74% 的企业也计划对约 5% 的员工采取同样的做法。许多企业推迟了公司内部的技术支出,转而侧重于为居家办公人员提供公司发放的设备。
分析人士表示,这一趋势使企业需要更加关注家庭网络、智能家居产品以及与之相连的其他设备的安全性。家用路由器、打印机、安全系统、硬盘录像机、游戏机和其他智能设备能够显著改变企业网络的威胁模型,其原因如下。
遭到更多恶意软件的感染
BitSight 公司最近的一项研究发现,与办公网络相比,家庭网络有七倍以上的可能性会遭受五种或以上不同类型恶意软件的感染。25% 的智能家居产品、个人电脑、打印机、摄像头和家庭网络中的其他设备可以通过互联网被直接访问; 45% 的公司是使用带有恶意软件的设备从家庭网络访问其公司网络。
由于许多远程办公人员仍使用自己的电脑工作,因此,这一问题变得更加严重。 Morphisec 公司最近的一项调查显示,49% 的员工在远程办公时仍使用个人笔记本电脑。与 2020 年有 57% 的员工使用个人电脑相比,这一数字并未显著下降。
易于访问的管理接口
451 Group 公司的分析师丹尼尔·肯尼迪 (Daniel Kennedy) 说:“家庭网络与企业网络有着根本的不同,因此存在一些风险,尽管这些风险也可能存在于企业网络中,但在企业网络中却很罕见。”他指出,由于家用路由器和物联网设备具有默认密码或弱密码,因此其管理接口可以轻松进行访问。“无论是有意还是无意,家用路由器都很可能会暴露一些企业防火墙通常不会允许的服务。”他说。
较弱的 WiFi 保护措施
同样,家庭 WiFi 网络可能无法像企业网络那样有效地防止其他用户在网络上的危险行为。“你的大多数办公室同事在完成一天的工作后不太可能会玩一些下载的游戏,但员工的孩子却会这样做。”肯尼迪指出。尽管这更多的是一个理论上的风险,但由于家庭网络上存在 Alexa 和 Google Home 等虚拟助手,因此也存在一般性的隐私或保密问题。肯尼迪表示,这些设备可能会无意中收集到员工居家办公时可能进行的语音和业务沟通信息。
更大的规模和攻击范围
这些风险并非都是新出现的。多年来,为远程办公人员提供支持的企业不得不一直在应对其中一些问题。这些问题的不同之处是规模。肯尼迪指出:“很大比例的企业预计将增加居家办公人员的规模,并会成为一种长期状态。”“这一问题变成了,如果很大一部分员工不是通过公司网络来使用公司服务,那么安全性会是什么状态?”
在此,肯尼迪和其他安全专家就如何降低家庭网络和智能家居设备给企业带来的安全风险提供了四点建议:
1.不要相信任何东西;对所有事情进行验证
要将家庭网络和设备视为不可信的东西,因为它们本质上比企业环境更容易受到攻击。要实施控制措施,以确保从家庭网络向企业系统以及对数据发出的所有访问请求,每次都经过充分地身份验证。
“现在必须重新评估信任模型,”IT-Harvest 公司的首席分析师理查德•斯蒂农 (Richard Stiennon) 说。曾经被精心管理的公司网络,现在包含了每个员工家庭网络上的所有东西。“家庭监控摄像头、智能电灯开关、智能电视和属于青少年的平板电脑的漏洞,现在这已成为企业 IT 部门职权范围的一部分。”他指出。
访问决策不仅需要基于某人是否拥有正确的凭证。当每次发出访问请求时,设备和用户都需要接受安全审查。当授予访问权限时,应基于最低权限原则来提供,即使该用户正常工作仅需要访问系统和数据。
斯蒂农表示,必须持续监控他们的行为,并且必须在网络上对他们的行为进行动态响应。“这就是零信任,”他指出。“你真的想让你的财务副总裁的智能冰箱为某一入侵行为负责吗?”
IDC分析师皮特·林德斯托姆 (Pete Lindstrom) 表示,企业应尽可能部署多重身份验证 (MFA)。尽管MFA 不是灵丹妙药,但它可以降低很多与居家办公相关的风险。林德斯托姆表示,一般来说,重点应该是对家庭网络增加安全控制措施,并应更靠近你的应用程序、数据和用户。
2.找出安全隐患
对少数居家办公人员提供支持与为随时随地从事电脑工作的人员提供大规模支持,其安全含义是完全不同的。林德斯托姆表示,将网络连接扩展到员工家庭的 IT 环境可能会使企业服务器、应用程序资源和数据面临新的漏洞和风险。
开始应对这些风险的最佳方法是知道该问什么问题。“首先,你是否在公司系统上安装了所有适合的安全工具来最大限度地减少感染?”优利系统公司 (Unisys) 首席信息安全官马特•纽菲尔德 (Mat Newfield) 说。“你是否对远程访问进行了适当的配置和监控,以确保你带回家中的企业系统不会充当公司网络和员工家庭网络之间的桥梁?”
这方面似乎还有改进的空间。根据 Morphisec 公司的研究,居家办公人员所使用的电脑中只有 52% 是通过企业 VPN 进行连接的,而只有 41% 的电脑是通过防火墙进行连接。
要查明是否为居家办公人员提供了适当的工具和培训,以确保他们的家庭网络遵循了与工作网络相同的安全规则。他们是否得到了必要的指导,以确保他们知道在出现问题时该如何处理?纽菲尔德表示,不要忘记去弄清楚,你是否有适当的监控措施,以便能够通过远程访问环境来快速发现问题。
可见性是另一个问题。某些在网络边缘运行的网络安全控制措施无法完全获取员工在家庭网络上各种行为的遥测数据,也无法对其行为采取行动。“如何获取这种遥测数据,以及将安全控制措施设置在哪里,已成为一个问题;终端、云端或其他入网点?”肯尼迪说。
美国系统网络安全协会 (SANS Institute) 提供了一些其他建议。要提前弄清楚,你是否想让员工在家办公时汇报安全事件。如果你想这样做,他们应该向谁汇报,以及如何和何时进行汇报?
3.保护员工的终端
要确保从家庭网络访问企业网络的所有设备都受到保护,免受由于易受攻击的智能家居产品和网络上其他连接设备所带来的潜在安全威胁。确保你的终端威胁检测和响应控制措施配置正确,并且你的 VPN 连接非常可靠,林德斯托姆说。
“我们看到的许多家庭系统都很容易受到攻击,因为它们没有正确安装补丁程序。”优利系统公司的纽菲尔德说。例如,许多家庭电视游戏系统都在运行存在漏洞的程序,这些程序可以主动扫描环境,以寻找脆弱的主机进行攻击。那些未能强化其设备以应对此类威胁的企业,可能会成为这些威胁的受害者。“企业在与员工带回家的设备上部署哪些工具和技术,将直接潜在影响由该员工家庭网络所引发的公司网络安全事件。”纽菲尔德说。
还要确保从家中访问公司网络的任何私人和未受管理的设备也具有足够的安全保护。例如,向使用家庭电脑的居家办公人员演示如何将非系统管理员的新用户帐户添加到他们的家庭电脑中,美国系统网络安全协会的新安全趋势业务主管约翰•佩斯卡托雷 (John Pescatore) 说。
佩斯卡托雷说:“这至少可以隔离一些文件,防止受到勒索软件的影响,同时可以隔离浏览器历史记录和限制权限。”他指出,还应为所有居家办公人员提供云端备份,以预防家庭网络出现漏洞。“至少要确保他们打开家用电脑上所有软件的自动更新功能——Windows、浏览器、Adobe、Zoom 等。”
4.为员工提供培训
居家办公人员通常没有意识到,在他们用来登录公司网络环境的家庭网络中存在一些易受攻击的智能产品和其他有问题的设备,而这会带来潜在风险。“如果你已对电脑进行了设置,即在发布新补丁程序时通知你,那么就很容易记住给个人电脑打补丁,但如果你没有对电脑进行设置,该怎么办,”纽菲尔德问道。“你是否有定期检查和为你的家庭物联网设备打补丁的习惯?你是否曾经登录过你的互联网路由器,并检查其是否已打过所有补丁和足够安全?”需要让居家办公人员意识到家庭网络给他们的企业带来的风险在升高,并就如何减轻这些风险对其进行培训。
面向家庭用户,“针对网络钓鱼攻击事件的上升,为员工提供有针对性的认识和教育,”佩斯卡托雷说。“如果你过去常常在办公室里对某一同事大喊,让他核实电子邮件中某些请求行为,那么现在就用手机给他打电话。”