從美通社獲知,當前新型冠狀病毒全球傳播形勢嚴峻複雜,越來越多的公司採取了遠程辦公模式。儘管遠程辦公措施可平衡業務生產力與員工的安全健康,但是卻很容易忽略公司網絡及數據的安全性。對許多公司而言,這是他們第一次啟用遠程辦公模式,這意味著多數企業很可能沒有適當的協議或指南來幫助確保其信息和設備避免遭受網絡威脅。與此同時,各種威脅行為者已開始利用對新型冠狀病毒的恐慌,大量投遞Emotet、AZORult、AgentTesla Keylogger和NanoCore等木馬,通過新型冠狀病毒為主題的釣魚攻擊活動竊取用戶憑據,控制受害網絡,傳播勒索軟件。
近日,信安標委已發佈《網絡安全標準實踐指南 -- 遠程辦公安全防護》,國內網絡安全廠商(安天、奇安信等)也相繼發佈相關遠程辦公網絡安全防護方案與實踐。對此,美國國土安全部下屬CISA發佈有關當前特殊形勢下網絡安全警示與最佳實踐,涵蓋口令管理器、雙因素認證、端點保護軟件、設備物理安全、公共或不安全Wi-Fi、VPN應用、安全禮儀、網絡釣魚攻擊等諸多方面,具備較強的可操作性和指導性。為此,天地和興送上此網絡安全提示,為遠程辦公網絡安全拉響警鐘。
使用口令管理器
口令管理器是確保公司團隊所有在線帳戶和口令安全的好方法。LastPass、1Password、Keepass、Keeper、Dashlane、mSecure、Passwordsafe等為最流行且口碑較好的口令管理系統,用於在線存儲加密口令。使用口令管理器可安全地共享口令,還可以用於生成口令,以便團隊中的每個人都可以輕鬆、安全地訪問完成工作所需的任何內容。
使雙因素認證成為標準
許多流行的商業軟件平臺都是通過雲來訪問的,這為遠程協作提供瞭如無縫協作和共享等諸多優勢。但是,不利的一面是,使用遠程協作更容易使不是其真實員工的人來冒充用戶並訪問相同數據。當使用弱口令時,通常會發生這種情況,且比想象的要普遍得多。這就是使雙重身份驗證對於使用基於雲的軟件的遠程工作者而言至關重要的原因,以及為什麼應將其作為所有公司設備上的標準做法實施的原因。雙因素身份驗證是一種用戶必須提供兩種證據的方法:一種是知道的東西(如口令),另一種是擁有的東西(如生成唯一代碼的硬件令牌或手機)。一旦實施,這使得未經授權的用戶或攻擊者很難訪問賬戶。
使用端點保護軟件
保護端點(如筆記本電腦、平板電腦和移動設備之類的最終用戶設備)的安全是確保遠程工作者受到保護的最重要的優先事項之一。端點充當公司網絡的訪問點,並創建可以被威脅行為者利用的入口點。當與遠程工作人員打交道時,這一點變得尤為重要,因為端點的物理資產沒有在公司的網絡內維護。端點安全軟件使用加密和應用程序控制來保護訪問網絡的設備的安全,從而控制那些訪問點上的安全性以監視和阻止危險活動。加密端點和可移動存儲設備上的數據有助於防止數據洩漏。應用程序控制可防止端點用戶執行可能在網絡中創建漏洞的未授權應用程序。
關注設備物理安全
造成安全漏洞的一個非常普遍的因素是員工將設備丟失,併到了小偷手中。無論在家中、在咖啡店中還是在旅途中,員工都必須明白,網絡犯罪分子是機會主義者,會利用他們遇到的任何機會。這意味著保護訪問任何工作數據的所有設備至關重要。一些設備物理安全的最佳實踐包括:
使用最安全的方法對每臺設備進行口令保護和屏幕鎖定
永遠不要讓設備離開視線
不要讓任何人使用該設備或將任何東西插入設備,如USB
為每個設備設置跟蹤軟件或“查找我的設備”選項
一律備份檔案
加密敏感數據
避免使用公共或不安全的Wi-Fi網絡
這主要適用於在家外工作或正準備在酒店大堂或當地咖啡廳使用免費Wi-Fi的路上的員工。但是,這可能會帶來很大的風險,因為不安全的流量(包括敏感數據和登錄憑據)很容易被黑客攔截。不安全的Wi-Fi網絡還可以用於分發惡意軟件或欺騙公共Wi-Fi網絡以吸引用戶並在他們不知情的情況下捕獲其數據。為了保持安全,建議儘可能避免在任何公司設備上使用此類公共網絡。
使用虛擬專用網絡(VPN)
虛擬專用網絡(VPN)通過從公共互聯網連接創建專用網絡來提供在線隱私和匿名性。VPN可以屏蔽IP地址,因此在線活動不再可追蹤。企業應確保其員工通過VPN連接到公司網絡,並且所有關鍵應用程序都應通過VPN訪問。
美國網絡安全和基礎架構安全局CISA鼓勵企業在進行遠程辦公時,採取以下建議:
使用最新的軟件補丁和安全配置更新VPN、網絡基礎設施設備和用於遠程進入工作環境的設備。通常軟件更新可在供應商網站上下載。CISA鼓勵用戶和網絡管理員分段和隔離網絡和功能、限制不必要的橫向通信、強化網絡設備、安全訪問基礎結構設備、執行帶外網絡管理、驗證硬件和軟件的完整性來更好地保護其網絡基礎結構。避免之前已經暴露的VPN應用相關漏洞,如Palo Alto Networks、Fortinet、Pulse Secure和Citrix的VPN服務器存在的漏洞為:CVE-2019-1579、CVE-2018-13382、CVE-2018-13383、CVE-2018-13379、CVE-2019-11510,CVE-2019-11508,CVE-2019-11540,CVE-2019-11543,CVE-2019-11541,CVE-2019-11542,CVE-2019-11539,CVE-2019-11538,CVE-2019-11509、CVE-2019-19781。
確保IT安全人員準備加強以下遠程訪問網絡安全任務:日誌審查、攻擊檢測、事件響應和恢復。這些任務應記錄在配置管理策略中。檢查OpenVPN(1194)或SSL VPN(TCP/UDP 443、IPsec/IKEv2 UDP 500/4500及其相關日誌。
在所有VPN連接上實施多因素身份驗證(MFA)以提高安全性。如果未實施MFA,要求遠程工作人員使用強口令。據微軟數據顯示,啟用MFA可阻止99.9%的賬戶接管攻擊。
確保IT安全人員測試VPN限制,為大規模使用做好準備,並在可能的情況下實施諸如速率限制之類的修改,優先考慮需要更高帶寬的用戶。
黑客可對VPN服務發起DDoS攻擊並耗盡其資源,從而使VPN服務器崩潰並限制其可用性。微調的TCP Blend(DDoS)攻擊低至1 Mbps的攻擊量就可足使VPN服務器或防火牆崩潰,而且基於SSL的VPN也像Web服務器一樣容易受到SSL Flood(DDoS)攻擊。
對員工進行安全禮儀教育
除上述安全措施外,公司還須教育其員工在遠程工作時始終遵循基本的安全禮節,如:
不出於工作目的使用個人電子郵件地址
不使用未經審查的在線消息傳遞應用程序或其他可能造成安全風險的軟件
不使用個人設備連接到工作網絡
瞭解如何檢測和報告網絡釣魚攻擊
網絡釣魚是一種嘗試使用欺騙性電子郵件和網站收集個人信息的方法,長期以來一直是網絡攻擊者最常用和成功的方法之一。使用最廣泛的方法之一是模仿現實生活中的業務情況,並將帶有惡意鏈接或附件的電子郵件發送給希望訪問其賬戶的毫無戒心的員工。通常,此類電子郵件會冒充IT團隊成員或公司領導,以提供合法性。這種基於社會工程學的攻擊技術可幫助網絡犯罪分子欺騙員工洩露機密數據或憑據。更糟糕的是,網絡釣魚活動在危機和不確定性時期趨於增加,希望利用此熱門事件和話題,目前已有確定利用此新型冠狀病毒事件進行網絡釣魚活動的實例。對員工進行有關如何檢測和報告潛在網絡釣魚嘗試的教育非常重要。
網絡釣魚的常見指標:
可疑發件人的地址。發件人的地址可以模仿合法業務。網絡罪犯經常使用電子郵件地址,該電子郵件地址通過更改或省略一些字符而與知名公司的電子郵件地址非常相似。
通用的問候和簽名。通用問候語(例如“尊敬的客戶”或“先生/女士”)和簽名塊中缺少聯繫信息都是網絡釣魚電子郵件的重要標誌。受信任的組織通常會通過姓名發送地址並提供其聯繫信息。
欺騙性超鏈接和網站。如果將光標懸停在電子郵件正文中的鏈接上,而這些鏈接與懸停在它們上方時出現的文本不匹配,則該鏈接可能是欺騙鏈接。惡意網站可能看起來與合法網站相同,但URL可能使用拼寫形式的變化或不同的域(如.com與.net)。此外,網絡罪犯可能使用URL縮短服務來隱藏真實鏈接。
拼寫和語法。語法和句子結構不佳、拼寫錯誤以及格式不一致是可能的網絡釣魚嘗試的指標。信譽良好的機構有專門的人員來產生、驗證和校對客戶信件。
可疑附件。不請自來的電子郵件要求用戶下載並打開附件是惡意軟件的常見傳遞機制。網絡犯罪分子可能會使用錯誤的緊迫感或重要性來幫助說服用戶下載或打開附件,而無需先對其進行檢查。
如何避免成為受害者:
懷疑來自個人的詢問員工或其他內部信息的電話、拜訪或電子郵件。如果未知的人聲稱來自合法組織,請嘗試直接向公司驗證其身份。
除非確定該人有權使用該信息,否則請勿提供有關的組織信息或個人信息,包括其組織結構或網絡結構。
不要在電子郵件中透露個人或財務信息,也不要響應電子郵件對此類信息的請求,這包括通過電子郵件發送的鏈接。
在檢查網站的安全性之前,請勿通過互聯網發送敏感信息。請注意網站的URL,https開頭的網址表示該網站安全,而不是http。
如果不確定電子郵件請求是否合法,請直接與公司聯繫以進行驗證。不要使用與請求相關的網站上提供的聯繫信息。可以將電子郵件轉發到公司的安全團隊設置的網絡釣魚收件箱,或者通知公司的IT團隊,並詢問如何處理電子郵件以及如何處理這種情況。
安裝並維護防病毒軟件、防火牆和電子郵件過濾器,以減少部分此類流量。
利用電子郵件客戶端和網絡瀏覽器提供的任何反網絡釣魚功能。
閱讀更多 知訊 的文章
