遠程辦公，沒(méi)那么簡(jiǎn)單 -- 天地和興送上網(wǎng)絡(luò )安全警示與最佳實(shí)踐

 當前新型冠狀病毒全球傳播形勢嚴峻復雜,越來(lái)越多的公司采取了遠程辦公模式。盡管遠程辦公措施可平衡業(yè)務(wù)生產(chǎn)力與員工的安全健康,但是卻很容易忽略公司網(wǎng)絡(luò )及數據的安全性。對許多公司而言,這是他們第一次啟用遠程辦公模式,這意味著(zhù)多數企業(yè)很可能沒(méi)有適當的協(xié)議或指南來(lái)幫助確保其信息和設備避免遭受網(wǎng)絡(luò )威脅。與此同時(shí),各種威脅行為者已開(kāi)始利用對新型冠狀病毒的恐慌,大量投遞Emotet、AZORult、AgentTesla Keylogger和NanoCore等木馬,通過(guò)新型冠狀病毒為主題的釣魚(yú)攻擊活動(dòng)竊取用戶(hù)憑據,控制受害網(wǎng)絡(luò ),傳播勒索軟件。

近日,信安標委已發(fā)布《網(wǎng)絡(luò )安全標準實(shí)踐指南 -- 遠程辦公安全防護》,國內網(wǎng)絡(luò )安全廠(chǎng)商(安天、奇安信等)也相繼發(fā)布相關(guān)遠程辦公網(wǎng)絡(luò )安全防護方案與實(shí)踐。對此,美國國土安全部下屬CISA發(fā)布有關(guān)當前特殊形勢下網(wǎng)絡(luò )安全警示與最佳實(shí)踐,涵蓋口令管理器、雙因素認證、端點(diǎn)保護軟件、設備物理安全、公共或不安全Wi-Fi、VPN應用、安全禮儀、網(wǎng)絡(luò )釣魚(yú)攻擊等諸多方面,具備較強的可操作性和指導性。為此,天地和興送上此網(wǎng)絡(luò )安全提示,為遠程辦公網(wǎng)絡(luò )安全拉響警鐘。

使用口令管理器

口令管理器是確保公司團隊所有在線(xiàn)帳戶(hù)和口令安全的好方法。LastPass、1Password、Keepass、Keeper、Dashlane、mSecure、Passwordsafe等為最流行且口碑較好的口令管理系統,用于在線(xiàn)存儲加密口令。使用口令管理器可安全地共享口令,還可以用于生成口令,以便團隊中的每個(gè)人都可以輕松、安全地訪(fǎng)問(wèn)完成工作所需的任何內容。

使雙因素認證成為標準

許多流行的商業(yè)軟件平臺都是通過(guò)云來(lái)訪(fǎng)問(wèn)的,這為遠程協(xié)作提供了如無(wú)縫協(xié)作和共享等諸多優(yōu)勢。但是,不利的一面是,使用遠程協(xié)作更容易使不是其真實(shí)員工的人來(lái)冒充用戶(hù)并訪(fǎng)問(wèn)相同數據。當使用弱口令時(shí),通常會(huì )發(fā)生這種情況,且比想象的要普遍得多。這就是使雙重身份驗證對于使用基于云的軟件的遠程工作者而言至關(guān)重要的原因,以及為什么應將其作為所有公司設備上的標準做法實(shí)施的原因。雙因素身份驗證是一種用戶(hù)必須提供兩種證據的方法:一種是知道的東西(如口令),另一種是擁有的東西(如生成唯一代碼的硬件令牌或手機)。一旦實(shí)施,這使得未經(jīng)授權的用戶(hù)或攻擊者很難訪(fǎng)問(wèn)賬戶(hù)。

使用端點(diǎn)保護軟件

保護端點(diǎn)(如筆記本電腦、平板電腦和移動(dòng)設備之類(lèi)的最終用戶(hù)設備)的安全是確保遠程工作者受到保護的最重要的優(yōu)先事項之一。端點(diǎn)充當公司網(wǎng)絡(luò )的訪(fǎng)問(wèn)點(diǎn),并創(chuàng )建可以被威脅行為者利用的入口點(diǎn)。當與遠程工作人員打交道時(shí),這一點(diǎn)變得尤為重要,因為端點(diǎn)的物理資產(chǎn)沒(méi)有在公司的網(wǎng)絡(luò )內維護。端點(diǎn)安全軟件使用加密和應用程序控制來(lái)保護訪(fǎng)問(wèn)網(wǎng)絡(luò )的設備的安全,從而控制那些訪(fǎng)問(wèn)點(diǎn)上的安全性以監視和阻止危險活動(dòng)。加密端點(diǎn)和可移動(dòng)存儲設備上的數據有助于防止數據泄漏。應用程序控制可防止端點(diǎn)用戶(hù)執行可能在網(wǎng)絡(luò )中創(chuàng )建漏洞的未授權應用程序。

關(guān)注設備物理安全

造成安全漏洞的一個(gè)非常普遍的因素是員工將設備丟失,并到了小偷手中。無(wú)論在家中、在咖啡店中還是在旅途中,員工都必須明白,網(wǎng)絡(luò )犯罪分子是機會(huì )主義者,會(huì )利用他們遇到的任何機會(huì )。這意味著(zhù)保護訪(fǎng)問(wèn)任何工作數據的所有設備至關(guān)重要。一些設備物理安全的最佳實(shí)踐包括:

1. 使用最安全的方法對每臺設備進(jìn)行口令保護和屏幕鎖定

2. 永遠不要讓設備離開(kāi)視線(xiàn)

3. 不要讓任何人使用該設備或將任何東西插入設備,如USB

4. 為每個(gè)設備設置跟蹤軟件或“查找我的設備”選項

5. 一律備份檔案

6. 加密敏感數據

避免使用公共或不安全的Wi-Fi網(wǎng)絡(luò )

這主要適用于在家外工作或正準備在酒店大堂或當地咖啡廳使用免費Wi-Fi的路上的員工。但是,這可能會(huì )帶來(lái)很大的風(fēng)險,因為不安全的流量(包括敏感數據和登錄憑據)很容易被黑客攔截。不安全的Wi-Fi網(wǎng)絡(luò )還可以用于分發(fā)惡意軟件或欺騙公共Wi-Fi網(wǎng)絡(luò )以吸引用戶(hù)并在他們不知情的情況下捕獲其數據。為了保持安全,建議盡可能避免在任何公司設備上使用此類(lèi)公共網(wǎng)絡(luò )。

使用虛擬專(zhuān)用網(wǎng)絡(luò )(VPN)

虛擬專(zhuān)用網(wǎng)絡(luò )(VPN)通過(guò)從公共互聯(lián)網(wǎng)連接創(chuàng )建專(zhuān)用網(wǎng)絡(luò )來(lái)提供在線(xiàn)隱私和匿名性。VPN可以屏蔽IP地址,因此在線(xiàn)活動(dòng)不再可追蹤。企業(yè)應確保其員工通過(guò)VPN連接到公司網(wǎng)絡(luò ),并且所有關(guān)鍵應用程序都應通過(guò)VPN訪(fǎng)問(wèn)。

美國網(wǎng)絡(luò )安全和基礎架構安全局CISA鼓勵企業(yè)在進(jìn)行遠程辦公時(shí),采取以下建議:

1. 使用最新的軟件補丁和安全配置更新VPN、網(wǎng)絡(luò )基礎設施設備和用于遠程進(jìn)入工作環(huán)境的設備。通常軟件更新可在供應商網(wǎng)站上下載。CISA鼓勵用戶(hù)和網(wǎng)絡(luò )管理員分段和隔離網(wǎng)絡(luò )和功能、限制不必要的橫向通信、強化網(wǎng)絡(luò )設備、安全訪(fǎng)問(wèn)基礎結構設備、執行帶外網(wǎng)絡(luò )管理、驗證硬件和軟件的完整性來(lái)更好地保護其網(wǎng)絡(luò )基礎結構。避免之前已經(jīng)暴露的VPN應用相關(guān)漏洞,如Palo Alto Networks、Fortinet、Pulse Secure和Citrix的VPN服務(wù)器存在的漏洞為:CVE-2019-1579、CVE-2018-13382、CVE-2018-13383、CVE-2018-13379、CVE-2019-11510,CVE-2019-11508,CVE-2019-11540,CVE-2019-11543,CVE-2019-11541,CVE-2019-11542,CVE-2019-11539,CVE-2019-11538,CVE-2019-11509、CVE-2019-19781。

2. 確保IT安全人員準備加強以下遠程訪(fǎng)問(wèn)網(wǎng)絡(luò )安全任務(wù):日志審查、攻擊檢測、事件響應和恢復。這些任務(wù)應記錄在配置管理策略中。檢查OpenVPN(1194)或SSL VPN(TCP/UDP 443、IPsec/IKEv2 UDP 500/4500及其相關(guān)日志。

3. 在所有VPN連接上實(shí)施多因素身份驗證(MFA)以提高安全性。如果未實(shí)施MFA,要求遠程工作人員使用強口令。據微軟數據顯示,啟用MFA可阻止99.9%的賬戶(hù)接管攻擊。

4. 確保IT安全人員測試VPN限制,為大規模使用做好準備,并在可能的情況下實(shí)施諸如速率限制之類(lèi)的修改,優(yōu)先考慮需要更高帶寬的用戶(hù)。

5. 黑客可對VPN服務(wù)發(fā)起DDoS攻擊并耗盡其資源,從而使VPN服務(wù)器崩潰并限制其可用性。微調的TCP Blend(DDoS)攻擊低至1 Mbps的攻擊量就可足使VPN服務(wù)器或防火墻崩潰,而且基于SSL的VPN也像Web服務(wù)器一樣容易受到SSL Flood(DDoS)攻擊。

對員工進(jìn)行安全禮儀教育

除上述安全措施外,公司還須教育其員工在遠程工作時(shí)始終遵循基本的安全禮節,如:

1. 不出于工作目的使用個(gè)人電子郵件地址

2. 不使用未經(jīng)審查的在線(xiàn)消息傳遞應用程序或其他可能造成安全風(fēng)險的軟件

3. 不使用個(gè)人設備連接到工作網(wǎng)絡(luò )

了解如何檢測和報告網(wǎng)絡(luò )釣魚(yú)攻擊

網(wǎng)絡(luò )釣魚(yú)是一種嘗試使用欺騙性電子郵件和網(wǎng)站收集個(gè)人信息的方法,長(cháng)期以來(lái)一直是網(wǎng)絡(luò )攻擊者最常用和成功的方法之一。使用最廣泛的方法之一是模仿現實(shí)生活中的業(yè)務(wù)情況,并將帶有惡意鏈接或附件的電子郵件發(fā)送給希望訪(fǎng)問(wèn)其賬戶(hù)的毫無(wú)戒心的員工。通常,此類(lèi)電子郵件會(huì )冒充IT團隊成員或公司領(lǐng)導,以提供合法性。這種基于社會(huì )工程學(xué)的攻擊技術(shù)可幫助網(wǎng)絡(luò )犯罪分子欺騙員工泄露機密數據或憑據。更糟糕的是,網(wǎng)絡(luò )釣魚(yú)活動(dòng)在危機和不確定性時(shí)期趨于增加,希望利用此熱門(mén)事件和話(huà)題,目前已有確定利用此新型冠狀病毒事件進(jìn)行網(wǎng)絡(luò )釣魚(yú)活動(dòng)的實(shí)例。對員工進(jìn)行有關(guān)如何檢測和報告潛在網(wǎng)絡(luò )釣魚(yú)嘗試的教育非常重要。

網(wǎng)絡(luò )釣魚(yú)的常見(jiàn)指標:

可疑發(fā)件人的地址。發(fā)件人的地址可以模仿合法業(yè)務(wù)。網(wǎng)絡(luò )罪犯經(jīng)常使用電子郵件地址,該電子郵件地址通過(guò)更改或省略一些字符而與知名公司的電子郵件地址非常相似。 

通用的問(wèn)候和簽名。通用問(wèn)候語(yǔ)(例如“尊敬的客戶(hù)”或“先生/女士”)和簽名塊中缺少聯(lián)系信息都是網(wǎng)絡(luò )釣魚(yú)電子郵件的重要標志。受信任的組織通常會(huì )通過(guò)姓名發(fā)送地址并提供其聯(lián)系信息。

欺騙性超鏈接和網(wǎng)站。如果將光標懸停在電子郵件正文中的鏈接上,而這些鏈接與懸停在它們上方時(shí)出現的文本不匹配,則該鏈接可能是欺騙鏈接。惡意網(wǎng)站可能看起來(lái)與合法網(wǎng)站相同,但URL可能使用拼寫(xiě)形式的變化或不同的域(如.com與.net)。此外,網(wǎng)絡(luò )罪犯可能使用URL縮短服務(wù)來(lái)隱藏真實(shí)鏈接。

拼寫(xiě)和語(yǔ)法。語(yǔ)法和句子結構不佳、拼寫(xiě)錯誤以及格式不一致是可能的網(wǎng)絡(luò )釣魚(yú)嘗試的指標。信譽(yù)良好的機構有專(zhuān)門(mén)的人員來(lái)產(chǎn)生、驗證和校對客戶(hù)信件。

可疑附件。不請自來(lái)的電子郵件要求用戶(hù)下載并打開(kāi)附件是惡意軟件的常見(jiàn)傳遞機制。網(wǎng)絡(luò )犯罪分子可能會(huì )使用錯誤的緊迫感或重要性來(lái)幫助說(shuō)服用戶(hù)下載或打開(kāi)附件,而無(wú)需先對其進(jìn)行檢查。

如何避免成為受害者:

懷疑來(lái)自個(gè)人的詢(xún)問(wèn)員工或其他內部信息的電話(huà)、拜訪(fǎng)或電子郵件。如果未知的人聲稱(chēng)來(lái)自合法組織,請嘗試直接向公司驗證其身份。

除非確定該人有權使用該信息,否則請勿提供有關(guān)的組織信息或個(gè)人信息,包括其組織結構或網(wǎng)絡(luò )結構。

不要在電子郵件中透露個(gè)人或財務(wù)信息,也不要響應電子郵件對此類(lèi)信息的請求,這包括通過(guò)電子郵件發(fā)送的鏈接。

在檢查網(wǎng)站的安全性之前,請勿通過(guò)互聯(lián)網(wǎng)發(fā)送敏感信息。請注意網(wǎng)站的URL,https開(kāi)頭的網(wǎng)址表示該網(wǎng)站安全,而不是http。

如果不確定電子郵件請求是否合法,請直接與公司聯(lián)系以進(jìn)行驗證。不要使用與請求相關(guān)的網(wǎng)站上提供的聯(lián)系信息?？梢詫㈦娮余]件轉發(fā)到公司的安全團隊設置的網(wǎng)絡(luò )釣魚(yú)收件箱,或者通知公司的IT團隊,并詢(xún)問(wèn)如何處理電子郵件以及如何處理這種情況。

安裝并維護防病毒軟件、防火墻和電子郵件過(guò)濾器,以減少部分此類(lèi)流量。

利用電子郵件客戶(hù)端和網(wǎng)絡(luò )瀏覽器提供的任何反網(wǎng)絡(luò )釣魚(yú)功能。