遠(yuǎn)程辦公，沒那么簡單 -- 天地和興送上網(wǎng)絡(luò)安全警示與最佳實(shí)踐

 當(dāng)前新型冠狀病毒全球傳播形勢嚴(yán)峻復(fù)雜,越來越多的公司采取了遠(yuǎn)程辦公模式。盡管遠(yuǎn)程辦公措施可平衡業(yè)務(wù)生產(chǎn)力與員工的安全健康,但是卻很容易忽略公司網(wǎng)絡(luò)及數(shù)據(jù)的安全性。對許多公司而言,這是他們第一次啟用遠(yuǎn)程辦公模式,這意味著多數(shù)企業(yè)很可能沒有適當(dāng)?shù)膮f(xié)議或指南來幫助確保其信息和設(shè)備避免遭受網(wǎng)絡(luò)威脅。與此同時,各種威脅行為者已開始利用對新型冠狀病毒的恐慌,大量投遞Emotet、AZORult、AgentTesla Keylogger和NanoCore等木馬,通過新型冠狀病毒為主題的釣魚攻擊活動竊取用戶憑據(jù),控制受害網(wǎng)絡(luò),傳播勒索軟件。

近日,信安標(biāo)委已發(fā)布《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南 -- 遠(yuǎn)程辦公安全防護(hù)》,國內(nèi)網(wǎng)絡(luò)安全廠商(安天、奇安信等)也相繼發(fā)布相關(guān)遠(yuǎn)程辦公網(wǎng)絡(luò)安全防護(hù)方案與實(shí)踐。對此,美國國土安全部下屬CISA發(fā)布有關(guān)當(dāng)前特殊形勢下網(wǎng)絡(luò)安全警示與最佳實(shí)踐,涵蓋口令管理器、雙因素認(rèn)證、端點(diǎn)保護(hù)軟件、設(shè)備物理安全、公共或不安全Wi-Fi、VPN應(yīng)用、安全禮儀、網(wǎng)絡(luò)釣魚攻擊等諸多方面,具備較強(qiáng)的可操作性和指導(dǎo)性。為此,天地和興送上此網(wǎng)絡(luò)安全提示,為遠(yuǎn)程辦公網(wǎng)絡(luò)安全拉響警鐘。

使用口令管理器

口令管理器是確保公司團(tuán)隊(duì)所有在線帳戶和口令安全的好方法。LastPass、1Password、Keepass、Keeper、Dashlane、mSecure、Passwordsafe等為最流行且口碑較好的口令管理系統(tǒng),用于在線存儲加密口令。使用口令管理器可安全地共享口令,還可以用于生成口令,以便團(tuán)隊(duì)中的每個人都可以輕松、安全地訪問完成工作所需的任何內(nèi)容。

使雙因素認(rèn)證成為標(biāo)準(zhǔn)

許多流行的商業(yè)軟件平臺都是通過云來訪問的,這為遠(yuǎn)程協(xié)作提供了如無縫協(xié)作和共享等諸多優(yōu)勢。但是,不利的一面是,使用遠(yuǎn)程協(xié)作更容易使不是其真實(shí)員工的人來冒充用戶并訪問相同數(shù)據(jù)。當(dāng)使用弱口令時,通常會發(fā)生這種情況,且比想象的要普遍得多。這就是使雙重身份驗(yàn)證對于使用基于云的軟件的遠(yuǎn)程工作者而言至關(guān)重要的原因,以及為什么應(yīng)將其作為所有公司設(shè)備上的標(biāo)準(zhǔn)做法實(shí)施的原因。雙因素身份驗(yàn)證是一種用戶必須提供兩種證據(jù)的方法:一種是知道的東西(如口令),另一種是擁有的東西(如生成唯一代碼的硬件令牌或手機(jī))。一旦實(shí)施,這使得未經(jīng)授權(quán)的用戶或攻擊者很難訪問賬戶。

使用端點(diǎn)保護(hù)軟件

保護(hù)端點(diǎn)(如筆記本電腦、平板電腦和移動設(shè)備之類的最終用戶設(shè)備)的安全是確保遠(yuǎn)程工作者受到保護(hù)的最重要的優(yōu)先事項(xiàng)之一。端點(diǎn)充當(dāng)公司網(wǎng)絡(luò)的訪問點(diǎn),并創(chuàng)建可以被威脅行為者利用的入口點(diǎn)。當(dāng)與遠(yuǎn)程工作人員打交道時,這一點(diǎn)變得尤為重要,因?yàn)槎它c(diǎn)的物理資產(chǎn)沒有在公司的網(wǎng)絡(luò)內(nèi)維護(hù)。端點(diǎn)安全軟件使用加密和應(yīng)用程序控制來保護(hù)訪問網(wǎng)絡(luò)的設(shè)備的安全,從而控制那些訪問點(diǎn)上的安全性以監(jiān)視和阻止危險活動。加密端點(diǎn)和可移動存儲設(shè)備上的數(shù)據(jù)有助于防止數(shù)據(jù)泄漏。應(yīng)用程序控制可防止端點(diǎn)用戶執(zhí)行可能在網(wǎng)絡(luò)中創(chuàng)建漏洞的未授權(quán)應(yīng)用程序。

關(guān)注設(shè)備物理安全

造成安全漏洞的一個非常普遍的因素是員工將設(shè)備丟失,并到了小偷手中。無論在家中、在咖啡店中還是在旅途中,員工都必須明白,網(wǎng)絡(luò)犯罪分子是機(jī)會主義者,會利用他們遇到的任何機(jī)會。這意味著保護(hù)訪問任何工作數(shù)據(jù)的所有設(shè)備至關(guān)重要。一些設(shè)備物理安全的最佳實(shí)踐包括:

1. 使用最安全的方法對每臺設(shè)備進(jìn)行口令保護(hù)和屏幕鎖定

2. 永遠(yuǎn)不要讓設(shè)備離開視線

3. 不要讓任何人使用該設(shè)備或?qū)⑷魏螙|西插入設(shè)備,如USB

4. 為每個設(shè)備設(shè)置跟蹤軟件或“查找我的設(shè)備”選項(xiàng)

5. 一律備份檔案

6. 加密敏感數(shù)據(jù)

避免使用公共或不安全的Wi-Fi網(wǎng)絡(luò)

這主要適用于在家外工作或正準(zhǔn)備在酒店大堂或當(dāng)?shù)乜Х葟d使用免費(fèi)Wi-Fi的路上的員工。但是,這可能會帶來很大的風(fēng)險,因?yàn)椴话踩牧髁?包括敏感數(shù)據(jù)和登錄憑據(jù))很容易被黑客攔截。不安全的Wi-Fi網(wǎng)絡(luò)還可以用于分發(fā)惡意軟件或欺騙公共Wi-Fi網(wǎng)絡(luò)以吸引用戶并在他們不知情的情況下捕獲其數(shù)據(jù)。為了保持安全,建議盡可能避免在任何公司設(shè)備上使用此類公共網(wǎng)絡(luò)。

使用虛擬專用網(wǎng)絡(luò)(VPN)

虛擬專用網(wǎng)絡(luò)(VPN)通過從公共互聯(lián)網(wǎng)連接創(chuàng)建專用網(wǎng)絡(luò)來提供在線隱私和匿名性。VPN可以屏蔽IP地址,因此在線活動不再可追蹤。企業(yè)應(yīng)確保其員工通過VPN連接到公司網(wǎng)絡(luò),并且所有關(guān)鍵應(yīng)用程序都應(yīng)通過VPN訪問。

美國網(wǎng)絡(luò)安全和基礎(chǔ)架構(gòu)安全局CISA鼓勵企業(yè)在進(jìn)行遠(yuǎn)程辦公時,采取以下建議:

1. 使用最新的軟件補(bǔ)丁和安全配置更新VPN、網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備和用于遠(yuǎn)程進(jìn)入工作環(huán)境的設(shè)備。通常軟件更新可在供應(yīng)商網(wǎng)站上下載。CISA鼓勵用戶和網(wǎng)絡(luò)管理員分段和隔離網(wǎng)絡(luò)和功能、限制不必要的橫向通信、強(qiáng)化網(wǎng)絡(luò)設(shè)備、安全訪問基礎(chǔ)結(jié)構(gòu)設(shè)備、執(zhí)行帶外網(wǎng)絡(luò)管理、驗(yàn)證硬件和軟件的完整性來更好地保護(hù)其網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)。避免之前已經(jīng)暴露的VPN應(yīng)用相關(guān)漏洞,如Palo Alto Networks、Fortinet、Pulse Secure和Citrix的VPN服務(wù)器存在的漏洞為:CVE-2019-1579、CVE-2018-13382、CVE-2018-13383、CVE-2018-13379、CVE-2019-11510,CVE-2019-11508,CVE-2019-11540,CVE-2019-11543,CVE-2019-11541,CVE-2019-11542,CVE-2019-11539,CVE-2019-11538,CVE-2019-11509、CVE-2019-19781。

2. 確保IT安全人員準(zhǔn)備加強(qiáng)以下遠(yuǎn)程訪問網(wǎng)絡(luò)安全任務(wù):日志審查、攻擊檢測、事件響應(yīng)和恢復(fù)。這些任務(wù)應(yīng)記錄在配置管理策略中。檢查OpenVPN(1194)或SSL VPN(TCP/UDP 443、IPsec/IKEv2 UDP 500/4500及其相關(guān)日志。

3. 在所有VPN連接上實(shí)施多因素身份驗(yàn)證(MFA)以提高安全性。如果未實(shí)施MFA,要求遠(yuǎn)程工作人員使用強(qiáng)口令。據(jù)微軟數(shù)據(jù)顯示,啟用MFA可阻止99.9%的賬戶接管攻擊。

4. 確保IT安全人員測試VPN限制,為大規(guī)模使用做好準(zhǔn)備,并在可能的情況下實(shí)施諸如速率限制之類的修改,優(yōu)先考慮需要更高帶寬的用戶。

5. 黑客可對VPN服務(wù)發(fā)起DDoS攻擊并耗盡其資源,從而使VPN服務(wù)器崩潰并限制其可用性。微調(diào)的TCP Blend(DDoS)攻擊低至1 Mbps的攻擊量就可足使VPN服務(wù)器或防火墻崩潰,而且基于SSL的VPN也像Web服務(wù)器一樣容易受到SSL Flood(DDoS)攻擊。

對員工進(jìn)行安全禮儀教育

除上述安全措施外,公司還須教育其員工在遠(yuǎn)程工作時始終遵循基本的安全禮節(jié),如:

1. 不出于工作目的使用個人電子郵件地址

2. 不使用未經(jīng)審查的在線消息傳遞應(yīng)用程序或其他可能造成安全風(fēng)險的軟件

3. 不使用個人設(shè)備連接到工作網(wǎng)絡(luò)

了解如何檢測和報(bào)告網(wǎng)絡(luò)釣魚攻擊

網(wǎng)絡(luò)釣魚是一種嘗試使用欺騙性電子郵件和網(wǎng)站收集個人信息的方法,長期以來一直是網(wǎng)絡(luò)攻擊者最常用和成功的方法之一。使用最廣泛的方法之一是模仿現(xiàn)實(shí)生活中的業(yè)務(wù)情況,并將帶有惡意鏈接或附件的電子郵件發(fā)送給希望訪問其賬戶的毫無戒心的員工。通常,此類電子郵件會冒充IT團(tuán)隊(duì)成員或公司領(lǐng)導(dǎo),以提供合法性。這種基于社會工程學(xué)的攻擊技術(shù)可幫助網(wǎng)絡(luò)犯罪分子欺騙員工泄露機(jī)密數(shù)據(jù)或憑據(jù)。更糟糕的是,網(wǎng)絡(luò)釣魚活動在危機(jī)和不確定性時期趨于增加,希望利用此熱門事件和話題,目前已有確定利用此新型冠狀病毒事件進(jìn)行網(wǎng)絡(luò)釣魚活動的實(shí)例。對員工進(jìn)行有關(guān)如何檢測和報(bào)告潛在網(wǎng)絡(luò)釣魚嘗試的教育非常重要。

網(wǎng)絡(luò)釣魚的常見指標(biāo):

可疑發(fā)件人的地址。發(fā)件人的地址可以模仿合法業(yè)務(wù)。網(wǎng)絡(luò)罪犯經(jīng)常使用電子郵件地址,該電子郵件地址通過更改或省略一些字符而與知名公司的電子郵件地址非常相似。 

通用的問候和簽名。通用問候語(例如“尊敬的客戶”或“先生/女士”)和簽名塊中缺少聯(lián)系信息都是網(wǎng)絡(luò)釣魚電子郵件的重要標(biāo)志。受信任的組織通常會通過姓名發(fā)送地址并提供其聯(lián)系信息。

欺騙性超鏈接和網(wǎng)站。如果將光標(biāo)懸停在電子郵件正文中的鏈接上,而這些鏈接與懸停在它們上方時出現(xiàn)的文本不匹配,則該鏈接可能是欺騙鏈接。惡意網(wǎng)站可能看起來與合法網(wǎng)站相同,但URL可能使用拼寫形式的變化或不同的域(如.com與.net)。此外,網(wǎng)絡(luò)罪犯可能使用URL縮短服務(wù)來隱藏真實(shí)鏈接。

拼寫和語法。語法和句子結(jié)構(gòu)不佳、拼寫錯誤以及格式不一致是可能的網(wǎng)絡(luò)釣魚嘗試的指標(biāo)。信譽(yù)良好的機(jī)構(gòu)有專門的人員來產(chǎn)生、驗(yàn)證和校對客戶信件。

可疑附件。不請自來的電子郵件要求用戶下載并打開附件是惡意軟件的常見傳遞機(jī)制。網(wǎng)絡(luò)犯罪分子可能會使用錯誤的緊迫感或重要性來幫助說服用戶下載或打開附件,而無需先對其進(jìn)行檢查。

如何避免成為受害者:

懷疑來自個人的詢問員工或其他內(nèi)部信息的電話、拜訪或電子郵件。如果未知的人聲稱來自合法組織,請嘗試直接向公司驗(yàn)證其身份。

除非確定該人有權(quán)使用該信息,否則請勿提供有關(guān)的組織信息或個人信息,包括其組織結(jié)構(gòu)或網(wǎng)絡(luò)結(jié)構(gòu)。

不要在電子郵件中透露個人或財(cái)務(wù)信息,也不要響應(yīng)電子郵件對此類信息的請求,這包括通過電子郵件發(fā)送的鏈接。

在檢查網(wǎng)站的安全性之前,請勿通過互聯(lián)網(wǎng)發(fā)送敏感信息。請注意網(wǎng)站的URL,https開頭的網(wǎng)址表示該網(wǎng)站安全,而不是http。

如果不確定電子郵件請求是否合法,請直接與公司聯(lián)系以進(jìn)行驗(yàn)證。不要使用與請求相關(guān)的網(wǎng)站上提供的聯(lián)系信息?？梢詫㈦娮余]件轉(zhuǎn)發(fā)到公司的安全團(tuán)隊(duì)設(shè)置的網(wǎng)絡(luò)釣魚收件箱,或者通知公司的IT團(tuán)隊(duì),并詢問如何處理電子郵件以及如何處理這種情況。

安裝并維護(hù)防病毒軟件、防火墻和電子郵件過濾器,以減少部分此類流量。

利用電子郵件客戶端和網(wǎng)絡(luò)瀏覽器提供的任何反網(wǎng)絡(luò)釣魚功能。