人們對于VPN、云計算和網(wǎng)絡釣魚的一些誤解也出現(xiàn)在有關(guān)網(wǎng)絡安全和遠程工作的誤區(qū)中，安全專家為此提供了如何保持安全性的建議。

[[326637]]

很容易忽略的安全風險之一是什么?就是認為沒有風險。

當涉及到工具、人員和流程時，保持安全性是正確的。當人們認為很少甚至不可能出差錯時，那么其面臨的風險往往會擴大。自滿情緒可能會導致這種心態(tài)，并且可能是一個不斷增長的風險因素。而人們產(chǎn)生的誤解通常是對于安全過度自信的根源。人們可能以為自己知道一些東西，但是如果這些知識是不合時宜的或過時的呢?如果環(huán)境突然改變怎么辦?

由于冠狀病毒在全球各地傳播，很多人現(xiàn)在都不得不在家遠程工作。對于許多組織來說，最顯著的變化是其業(yè)務快速轉(zhuǎn)移到遠程工作。而這產(chǎn)生了廣泛的影響，包括對組織安全狀況的影響，可能需要進行一些調(diào)整。

以下列出針對員工在線遠程工作在安全方面的一些常見誤解：

誤解1：Zoom是端到端加密的視頻會議平臺

首先，Zoom視頻會議平臺的安全性已經(jīng)引起了人們廣泛的關(guān)注。視頻會議平臺如今在全球各地的使用量呈急劇上升趨勢，這使其成為網(wǎng)絡攻擊者更具吸引力的目標。有關(guān)Zoom的各種風險的頭條新聞很多，而Zoom公司也在致力于解決其中許多問題。

正如最近在有關(guān)如何改善Zoom視頻會議安全的帖子中所述，組織需要評估自己的安全設(shè)置。但是問題是：視頻會議尚未以故障安全的方式完全加密。Zoom公司宣布了其收購初創(chuàng)廠商Keybase公司的意圖，以便為其產(chǎn)品添加端到端加密功能。Zoom公司還概述了一個為期90天的解決安全問題的計劃。

NetEnrich公司網(wǎng)絡安全業(yè)務主管Vikram Chabra說：“Zoom視頻會議平臺并不是端到端加密的，而Zoom可以在會議過程中使用它所持有的密鑰來解密數(shù)據(jù)。這或多或少取決于組織的風險承受能力、監(jiān)管需求和其他因素。”

誤解2：個人設(shè)備與公司設(shè)備一樣安全

企業(yè)、政府部門、教育機構(gòu)等很多組織的員工采用自帶設(shè)備(BYOD)遠程工作，并且使用個人設(shè)備訪問服務和數(shù)據(jù)的人數(shù)大量增加。其中一個原因是不得不采用個人設(shè)備。

而這并不是一個新問題。組織需要采取措施，以確保遠程工作的員工使用個人設(shè)備需要額外的安全保護，因為這些設(shè)備本身可能不如組織提供的硬件設(shè)備那樣安全。

Chabra說：“組織必須啟用雙因素身份驗證，并使用內(nèi)容過濾和身份識別與訪問管理(IAM)解決方案。在為在家工作的員工創(chuàng)建新帳戶時，組織必須鼓勵使用強密碼，并遵守最低特權(quán)原則。”

這并不是說不讓員工更頻繁地使用個人設(shè)備，而是更頻繁地使用這些設(shè)備訪問組織的數(shù)據(jù)和服務可能面臨風險。

Accellion公司首席技術(shù)官Cliff White說，“隨著越來越多的員工在家工作，對自帶設(shè)備(BYOD)和系統(tǒng)對內(nèi)容可用性的需求增加。”

這可能迫使組織IT領(lǐng)導者在確保訪問業(yè)務連續(xù)性和安全性之間尋求一種平衡。過于廣泛地授予訪問權(quán)限(為實現(xiàn)不受限制的業(yè)務運營)可能會帶來不必要的風險。

White說：“創(chuàng)建或處理敏感信息或IP的每個組織必須采取不同的預防措施，以確保其數(shù)據(jù)不會與未經(jīng)批準或受到感染的端點共享或傳輸給未經(jīng)批準或受感染的端點。這其中包括采用加密和雙因素身份驗證之類的工具，還要采取精細的策略控制，例如基于角色的權(quán)限以及內(nèi)部和外部用戶的訪問控制。”

誤解3：登錄到組織VPN會保證安全性

組織的筆記本電腦和其他設(shè)備可能已經(jīng)配備了VPN訪問功能，這通常是一件好事。但是要記住，VPN連接不是靈丹妙藥。而且，如果員工一直在使用以前不曾使用的原有軟件，則可能需要重新訪問該軟件以獲得安全性、許可、帶寬和其他配置。

Chabra說：“未經(jīng)身份驗證的遠程攻擊者可能會破壞易受攻擊的VPN服務器。”

在這種情況下，網(wǎng)絡攻擊者可能潛在地獲得對所有活躍用戶及其純文本憑據(jù)的訪問權(quán)限。網(wǎng)絡攻擊者在成功連接到VPN服務器時，也有可能在每個VPN客戶端上執(zhí)行任意命令。

Chabra說：“組織必須確保修補了VPN軟件并安裝了最新版本。他們還應該確保有適當?shù)某绦騺肀３周浖母隆?rdquo;

這并不是說員工并不能使用VPN。更確切地說，需要確保它是最新的版本，并且已將其用于預期的用途。正如瞻博網(wǎng)絡公司全球安全策略總監(jiān)Laurence Pitt所說的那樣，這通常意味著員工正在使用它來保護運營的業(yè)務，而不是針對所有在線活動。

誤解4：運行在云端可以保證安全性

從基礎(chǔ)設(shè)施到應用程序的各個方面都依賴云計算服務的組織可能在連續(xù)性方面獲得先機。而基于云計算的電子郵件之類的服務通常是不需要通過VPN登錄的一個很好例子。

員工不要誤以為在云平臺運行業(yè)務就會自動確保安全。Fugue公司聯(lián)合創(chuàng)始人兼首席技術(shù)官 Josh Stella指出，由于組織的團隊訪問云計算環(huán)境的方式發(fā)生了重大變化，可能會使以往的安全狀況大打折扣。

Stella說，“組織員工以前通過企業(yè)網(wǎng)絡訪問云計算基礎(chǔ)設(shè)施，現(xiàn)在他們在家里工作，這可能會面臨不習慣管理的新威脅。網(wǎng)絡攻擊者正在使用自動化工具專門在互聯(lián)網(wǎng)上搜索虛擬服務器和網(wǎng)絡，并且在適應這些新的遠程訪問模式時，身份和訪問管理服務沒有得到安全配置。組織的員工可能經(jīng)常更改云計算資源配置以完成他們的工作。”

可見性仍然是安全性和其他原因的主要需求，特別是在分布式環(huán)境中。

Stella建議說：“組織需要設(shè)置通知，以便知道何時對安全關(guān)鍵資源(如IAM、安全組、對象存儲服務和數(shù)據(jù)庫服務)進行配置更改。在出現(xiàn)危險的錯誤配置時，在網(wǎng)絡攻擊者發(fā)現(xiàn)并利用它們之前，快速識別并糾正它們。”

誤解5：員工知道如何發(fā)現(xiàn)騙局

網(wǎng)絡釣魚攻擊如今仍然存在并且十分有效。實際上，很多人并不擅長發(fā)現(xiàn)虛假電子郵件、短信和類似威脅。正如Red Hat公司首席安全架構(gòu)師Mike Bursell最近指出的那樣，這就是為什么釣魚攻擊可能發(fā)生在任何人身上的原因。

Chabra表示，人們并不擅長發(fā)現(xiàn)更加狡猾的電子郵件，因此需要采取相應的行動。

Chabra建議說：“員工需要確保實施電子郵件安全控制措施，以阻止網(wǎng)絡釣魚攻擊，并檢測和隔離惡意軟件威脅。”

甚至安全工具(如安全電子郵件網(wǎng)關(guān))也可能會出錯。因此，現(xiàn)在不是放棄認知計劃以及其他形式的教育和溝通的時候。組織確保有一個雙向的權(quán)威渠道供員工報告可疑消息和鏈接等。

誤解6：遠程工作只是一個短期行為

人們希望遠程工作只是一個短期行為，但是從安全的角度來看，這種想法是錯誤的。

Information Security Forum總經(jīng)理Steve Durbin表示，轉(zhuǎn)向遠程工作很可能會對許多組織產(chǎn)生持久的影響。他認為，在家工作可能成為一種“新的業(yè)務常態(tài)”。

Durbin認為，從安全的角度來看，現(xiàn)在組織的員工正處于三個發(fā)展的階段。第一階段的重點是技術(shù)：讓員工隊伍在家遠程工作，并使用在家中完成工作所需的工具運行。第二階段是，網(wǎng)絡攻擊者可能通過在家工作的員工的操作破壞組織業(yè)務的安全性。

Durbin說：“我們將會看到針對組織的威脅，遠程工作者被視為可能是安全鏈中最薄弱的環(huán)節(jié)，并不一定是他們訪問公司界面的方式，而是通過第三方訪問途徑，他們將不可避免地遇到這種威脅保持開放以履行其職責。”

從Zoom安全到有針對性的網(wǎng)絡釣魚攻擊等等，上述大多數(shù)問題都屬于第一階段，第二階段或兩者兼有。而它們肯定是相關(guān)的。

此外，組織的員工還可能處于第三階段，IT領(lǐng)導者和安全專家需要注意這一點：自滿。

Durbin說，“這將導致員工警惕性降低，需要通過增加壓力和網(wǎng)絡焦慮來克服，坦率地說，當正常的工作和生活建立在社交互動的基礎(chǔ)上時，遠程工作就成為一種無聊的行為。我最擔心的是遠程工作的員工何時進入第三階段，因為遠程團隊的負責人和管理者不太可能在這些跡象出現(xiàn)之前識別出來。”