TSplus Advanced Security Logo

هل ترغب في رؤية الموقع بلغة مختلفة؟

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
تغيير اللغة
جدول المحتويات

مقدمة

لقد انتقل العمل عن بُعد والهجين بالوصول إلى الأعمال إلى ما وراء الشبكة المؤسسية. يتصل الموظفون الآن من المنازل ومواقع العملاء والشبكات العامة من خلال أجهزة مُدارة أو شخصية. يجب على فرق تكنولوجيا المعلومات تأمين هذا البيئة الأوسع دون جعل الوصول المعتمد صعبًا لدرجة أن الموظفين يلجأون إلى طرق غير آمنة أو أدوات غير مدعومة.

ما هي أمان القوى العاملة عن بُعد؟

أمان القوى العاملة عن بُعد هو مجموعة من السياسات والعمليات والضوابط الفنية المستخدمة لحماية الأشخاص الذين يصلون إلى موارد المنظمة خارج شبكة المكتب المدارة مركزيًا.

قد يكون هؤلاء الأشخاص موظفين أو متعاقدين أو مدراء أو مزودي خدمات مُدارة أو أطراف ثالثة مخولة أخرى. قد يتصلون من مكتب منزلي في يوم ما ومن موقع عميل في اليوم التالي، أحيانًا باستخدام جهاز كمبيوتر تابع للشركة وأحيانًا باستخدام جهاز شخصي.

تأمين هذه النشاطات يتطلب أكثر بكثير من تشفير اتصال الشبكة. في الممارسة العملية، تقوم فرق تكنولوجيا المعلومات بحماية سلسلة وصول كاملة:

هوية المستخدم → جهاز النهاية → اتصال الشبكة → منصة الوصول عن بُعد → التطبيق → البيانات

لماذا تتطلب أمان القوى العاملة عن بُعد طبقات

يمكن أن تؤدي نقطة ضعف في أي مرحلة إلى تقويض الضوابط المحيطة بها. يمكن أن تقلل المصادقة متعددة العوامل من خطر سرقة كلمات المرور، لكنها لا تستطيع إزالة البرمجيات الخبيثة من جهاز كمبيوتر غير مُرقع. يمكن أن تحمي التشفير حركة المرور من الاعتراض، لكنها لا تستطيع منع حساب مفرط الامتيازات من فتح الملفات التي لا يحتاجها المستخدم.

تعمل أمان القوى العاملة عن بُعد بشكل أفضل كنظام متعدد الطبقات. تحتاج حماية الهوية، وإدارة النقاط النهائية، والوصول المتحكم، والأذونات المحدودة، والمراقبة، والاسترداد إلى دعم بعضها البعض.

ما الذي تغطيه أمان القوى العاملة عن بُعد؟

إن نطاق أمان القوى العاملة عن بُعد أوسع من الكمبيوتر المحمول الذي يستخدمه الموظف أو البوابة التي تقبل الاتصال. إنه يشمل كل مكون متورط في الوصول إلى مورد الأعمال واستخدامه وإدارته.

الأنظمة والتطبيقات والبيانات

قد يحتاج المستخدمون عن بُعد إلى الوصول إلى:

  • تطبيقات الأعمال الداخلية
  • أجهزة الكمبيوتر المكتبية والخوادم التي تعمل بنظام ويندوز
  • مشاركة الملفات وقواعد البيانات
  • السحابة ومنصات البرمجيات كخدمة
  • أدوات البريد الإلكتروني والتعاون
  • بيئات التطوير والإنتاج
  • واجهات الإدارة
  • بنية النسخ الاحتياطي والاسترداد

تلك الموارد لا تحمل نفس مستوى المخاطر. فتح بوابة عامة للشركة يختلف تمامًا عن إدارة خادم الإنتاج أو تنزيل سجلات العملاء. يجب أن تعكس أمان القوى العاملة عن بُعد تلك الاختلافات بدلاً من تطبيق سياسة واحدة على كل نظام.

الأجهزة والجلسات البعيدة

تعتبر الأجهزة المستخدمة للعمل عن بُعد جزءًا من حدود الأمان. يمكن لأجهزة الكمبيوتر التي تديرها الشركة اتباع السياسات المفروضة مركزيًا للتحديثات، والتشفير، وحماية النقاط النهائية. من الصعب التحكم في الأجهزة الشخصية، لذا قد تتطلب الوصول عبر المتصفح، أو عزل التطبيقات، أو حدودًا أكثر صرامة.

تحتاج الجلسة البعيدة إلى اهتمام أيضًا. يمكن أن تدعم الوصول إلى الحافظة، ونقل الملفات، وتعيين محركات الأقراص المحلية، وإعادة توجيه الطابعات، والاتصالات عبر USB العمل الشرعي. في الوقت نفسه، يمكن أن توفر كل ميزة طريقًا لتسرب البيانات أو نقل البرمجيات الضارة. يجب على فرق تكنولوجيا المعلومات أن تقرر أي الوظائف تحتاجها كل مجموعة مستخدمين بشكل حقيقي.

العمليات التشغيلية

تعتمد الأمان عن بُعد أيضًا على الإدارة الروتينية. يؤثر توفير الحسابات، ومراجعات الأذونات، وإلغاء التعاقد مع المتعاقدين، وإدارة التصحيحات، واختبار النسخ الاحتياطية بشكل مباشر على سلامة البيئة.

يمكن أن يؤدي حساب مقاول منسي أو بوابة غير مصححة إلى إضعاف بنية مصممة بشكل جيد. لذلك، يجب أن تتضمن أمان القوى العاملة عن بُعد العمليات التي تحافظ على دقة الضوابط الفنية بمرور الوقت.

لماذا يغير العمل عن بُعد نموذج الأمان؟

افترضت أمان المؤسسات التقليدي أن المستخدمين يعملون في مقرات الشركة، ويستخدمون أجهزة مُدارة من قبل المنظمة، ويتصلون من خلال شبكات داخلية محمية. كانت الجدران النارية وغيرها من ضوابط المحيط تفصل الموارد الموثوقة عن الإنترنت العام.

يُقلل العمل عن بُعد من وضوح تلك الحدود. قد يتصل الموظف من خلال جهاز توجيه خاص بالمستهلك لا يمكن لتكنولوجيا المعلومات فحصه، بينما قد يستخدم المتعاقد جهاز كمبيوتر شخصي بدون حماية مركزية للنقاط النهائية. قد يحتاج المسؤولون أيضًا إلى الوصول إلى الأنظمة الحرجة من شبكات مشتركة مع مستخدمين غير معروفين.

قد تكون خدمات الوصول عن بُعد وتطبيقات الأعمال قابلة للوصول أيضًا من الإنترنت. وهذا يمنح المهاجمين المزيد من الفرص لمسح الخدمات، واختبار بيانات الاعتماد، واستهداف البنية التحتية غير المرقعة.

لذلك تحتاج فرق الأمان إلى مزيد من السياق قبل السماح بالوصول. الهوية، قوة المصادقة، حالة الجهاز، الموقع، دور المستخدم، وقت الاتصال والموارد المطلوبة جميعها مهمة. لا ينبغي الوثوق بالاتصال لمجرد أن المستخدم أدخل كلمة المرور الصحيحة أو جاء من شبكة مألوفة.

ما هي المخاطر الرئيسية لأمان القوى العاملة عن بُعد؟

يزيد العمل عن بُعد من التعرض لعدة تهديدات مألوفة. نادرًا ما تبقى هذه المخاطر معزولة، ولهذا السبب يمكن أن يؤدي وجود كلمة مرور أو نقطة نهاية مخترقة بسرعة إلى وصول أوسع.

المعلومات المخترقة وهجمات المصادقة

التصيد الاحتيالي، وإعادة استخدام كلمات المرور، وبرامج ضارة لجمع المعلومات، وملء بيانات الاعتماد يمكن أن تمنح المهاجمين أسماء مستخدمين وكلمات مرور صالحة. بمجرد التحقق من الهوية، قد يقوم المهاجم بفتح التطبيقات، أو إنشاء جلسة عن بُعد، أو البحث عن صلاحيات أعلى.

تجذب خدمات تسجيل الدخول المتاحة على الإنترنت أيضًا هجمات القوة الغاشمة ورش المياه على كلمات المرور تعتبر خدمات بروتوكول سطح المكتب البعيد، وبوابات الويب، وبوابات الشبكة الخاصة الافتراضية، وواجهات الإدارة أهدافًا شائعة.

تجعل المصادقة متعددة العوامل، ومديري كلمات المرور، وتحديد معدل الاستخدام، واكتشاف تسجيل الدخول غير الطبيعي، هذه الهجمات أكثر صعوبة في التنفيذ. الهدف ليس فقط حماية كلمة المرور ولكن أيضًا التعرف على متى يتم استخدام بيانات الاعتماد الصالحة بشكل غير عادي.

خدمات سطح المكتب البعيد المكشوفة

بروتوكول سطح المكتب البعيد هو وسيلة قياسية للوصول إلى أنظمة ويندوز، لكن تعريض مضيف RDP مباشرةً للإنترنت العام يخلق مخاطر يمكن تجنبها. يمكن للمهاجمين العثور على أنظمة قابلة للوصول، واختبار بيانات الاعتماد واستهداف نقاط الضعف في البنية التحتية المحيطة.

يجب أن تمر اتصالات سطح المكتب البعيد عادةً عبر بوابة آمنة أو وسيط أو طبقة نشر التطبيقات. هذا يحافظ على استضافة الجلسات بعيدًا عن التعرض المباشر للإنترنت ويمنح المسؤولين مكانًا مركزيًا لفرض المصادقة وسياسات الوصول والتسجيل.

الأجهزة غير المدارة والبرمجيات الخبيثة

تمنح سياسات إحضار الأجهزة الشخصية الموظفين مرونة، لكنها تقلل من سيطرة المنظمة على تكوين النقاط النهائية. قد تفتقر الأجهزة الشخصية إلى التحديثات الحالية، أو تشفير القرص الكامل، أو اكتشاف النقاط النهائية، أو إعدادات المتصفح الآمن.

يمكن أن تتعرض النقاط النهائية البعيدة أيضًا للاختراق من خلال مرفقات ضارة، تحديثات مزيفة، إضافات غير آمنة أو برامج غير مصرح بها. بمجرد وصول البرمجيات الضارة إلى الجهاز أو الجلسة، قد تستهدف بيانات الاعتماد، المجلدات المشتركة، محركات الأقراص المخصصة والخوادم المتصلة.

يجب على المنظمات أن تقرر أي الموارد يمكن أن تصل إليها الأجهزة غير المدارة. يجب أن تظل الأنظمة الإدارية والإنتاجية الحساسة غير متاحة عندما لا يمكن للجهاز تلبية متطلبات الأمان المحددة.

امتيازات مفرطة وحركة جانبية

يمكن أن يكون الوصول عن بُعد أوسع مما يحتاج إليه. قد يحتفظ المتعاقدون بالأذونات بعد انتهاء المشروع؛ قد يحتفظ المستخدمون العاديون بحقوق المسؤول المحلي وقد تعتمد فرق الدعم على حسابات مميزة مشتركة.

إذا تم اختراق حساب واحد، فإن الامتيازات المفرطة تمنح المهاجم المزيد من الأنظمة لاستكشافها والمزيد من البيانات للوصول إليها. يجب أن تعكس الوصول الدور الفعلي للمستخدم.

يجب ألا يحصل الشخص الذي يحتاج إلى تطبيق واحد منشور تلقائيًا على سطح مكتب كامل أو اتصال شبكة واسع. يجب أن تمنع التقسيمات أيضًا وصول جلسة مخترقة إلى أنظمة النسخ الاحتياطي أو وحدات تحكم المجال أو موارد الإنتاج غير ذات الصلة.

تكنولوجيا المعلومات الخفية وتسرب البيانات

يستخدم الموظفون أحيانًا أدوات غير آمنة لأن العملية المعتمدة بطيئة جدًا أو مقيدة. قد يستخدمون البريد الإلكتروني الشخصي أو خدمات التخزين الاستهلاكية أو تطبيق وصول عن بُعد غير معتمد.

حظر هذه الأدوات هو جزء فقط من الإجابة. تحتاج فرق تكنولوجيا المعلومات أيضًا إلى فهم سبب استخدام الموظفين لها. قد تحل بوابة المتصفح الموثوقة أو خدمة نشر التطبيقات مشكلة سير العمل بشكل أكثر فعالية من تحذير سياسة آخر.

يمكن أن يؤدي الوصول السهل إلى الحافظة، وتعيين محركات الأقراص، وإعدادات نقل الملفات إلى خلق مخاوف مماثلة. قد تجعل هذه الميزات العمل أسهل، لكنها يمكن أن تنقل أيضًا بيانات حساسة خارج الأنظمة المدارة.

تعرض الجلسة والرؤية المحدودة

المصادقة هي فقط بداية جلسة عن بُعد. قد يترك المستخدم جهازًا غير مقفل، أو يحتفظ برمز متصفح نشط، أو ينسى قطع الاتصال بنظام حساس.

يمكن أن تقلل مهلات الخمول، والقفل التلقائي، وإعادة المصادقة من هذا التعرض. قد تكون السياسات الأكثر تقييدًا مناسبة للمسؤولين، والمقاولين، والمستخدمين الذين يتعاملون مع معلومات حساسة.

يجب على فرق تكنولوجيا المعلومات أيضًا أن تكون قادرة على رؤية ما يحدث. غالبًا ما تنتشر الأنشطة عن بُعد عبر منصات الهوية، ونقاط النهاية، والبوابات، والتطبيقات، والخوادم. عندما تظل السجلات مجزأة، يصبح من الصعب ربط الأحداث المشبوهة وتستغرق الحوادث وقتًا أطول للتحقيق فيها.

ما هي الطبقات السبع لحماية القوى العاملة عن بُعد؟

لا يمكن لأي منتج فردي تأمين قوة العمل الموزعة بمفرده. تأتي الحماية الفعالة من عدة طبقات تقلل من فرصة الاختراق، وتحد من تأثيره وتدعم التعافي.

تعزيز الهوية والمصادقة

الهوية هي واحدة من الحدود الأمنية الرئيسية في بيئة عن بُعد. يجب أن تحمي المصادقة متعددة العوامل أجهزة الكمبيوتر عن بُعد، واتصالات VPN، وتطبيقات السحابة، والحسابات الإدارية، والعمليات الحساسة الأخرى.

حيثما أمكن، يجب على المنظمات اعتماد طرق مقاومة للتصيد الاحتيالي. يُفضل عمومًا استخدام المصادقة المعتمدة على التطبيقات بدلاً من الاعتماد فقط على رموز الرسائل القصيرة، على الرغم من أن الاختيار سيعتمد على الأنظمة الموجودة بالفعل.

تتضمن قاعدة هوية صوتية سليمة:

  • حساب فريد لكل مستخدم
  • فصل هويات المسؤولين القياسيين والمتميزين
  • تحديد تواريخ انتهاء صلاحية للوصول للمقاولين
  • تعطيل تلقائي للحسابات غير النشطة
  • مراجعات الأذونات العادية وعضوية المجموعة

يضيف مراقبة المصادقة طبقة إضافية. قد تكشف الفشل المتكرر، تسجيل الأجهزة غير المتوقع أو الوصول من مواقع غير عادية عن هجوم حتى عند استخدام كلمة المرور الصحيحة.

تطبيق الوصول بأقل امتيازات

يجب أن يتلقى المستخدمون عن بُعد الأنظمة والتطبيقات المطلوبة فقط لعملهم. قد يكون الوصول الواسع إلى الشبكة سهلاً في التكوين، لكنه يجعل الحساب المخترق أكثر فائدة للمهاجم.

يساعد التحكم في الوصول القائم على الدور في مواءمة الأذونات مع مسؤوليات الوظيفة. يمكن أن تقلل الإدارة المحدودة زمنياً وعمليات الموافقة من عدد الحسابات المميزة بشكل دائم.

تتيح بيئات Windows أيضًا للمسؤولين اختيار بين تقديم سطح مكتب كامل ونشر تطبيق محدد. عندما يحتاج المستخدمون إلى أداة أو أداتين فقط، يمكن أن يقلل نشر التطبيقات من التعرض غير الضروري مع الحفاظ على تجربة مألوفة.

يجب أن تظل أقل الامتيازات عملية. إن الأذونات التي تكون مقيدة للغاية تخلق مشاكل في الدعم وقد تشجع على الحلول البديلة. الهدف هو توفير وصول كافٍ للدور، ولكن لا أكثر.

تأمين وإدارة النقاط النهائية

كل جهاز بعيد هو نقطة دخول محتملة، لذا تحتاج النقاط النهائية التي تديرها الشركة إلى قاعدة أمان متسقة. على الأقل، يجب أن تغطي هذه:

  • تحديثات نظام التشغيل والتطبيقات التلقائية
  • كشف النقاط النهائية وحماية ضد البرمجيات الخبيثة
  • تشفير القرص الكامل وقواعد جدار الحماية المعتمد على المضيف
  • قفل الشاشة وحقوق المسؤول المحلي المقيدة
  • تحكمات المتصفح والإضافة والتطبيق
  • جرد الأجهزة والتليمتري المركزي

يجب ألا يستمر الكمبيوتر الذي توقف عن الإبلاغ، أو فاتته تحديثات مهمة، أو قام بتعطيل وكيل الأمان الخاص به في تلقي نفس الوصول كجهاز متوافق.

تتطلب الأجهزة الشخصية نهجًا مختلفًا. يمكن أن يقلل إدارة الأجهزة المحمولة، والوصول المستند إلى المتصفح، وحاويات التطبيقات، والتطبيقات المنشورة من كمية بيانات الأعمال المخزنة محليًا دون الحاجة إلى إدارة تكنولوجيا المعلومات لكل جانب من جوانب الجهاز.

تأمين مسار الوصول عن بُعد

تحتاج الاتصالات عن بُعد إلى تشفير حديث، ومصادقة قوية، وقواعد وصول محددة بدقة. يجب ألا يتم الكشف عن مضيفي الجلسات وواجهات الإدارة للإنترنت العام دون سبب تشغيلي واضح.

يمكن أن يقوم البوابة أو الوسيط بتركيز الوصول إلى أجهزة الكمبيوتر المكتبية والتطبيقات عن بُعد. إنه يوفر للمسؤولين مكانًا واحدًا لفرض الأذونات، ومراقبة الاتصالات، والحفاظ على مضيفي الجلسات الداخلية بعيدًا عن التعرض المباشر.

تحتاج المكونات الموجهة للجمهور إلى صيانة دقيقة. يجب إغلاق المنافذ غير المستخدمة، وتعطيل البروتوكولات غير المدعومة، وتحديث البوابات على الفور. يجب إزالة الحسابات الافتراضية والخدمات القديمة بدلاً من تركها في مكانها من أجل الراحة.

يمكن أن تقلل القيود الجغرافية والمبنية على IP من حركة المرور غير المرغوب فيها، ولكن يجب أن تكمل عملية المصادقة بدلاً من استبدالها. يمكن للمهاجمين توجيه النشاط من خلال الوكلاء أو خدمات السحابة أو الأنظمة المخترقة في المناطق المسموح بها.

أنظمة القطاعات وحماية البيانات

يجب ألا يؤدي تسجيل الدخول عن بُعد الناجح إلى فتح الشبكة الداخلية بالكامل. يجب أن تفصل التقسيمات بين المستخدمين العاديين عن بُعد والمديرين والمقاولين وأنظمة الإنتاج والبنية التحتية للنسخ الاحتياطي وغيرها من البيئات الحساسة.

يجب أن تعكس القواعد بين تلك المناطق متطلبات العمل الحقيقية. لا ينبغي لمستخدم يحتاج إلى تطبيق مالي أن يحصل تلقائيًا على رؤية الشبكة لخوادم التطوير أو واجهات الإدارة.

تحتاج التطبيقات أيضًا إلى تفويض قائم على الأدوار، ووقت انتهاء الجلسة، وسجلات التدقيق، وقيود على تصدير البيانات. تحمي التشفير المعلومات أثناء النقل وفي حالة السكون، ولكن الأذونات لا تزال تحدد من يمكنه استخدامها.

يجب أن تختلف إعدادات الجلسة البعيدة حسب الدور. قد يكون من الضروري مشاركة الحافظة أو الوصول إلى محرك الأقراص المحلي لفريق واحد وغير مناسب لفريق آخر. من الأسهل إدارة سياسة مرنة لكل مستخدم، لكنها نادراً ما تعكس المخاطر الحقيقية.

تصحيح ومراقبة الكومة بالكامل

تصحيح نقاط النهاية مهم، لكن الوصول عن بُعد يعتمد على مجموعة أوسع من التقنيات. تتطلب البوابات، والوسطاء، ومضيفي سطح المكتب البعيد، وبنية VPN التحتية، وجدران الحماية، وخدمات الهوية، والبوابات الإلكترونية، والمتصفحات، وعوامل الأمان جميعها تحديثات.

تستحق الثغرات المتعلقة بالإنترنت والمصادقة الأولوية لأن المهاجمين يمكنهم استهدافها دون الحاجة أولاً إلى دخول الشبكة الداخلية. يجب ترقية المنتجات غير المدعومة أو عزلها أو استبدالها.

يجب أن يركز المراقبة على الأحداث التي تساعد المسؤولين على التصرف:

  • فشل المصادقة المتكرر
  • حسابات المسؤول الجديدة أو تغييرات الامتيازات
  • الوصول خارج ساعات العمل العادية
  • خدمات الأمان أو النقاط النهائية المعطلة
  • تغييرات غير عادية في الملفات أو نقل البيانات
  • الاتصالات من أجهزة أو مواقع غير مألوفة

جودة التنبيه مهمة أيضًا. يحتاج المسؤولون إلى الحساب، جهاز المصدر، عنوان IP، الوقت، الموقع والموارد المطلوبة، وليس مجرد رسالة تقول إن تسجيل الدخول يبدو مشبوهًا.

استعد للتعافي وتدريب المستخدمين

تقلل الضوابط الوقائية من المخاطر، لكنها لا يمكن أن تضمن عدم حدوث حادث أبداً. يجب أن تستخدم النسخ الاحتياطية بيانات اعتماد إدارية منفصلة وأن تظل معزولة عن حسابات المستخدمين العادية. . يجب أيضًا تشفيرها ومراقبتها واختبارها بانتظام.

يجب أن يتجاوز اختبار الاسترداد استعادة ملف عينة. يجب على فرق تكنولوجيا المعلومات التأكد من أنهم يمكنهم إعادة بناء خدمات الهوية، وبنية الوصول عن بُعد، وخوادم التطبيقات الحيوية ضمن أهداف استرداد المنظمة.

يجب على الموظفين أيضًا أن يكون لهم دور عملي في الأمن. يحتاجون إلى التعرف على محاولات التصيد، وحماية أجهزة المصادقة، والإبلاغ عن المطالبات غير المتوقعة، ومعرفة كيفية الاتصال بتكنولوجيا المعلومات من خلال قناة موثوقة.

تكون التدريبات أكثر فعالية عندما تكون قصيرة ومتصلة بالأدوات التي يستخدمها الناس كل يوم. من المرجح أن يتبع الموظفون سياسة الأمان عندما يكون الوصول عن بُعد المعتمد واضحًا وموثوقًا وسهل الاستخدام بشكل معقول.

كيف تبني استراتيجية أمان لقوة العمل عن بُعد؟

يجب أن يتطور برنامج أمان القوى العاملة عن بُعد بشكل متسلسل ومراقب. إن إضافة منتجات غير ذات صلة دون فهم المستخدمين والأنظمة والمخاطر أولاً غالبًا ما يخلق مزيدًا من التعقيد دون تقديم حماية متسقة.

جرد البيئة

ابدأ بتحديد من يتصل عن بُعد، والأجهزة التي يستخدمونها، والموارد التي يحتاجونها. تشمل الموظفين، والمديرين، والمقاولين، ومقدمي الخدمات، والأطراف الثالثة الأخرى.

يجب أن يسجل الجرد أيضًا الخدمات الموجهة للجمهور، والحسابات المميزة، ومخازن البيانات الحساسة، والأنظمة غير المدعومة. لا يمكن إدارة الأصول غير المعروفة والحسابات المنسية بشكل موثوق.

تصنيف الوصول حسب المخاطر

ليس كل اتصال عن بُعد يتطلب نفس الحماية. الوصول الإداري إلى خادم الإنتاج له تأثير مختلف عن الوصول إلى بوابة داخلية عامة.

يجب أن تأخذ تصنيف المخاطر في الاعتبار امتيازات المستخدم، وملكية الجهاز، وحساسية البيانات، والتعرض للإنترنت، وأهمية المورد بالنسبة للأعمال. تساعد هذه العوامل في تحديد أي الاتصالات تحتاج إلى مصادقة أقوى، أو أجهزة مُدارة، أو مراقبة أكثر تفصيلاً.

حدد سياسة قابلة للتنفيذ

ال سياسة الوصول عن بُعد يجب أن يشرح طرق الاتصال المعتمدة، والمعايير التي يجب أن تلبيها الأجهزة، ومتى تكون المصادقة متعددة العوامل مطلوبة. يجب أن يغطي أيضًا الأجهزة الشخصية، ومعالجة البيانات، وتسجيل الدخول، وإلغاء التعاقد مع المتعاقدين، وموافقة الاستثناء.

تكون السياسة أكثر موثوقية عندما تفرضها التكنولوجيا. قد تخبر القواعد المكتوبة المستخدمين بعدم الوصول إلى أنظمة الإنتاج من الأجهزة الشخصية، ولكن التحكم في الوصول الذي يمنع الاتصال يوفر حماية أقوى.

عالج أعلى المخاطر أولاً

يمكن أن تتبع التنفيذ الأولي تسلسلًا مركزًا:

  1. إزالة الخدمات غير الضرورية المعرضة للإنترنت.
  2. حماية الوصول عن بُعد باستخدام المصادقة متعددة العوامل.
  3. تصحيح الثغرات في البوابات والخوادم.
  4. إزالة الحسابات المشتركة والخاملة والمفرطة الامتيازات.
  5. نشر حماية النقاط النهائية وضوابط الامتثال للأجهزة.
  6. قم بتقسيم المستخدمين عن بُعد عن الأنظمة الحساسة.
  7. قم بتركيز السجلات واختبار استعادة النسخ الاحتياطية.

تتناول هذه السلسلة المسارات الشائعة إلى البيئة قبل الانتقال نحو تحسينات أكثر تفصيلاً.

اختبر وحسن الضوابط

يجب اختبار الضوابط الجديدة مع مستخدمين وأجهزة ومواقع وتطبيقات تمثيلية. يمكن أن تكشف الاتصالات ذات الكمون العالي ومتطلبات الوصول الطارئ وسيناريوهات الوصول الطارئ عن مشاكل قد تفوتها الاختبارات المعملية.

يمكن للمنظمة بعد ذلك تتبع مجموعة صغيرة من المؤشرات المفيدة، مثل تغطية المصادقة متعددة العوامل، والامتثال للتحديثات، والتعرض العام، وأرقام الحسابات المميزة، ووقت التحقيق في التنبيهات، ونجاح استعادة النسخ الاحتياطية.

يجب أن تُظهر هذه القياسات ما إذا كان الخطر يتناقص، وليس ببساطة ما إذا كانت فريق الأمان يقوم بأداء المزيد من المهام.

كيف تدعم TSplus Advanced Security حماية الوصول عن بُعد؟

TSplus الأمان المتقدم يضيف طبقة حماية مركزة إلى بيئات Windows Server وسطح المكتب البعيد. يمكن أن يكمل ضوابط الهوية، وحماية النقاط النهائية، والنسخ الاحتياطي من خلال مساعدة المسؤولين في معالجة التهديدات الشائعة للوصول عن بُعد من خلال واجهة مركزية.

تشمل قدراتها الرئيسية:

  • حماية من هجمات القوة الغاشمة وحظر عناوين IP الخبيثة
  • القيود الجغرافية والتحكم في الأجهزة الموثوقة
  • سياسات الجلسة الآمنة لمستخدمين ومجموعات مختلفة
  • Ransomware protection
  • أحداث الأمان والتنبيهات المركزية

يمكن أن تساعد هذه القدرات المسؤولين في تقليل التعرض، وتطبيق قيود وصول متسقة، وتحديد السلوك المشبوه في وقت مبكر. وهي ذات صلة خاصة حيث تدعم خوادم Windows وخدمات سطح المكتب البعيد الموظفين الموزعين أو المستخدمين الخارجيين.

TSplus الأمان المتقدم لا تزال جزءًا من بنية أوسع. لا تزال المنظمات بحاجة إلى المصادقة متعددة العوامل، وتحديثات في الوقت المناسب، وأذونات الحد الأدنى من الامتيازات، وحماية النقاط النهائية، والتقسيم، واستعادة تم اختبارها.

الختام

تعتمد أمان القوى العاملة عن بُعد على عدة ضوابط تعمل معًا. الهوية القوية، النقاط النهائية المدارة، الوصول المحدود، التعرض المنخفض، المراقبة المفيدة والتعافي المختبر تحمي أجزاء مختلفة من نفس البيئة. الاستراتيجية الأكثر استدامة تحافظ أيضًا على الوصول عن بُعد المعتمد واضحًا وعمليًا للموظفين، والمديرين، والمستخدمين الخارجيين.

مشاركة:

فيسبوك تويتر لينكدإن

فريق TSplus الخاص بك

المزيد من القراءة

back to top of the page icon