TSplus Advanced Security Logo

Искате ли да видите сайта на друг език?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Смяна на език
Съдържание

Въведение

Дистанционната и хибридната работа преместиха бизнес достъпа извън корпоративната мрежа. Служителите сега се свързват от домовете си, клиентски обекти и обществени мрежи чрез управлявани или лични устройства. ИТ екипите трябва да осигурят тази по-широка среда, без да правят одобрения достъп толкова труден, че служителите да прибягват до небезопасни обходни решения или неподдържани инструменти.

Какво е сигурността на отдалечената работна сила?

Сигурността на отдалечената работна сила е комбинация от политики, процеси и технически контрол, използвани за защита на хора, които имат достъп до организационни ресурси извън централно управлявана офис мрежа.

Тези хора могат да бъдат служители, изпълнители, администратори, доставчици на управлявани услуги или други упълномощени трети страни. Те могат да се свързват от домашен офис един ден и от клиентски обект на следващия, понякога използвайки компютър на компанията и понякога използвайки лично устройство.

Осигуряването на тази дейност включва много повече от криптиране на мрежова връзка. На практика ИТ екипите защитават цяла верига за достъп:

Потребителска идентичност → крайно устройство → мрежова връзка → платформа за отдалечен достъп → приложение → данни

Защо сигурността на отдалечената работна сила изисква слоеве

Слаба точка на всяка стъпка може да подкопае контрола около нея. Многофакторната автентикация може да намали риска от кражба на пароли, но не може да премахне зловреден софтуер от непатчнат компютър. Шифроването може да защити трафика от прихващане, но не може да предотврати отворенето на файлове от свръхпривилегирован акаунт, от които потребителят не се нуждае.

Сигурността на отдалечената работна сила следователно работи най-добре като многослойна система. Защитата на идентичността, управлението на крайни точки, контролираните достъпи, ограничените разрешения, мониторингът и възстановяването всички трябва да се подкрепят взаимно.

Какво обхваща сигурността на отдалечената работна сила?

Обхватът на сигурността на отдалечената работна сила е по-широк от лаптопа, който служителят използва, или от шлюза, който приема връзката. Той включва всеки компонент, участващ в достигането, използването и управлението на бизнес ресурс.

Системи, Приложения и Данни

Отдалечените потребители може да се нуждаят от достъп до:

  • Вътрешни бизнес приложения
  • Windows десктопи и сървъри
  • Файлови споделяния и бази данни
  • Облачни и платформи за софтуер като услуга
  • Имейл и инструменти за сътрудничество
  • Развойни и производствени среди
  • Административни интерфейси
  • Инфраструктура за архивиране и възстановяване

Тези ресурси не носят същото ниво на риск. Отварянето на общ корпоративен портал е много различно от администрирането на производствен сървър или изтеглянето на клиентски записи. Сигурността на отдалечената работна сила трябва да отразява тези разлики, вместо да прилага една и съща политика за всяка система.

Устройства и отдалечени сесии

Устройствата, използвани за дистанционна работа, също са част от границата на сигурността. Компютрите, управлявани от компанията, могат да следват централно наложени политики за актуализации, криптиране и защита на крайни точки. Личните устройства са по-трудни за контрол, така че може да се наложи достъп чрез браузър, изолация на приложения или по-строги ограничения.

Отдалечената сесия също се нуждае от внимание. Достъпът до клипборда, прехвърлянето на файлове, картографирането на локални дискове, пренасочването на принтери и USB връзките могат да подпомогнат легитимната работа. В същото време всяка функция може да предостави път за изтичане на данни или прехвърляне на злонамерен софтуер. ИТ екипите трябва да решат кои функции наистина са необходими на всяка потребителска група.

Оперативни процеси

Отдалечената сигурност също зависи от рутинната администрация. Осигуряването на акаунти, прегледите на разрешенията, прекратяването на договори, управлението на пачове и тестването на резервни копия пряко влияят на безопасността на средата.

Забравената сметка на изпълнител или непоправен шлюз може да отслаби иначе добре проектираната архитектура. Сигурността на дистанционната работна сила следователно трябва да включва процесите, които поддържат техническите контроли точни с течение на времето.

Защо дистанционната работа променя модела на сигурност?

Традиционната корпоративна сигурност предполагаше, че потребителите работят в помещенията на компанията, използват устройства, управлявани от организацията, и се свързват чрез защитени вътрешни мрежи. Файрволи и други периметрални контроли разделяха доверените ресурси от публичния интернет.

Дистанционната работа прави тази граница по-малко ясна. Служител може да се свърже чрез потребителски рутер, който ИТ не може да инспектира, докато изпълнител може да използва личен компютър без централизирана защита на крайни точки. Администраторите също може да се наложи да достигнат до критични системи от мрежи, споделени с неизвестни потребители.

Услугите за дистанционен достъп и бизнес приложенията също могат да бъдат достъпни от интернет. Това дава на нападателите повече възможности да сканират услуги, да тестват удостоверения и да насочват към непатчвана инфраструктура.

Екипите по сигурността следователно се нуждаят от повече контекст, преди да разрешат достъп. Идентичността, силата на удостоверяването, статусът на устройството, местоположението, ролята на потребителя, времето на свързване и исканият ресурс са от значение. Връзката не трябва да бъде доверена само защото потребителят е въвел правилната парола или е дошъл от позната мрежа.

Какви са основните рискове за сигурността на отдалечената работна сила?

Отдалечената работа увеличава излагането на няколко познати заплахи. Тези рискове рядко остават изолирани, поради което една компрометирана парола или крайна точка може бързо да доведе до по-широк достъп.

Компрометирани удостоверения и атаки на автентикация

Фишинг, повторна употреба на пароли, злонамерен софтуер за кражба на информация и натрупване на удостоверения могат да предоставят на нападателите валидни потребителски имена и пароли. След като се удостоверят, нападателят може да отвори приложения, да установи дистанционна сесия или да търси по-високи привилегии.

Услугите за вход, достъпни в интернет, също привлекат атаки с брутфорс и спрейване на пароли Услугите на протокола за отдалечен работен плот, уеб порталите, шлюзовете на виртуалната частна мрежа и административните интерфейси са чести цели.

Многофакторната автентикация, мениджърите на пароли, ограничаването на скоростта и откритията на необичайни входове правят тези атаки по-трудни за изпълнение. Целта не е само да се защити паролата, но и да се разпознае, когато валидни идентификационни данни се използват по необичаен начин.

Изложени услуги за отдалечен работен плот

Протоколът за отдалечен работен плот е стандартен начин за достъп до Windows системи, но излагане на RDP хост директно на публичния интернет създава предотвратим риск. Нападателите могат да намерят достъпни системи, да тестват удостоверения и да насочат слабости в околната инфраструктура.

Отдалечените работни станции обикновено трябва да преминават през сигурен шлюз, брокер или слой за публикуване на приложения. Това държи хостовете на сесиите далеч от директно излагане на интернет и предоставя на администраторите централно място за прилагане на удостоверяване, политики за достъп и регистриране.

Неподдържани устройства и зловреден софтуер

Политиките за носене на собствени устройства дават на служителите гъвкавост, но намаляват контрола на организацията върху конфигурацията на крайни точки. Личното устройство може да няма актуални обновления, криптиране на целия диск, откриване на крайни точки или настройки за сигурен браузър.

Отдалечените крайни точки също могат да бъдат компрометирани чрез злонамерени прикачени файлове, фалшиви актуализации, небезопасни разширения или неразрешен софтуер. След като злонамерен софтуер достигне устройството или сесията, той може да насочи атаки към удостоверения, споделени папки, мапирани дискове и свързани сървъри.

Организациите трябва да решат до кои ресурси могат да имат достъп неуправлявани устройства. Чувствителните административни и производствени системи трябва да останат недостъпни, когато устройството не може да отговори на определените изисквания за сигурност.

Излишни права и странично движение

Достъпът отдалеч често е по-широк, отколкото е необходимо. Подизпълнителите могат да запазят разрешения след приключване на проект; стандартните потребители могат да запазят права на локален администратор, а екипите за поддръжка могат да разчитат на споделени привилегировани акаунти.

Ако една сметка е компрометирана, прекомерните привилегии дават на нападателя повече системи за изследване и повече данни за достигане. Достъпът трябва да отразява действителната роля на потребителя.

Човек, който се нуждае от едно публикувано приложение, не трябва автоматично да получава пълен работен плот или широка мрежова свързаност. Сегментацията също така трябва да предотврати компрометирана сесия да достигне до резервни системи, контролери на домейни или несвързани производствени ресурси.

Сянка ИТ и изтичане на данни

Служителите понякога приемат небезопасни инструменти, защото одобреното процес е твърде бавно или ограничително. Те могат да използват личен имейл, услуги за съхранение на потребители или несанкционирано приложение за отдалечен достъп.

Блокирането на тези инструменти е само част от отговора. ИТ екипите също трябва да разберат защо служителите ги използват. Надежден браузър портал или услуга за публикуване на приложения може да реши проблема с работния поток по-ефективно от друга политика за предупреждение.

Разрешителният достъп до клипборда, настройките за картографиране на дискове и пренос на файлове могат да създадат подобни притеснения. Тези функции могат да улеснят работата, но също така могат да преместят чувствителни данни извън управляваните системи.

Излагане на сесия и ограничена видимост

Аутентикацията е само началото на отдалечена сесия. Потребителят може да остави устройство отключено, да поддържа активен токен на браузъра или да забрави да се отключи от чувствителна система.

Времеви ограничения за неактивност, автоматично заключване и повторна автентикация могат да намалят тази уязвимост. По-строги политики може да са подходящи за администратори, изпълнители и потребители, които обработват чувствителна информация.

ИТ екипите също трябва да могат да виждат какво се случва. Отдалечената активност често е разпределена между платформи за идентичност, крайни точки, шлюзове, приложения и сървъри. Когато логовете остават фрагментирани, подозрителните събития са по-трудни за свързване и инцидентите отнемат повече време за разследване.

Какви са седемте слоя на защита на отдалечената работна сила?

Нито един индивидуален продукт не може да осигури защитата на разпределената работна сила самостоятелно. Ефективната защита идва от няколко слоя, които намаляват шанса за компрометиране, ограничават въздействието му и подпомагат възстановяването.

Укрепване на идентичността и автентикацията

Идентичността е една от основните граници за сигурност в отдалечена среда. Многофакторната автентикация трябва да защитава отдалечените работни станции, VPN връзките, облачните приложения, административните акаунти и други чувствителни операции.

Където е възможно, организациите трябва да приемат методи, устойчиви на фишинг. Аутентификацията, базирана на приложения, обикновено е предпочитана пред разчитането само на SMS кодове, въпреки че изборът ще зависи от вече внедрените системи.

Звукът на идентичността включва:

  • Уникален акаунт за всеки потребител
  • Разделете стандартни и привилегировани идентичности на администратори
  • Определени дати на изтичане за достъп на изпълнители
  • Автоматизирано деактивиране на неактивни акаунти
  • Редовни прегледи на разрешения и членство в групи

Мониторингът на удостоверяването добавя още един слой. Повторни неуспехи, неочаквани регистрации на устройства или достъп от необичайни места могат да разкрият атака, дори когато се използва правилната парола.

Прилагане на достъп с минимални права

Отдалечените потребители трябва да получават само системите и приложенията, необходими за тяхната работа. Широкият достъп до мрежата може да бъде лесен за конфигуриране, но прави компрометирания акаунт много по-полезен за нападателя.

Контролът на достъпа на базата на роля помага за съответствието на разрешенията с работните задължения. Администрацията с ограничено време и работните потоци за одобрение могат допълнително да намалят броя на постоянно привилегированите акаунти.

Windows средите също дават на администраторите избор между предоставяне на пълен работен плот и публикуване на конкретно приложение. Когато потребителите се нуждаят само от едно или две бизнес инструменти, публикуването на приложения може да намали ненужното излагане, като същевременно запази познатото изживяване.

Най-малкото привилегии трябва да останат практични. Разрешенията, които са твърде ограничителни, създават проблеми с поддръжката и могат да насърчат обходни решения. Целта е да се предостави достатъчен достъп за ролята, но не и повече.

Укрепване и управление на крайни точки

Всеки отдалечен устройството е потенциална точка за достъп, така че управляваните от компанията крайни точки се нуждаят от последователна основа за сигурност. Най-малкото, това трябва да обхваща:

  • Автоматизирани актуализации на операционната система и приложенията
  • Защита от открития на крайни точки и антивирусна защита
  • Шифроване на целия диск и правила за защитна стена на базата на хост
  • Заключване на екрана и ограничени права на локален администратор
  • Контроли за браузър, разширение и приложение
  • Инвентаризация на устройства и централизирана телеметрия

Компютър, който е спрял да докладва, пропуснал е важни актуализации или е деактивирал своя защитен агент, не трябва да продължава да получава същия достъп като съвместимо устройство.

Личните устройства изискват различен подход. Управлението на мобилни устройства, достъпът чрез браузър, контейнерите за приложения и публикуваните приложения могат да намалят количеството бизнес данни, съхранявани локално, без да е необходимо ИТ да управлява всеки аспект на устройството.

Осигурете пътя за отдалечен достъп

Отдалечените връзки изискват текущо криптиране, силна автентикация и строго определени правила за достъп. Сесиите и интерфейсите за управление не трябва да бъдат изложени на публичния интернет без ясна оперативна причина.

Гейтуей или брокер може да централизира достъпа до отдалечени работни станции и приложения. Той предоставя на администраторите едно място за прилагане на разрешения, наблюдение на връзките и защита на вътрешните хостове на сесии от директно излагане.

Компонентите, насочени към обществеността, все още изискват внимателна поддръжка. Непотребяваните портове трябва да бъдат затворени, неподдържаните протоколи деактивирани, а шлюзовете бързо поправени. По подразбиране акаунтите и остарелите услуги трябва да бъдат премахнати, вместо да бъдат оставени на място за удобство.

Географските и базираните на IP ограничения могат да намалят нежелания трафик, но те трябва да допълват автентикацията, а не да я заменят. Нападателите могат да маршрутизират дейността си чрез проксита, облачни услуги или компрометирани системи в разрешените региони.

Сегментни системи и защита на данни

Успешното дистанционно влизане не трябва да отваря цялата вътрешна мрежа. Сегментацията трябва да разделя обикновените дистанционни потребители от администратори, изпълнители, производствени системи, резервна инфраструктура и други чувствителни среди.

Правилата между тези области трябва да отразяват реалните бизнес изисквания. Потребител, който се нуждае от финансова апликация, не трябва автоматично да получава мрежова видимост към сървъри за разработка или интерфейси за управление.

Приложенията също се нуждаят от авторизация на базата на роли, таймаути на сесиите, одитни журнали и ограничения за експортиране на данни. Шифроването защитава информацията в движение и в покой, но разрешенията все още определят кой може да я използва.

Настройките за отдалечена сесия трябва да варират в зависимост от ролята. Споделянето на клипборда или достъпът до локален диск може да е необходимо за един екип и неподходящо за друг. Една разрешителна политика за всеки потребител е по-лесна за администриране, но рядко отразява реалния риск.

Патч и наблюдение на целия стек

Патчингът на крайни точки е важен, но отдалеченият достъп разчита на по-широка технологична структура. Портали, брокери, хостове на отдалечен работен плот, VPN инфраструктура, защитни стени, услуги за идентичност, уеб портали, браузъри и агенти за сигурност всички изискват актуализации.

Уязвимостите, свързани с интернет и удостоверяване, заслужават приоритет, тъй като атакуващите могат да ги насочат без първо да влязат в вътрешната мрежа. Неподдържаните продукти трябва да бъдат обновени, изолирани или заменени.

Наблюдението трябва да се фокусира върху събития, които помагат на администраторите да действат:

  • Повторни неуспехи при удостоверяване
  • Нови администраторски акаунти или промени в правата
  • Достъп извън нормалното работно време
  • Деактивирани услуги за крайни точки или сигурност
  • Ненормални промени в файлове или прехвърляне на данни
  • Свързвания от непознати устройства или местоположения

Качеството на известието също е важно. Администраторите се нуждаят от акаунта, източника на устройството, IP адреса, времето, местоположението и искания ресурс, а не просто от съобщение, което казва, че входът изглежда подозрителен.

Подгответе се за възстановяване и обучете потребителите

Предпазните мерки намаляват риска, но не могат да гарантират, че инцидент никога няма да се случи. Резервните копия трябва да използват отделни административни идентификационни данни и да останат изолирани от стандартните потребителски акаунти. Те също трябва да бъдат криптирани, наблюдавани и тествани редовно.

Тестовете за възстановяване трябва да надхвърлят възстановяването на примерен файл. ИТ екипите трябва да потвърдят, че могат да възстановят услуги за идентичност, инфраструктура за отдалечен достъп и критични сървъри на приложения в рамките на целите за възстановяване на организацията.

Служителите също играят практическа роля в сигурността. Те трябва да разпознават опити за фишинг, да защитават устройствата за удостоверяване, да докладват неочаквани подканвания и да знаят как да се свържат с ИТ чрез проверен канал.

Обучението работи най-добре, когато е кратко и свързано с инструментите, които хората използват всеки ден. Служителите е по-вероятно да следват политиката за сигурност, когато одобреният отдалечен достъп е ясен, надежден и сравнително лесен за използване.

Как да изградим стратегия за сигурност на отдалечената работна сила?

Програмата за сигурност на отдалечената работна сила трябва да се развива в контролирана последователност. Добавянето на несвързани продукти, без първо да се разберат потребителите, системите и рисковете, често създава повече сложност, без да осигурява последователна защита.

Инвентаризация на околната среда

Започнете, като идентифицирате кой се свързва отдалечено, какви устройства използват и какви ресурси им трябват. Включете служители, администратори, изпълнители, доставчици на услуги и други трети страни.

Инвентаризацията трябва също да записва публично достъпни услуги, привилегировани акаунти, чувствителни хранилища на данни и неподдържани системи. Непознатите активи и забравените акаунти не могат да се управляват надеждно.

Класифицирайте достъпа по риск

Не всяко отдалечено свързване изисква същата защита. Административният достъп до производствен сървър има различно въздействие в сравнение с достъпа до общ вътрешен портал.

Класификацията на риска трябва да взема предвид привилегиите на потребителите, собствеността на устройствата, чувствителността на данните, интернет експозицията и бизнес значимостта на ресурса. Тези фактори помагат да се определи кои връзки изискват по-силна автентикация, управлявани устройства или по-подробно наблюдение.

Определете задължителна политика

The политика за отдалечен достъп трябва да обясни кои методи за свързване са одобрени, какви стандарти трябва да отговарят устройствата и кога е необходима многофакторна автентикация. Трябва също да обхване лични устройства, обработка на данни, регистриране, прекратяване на договори и одобрение на изключения.

Политиката е по-надеждна, когато технологията я прилага. Написаните правила могат да казват на потребителите да не получават достъп до производствени системи от лични устройства, но контролът на достъпа, който блокира връзката, осигурява по-силна защита.

Първо се справете с най-високите рискове

Първоначалната реализация може да следва фокусирана последователност:

  1. Премахнете ненужните услуги, достъпни в интернет.
  2. Защитете отдалечения достъп с многофакторна автентикация.
  3. Патчвайте изложените шлюзове и сървъри.
  4. Премахнете споделените, неактивни и с прекомерни права акаунти.
  5. Разгърнете защита на крайни точки и контроли за съответствие на устройства.
  6. Сегментирайте отдалечените потребители от чувствителни системи.
  7. Централизирайте логовете и тествайте възстановяването на резервни копия.

Тази последователност се занимава с общи пътища в средата, преди да премине към по-подробни подобрения.

Тествайте и подобрете контролните механизми

Новите контроли трябва да бъдат тествани с представителни потребители, устройства, локации и приложения. Високолатентни връзки, изисквания за достъпност и сценарии за спешен достъп могат да разкрият проблеми, които лабораторното тестване ще пропусне.

Организацията може след това да проследи малък набор от полезни индикатори, като обхват на многофакторна автентикация, съответствие с пачове, публична експозиция, номера на привилегировани акаунти, време за разследване на аларми и успех при възстановяване на резервни копия.

Тези измервания трябва да показват дали рискът намалява, а не просто дали екипът по сигурността извършва повече задачи.

Как TSplus Advanced Security поддържа защитата на Remote Access?

TSplus Advanced Security добавя фокусиран слой за защита към Windows Server и среди за отдалечен достъп. Може да допълни контрола на идентичността, защитата на крайни точки и резервните копия, като помага на администраторите да се справят с общите заплахи за отдалечен достъп чрез централизирания интерфейс.

Основните му възможности включват:

  • Защита от брутфорс атаки и блокиране на злонамерени IP адреси
  • Географски ограничения и контроли на доверени устройства
  • Политики за сигурни сесии за различни потребители и групи
  • Ransomware protection
  • Централизирани събития и предупреждения за сигурност

Тези възможности могат да помогнат на администраторите да намалят експозицията, да приложат последователни ограничения за достъп и да идентифицират подозрително поведение по-рано. Те са особено важни, когато Windows сървъри и услуги за отдалечен работен плот поддържат разпределени служители или външни потребители.

TSplus Advanced Security остава една част от по-широка архитектура. Организациите все още се нуждаят от многофакторна автентикация, навременно прилагане на корекции, минимални права на достъп, защита на крайни точки, сегментация и тествано възстановяване.

Заключение

Сигурността на отдалечената работна сила разчита на няколко контрола, които работят заедно. Силна идентичност, управлявани крайни точки, ограничен достъп, намалена експозиция, полезно наблюдение и тествано възстановяване защитават различни части от същата среда. Най-устойчивата стратегия също така поддържа одобрения отдалечен достъп ясен и практичен за служителите, администраторите и външните потребители.

Споделяне:

Facebook Twitter LinkedIn

Вашият екип на TSplus

Допълнително четене

TSplus Remote Desktop Access - Advanced Security Software

FERPA Закон за образованието в САЩ: Ръководство за осигуряване на отдалечен достъп

Разберете FERPA, закона за образованието в САЩ относно отдалечения достъп, конфиденциалността на данните на студентите и ИТ сигурността. Научете задълженията, задълженията на доставчиците и контролните мерки за сигурност на TSplus.

Прочетете статията →
back to top of the page icon