TSplus Advanced Security Logo

Искате ли да видите сайта на друг език?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Смяна на език
Съдържание

Въведение

Отдалечената и хибридната работа предоставят на служителите по-голяма гъвкавост, но също така разширяват достъпа извън управляваната офис мрежа. Потребителите могат да се свързват чрез домашни рутери, обществени Wi-Fi мрежи или лични устройства. Следователно ИТ екипите се нуждаят от сигурно работно пространство, което контролира достъпа, защитава системите и данните и остава достатъчно просто за ежедневната работа.

Какво е сигурно работно пространство за дистанционна работа?

Сигурно работно пространство за дистанционна работа е контролирана цифрова среда, в която служители, изпълнители и администратори могат да получат достъп до ресурсите на компанията извън офиса. В зависимост от тяхната роля, потребителите може да се нуждаят от пълен Windows десктоп, специфично бизнес приложение, облачна услуга или административен инструмент.

Тези връзки могат да идват от служебни лаптопи, лични устройства, клиентски сайтове или домашни мрежи. Тъй като организацията не контролира всяко местоположение, сигурността вече не може да разчита изцяло на традиционния офисен периметър. Вместо това, защитата трябва да следва потребителя и сесията, където и да започва връзката.

Работното пространство е повече от отдалечена връзка

Шифроването е важна част от отдалечения достъп, но шифрованата връзка не е автоматично сигурна. Ако нападателят е откраднал валидни удостоверения, крайният пункт е заразен или потребителят има прекомерни права, тази защитена връзка все още може да бъде злоупотребена.

Сигурното отдалечено работно пространство обединява контрол на идентичността, защита на устройствата, ограничения на достъпа, сигурност на сървъра, разрешения за приложения и мониторинг. Тези мерки работят най-добре като свързани слоеве, а не като отделни проекти за сигурност.

Цепката за сигурност на отдалечения достъп

Помага да се мисли за Remote Access като свързана верига:

Потребителска идентичност → Устройство на крайния потребител → Мрежова връзка → Платформа за дистанционен достъп → Приложение → Бизнес данни

Защото Сигурността на Remote Desktop зависи от позата на крайното устройство, мрежовото излагане и контрола на акаунта. Слабост на всяка точка може да повлияе на цялата сесия. Многофакторната автентикация може да спре нападател, използващ открадната парола, например, но не може да защити непатчнато приложение на сървъра или акаунт с ненужни административни права. Следователно, сигурното работно пространство трябва да защитава всяка фаза, като същевременно запазва достъпа, подходящ за ролята на всеки потребител.

Защо са важни защитените отдалечени работни пространства?

Разширената работа от разстояние и хибридната работа разпространяват потребители, устройства и пътища за достъп на различни места, които организациите не винаги могат да управляват директно, предизвикателство, покрит от Насоки на NIST за дистанционна работа, отдалечен достъп и сигурност на BYOD Служителите могат да се свързват чрез домашни рутери, обществени Wi-Fi мрежи, мобилни мрежи или лични компютри, докато работят с чувствителни приложения и данни.

В резултат на това ИТ екипите се нуждаят от ясна представа за това, кой се свързва, какво устройство използва, какво се опитва да достигне и дали връзката съответства на очакваното поведение.

Дистанционната работа премахва традиционната периметър.

В традиционен офис мрежовите контроли създават ясна граница около потребителите и системите. Дистанционната работа променя този модел, тъй като легитимните връзки сега започват извън вътрешната мрежа.

Атакуващите могат да насочат към изложени услуги на протокола за отдалечен работен плот, слабо защитени портали, повторно използвани пароли, непатчирани устройства за виртуални частни мрежи и компрометирани крайни точки. След като влязат с валидни удостоверения, тяхната активност може първоначално да изглежда подобна на тази на упълномощен потребител. Затова идентичността, контекстът на устройството и поведението на сесията играят толкова важна роля в сигурността на отдалечената работа.

Контролите за сигурност трябва да запазват удобството за ползване

Мерки за сигурност, които правят нормалната работа твърде трудна, могат да създадат свои собствени проблеми. Когато одобреното работно пространство е бавно, объркващо или ненадеждно, потребителите могат да съхраняват пароли несигурно, да прехвърлят файлове чрез лични услуги или да приемат неодобрени приложения.

Добре проектираната сигурна работна среда намалява риска, без да добавя ненужна триест. Служителите трябва да виждат само приложенията, от които се нуждаят, да ги достигат чрез последователен достъпен път и да завършват удостоверяването без ненужна сложност. В същото време централизирани политики и журнали трябва да улесняват този опит за ИТ екипите.

Основните слоеве на сигурност на отдалечено работно пространство

Няма нито една технология, която да може да защити дистанционната работа сама по себе си. Устойчивото работно пространство използва няколко защитни слоя, така че провалът на един контрол да не излага незабавно приложенията или данните.

Идентичност и удостоверяване

Контролите за идентичност определят дали на някого трябва да бъде разрешено да стартира дистанционна сесия. Паролите все още играят роля в повечето системи за удостоверяване, но те не са достатъчни, за да защитят от фишинг, повторна употреба на пароли и натрупване на удостоверения.

Отдалечените потребители и администратори трябва да използват многофакторна автентикация, където е възможно. Политиките за заключване на акаунти, ограниченията на скоростта на влизане и известията за повторни неуспехи добавят още един слой защита. Организациите също трябва да премахват неактивните акаунти своевременно и да поддържат стандартните потребителски идентичности отделно от привилегированите административни акаунти.

Доверие на крайна точка

Крайната точка е устройството, от което започва дистанционната връзка. Дори когато потребителят е легитимен, компрометираният компютър може да изложи идентификационни данни, да въведе зловреден софтуер или да позволи на чувствителни файлове да напуснат организацията.

Управляваните устройства трябва да получават актуализации на операционната система, откриване и реагиране на крайни точки, защита от зловреден софтуер, политики за защитна стена и криптиране на диска. ИТ екипите също трябва да решат дали потребителите могат да съхраняват данни локално, да пренасочват клипбордове или да свързват локални дискове към отдалечена сесия.

Политиките за носене на собствени устройства трябва да определят минималните изисквания за сигурност за личното оборудване. Когато организацията не може напълно да се довери на крайна точка, достъпът до браузър-базирани приложения или ограничена дистанционна сесия може да помогне за намаляване на местното излагане на данни.

Контролиран отдалечен достъп

Достъпният слой определя как потребителите достигат до вътрешни приложения и работни станции. Когато е възможно, ИТ екипите трябва да избягват директното излагане на сървъри на приложения на интернет. Сигурен шлюз, обратен прокси или уеб портал могат да предоставят контролирана точка за достъп вместо това.

Публикуването на приложения може да намали експозицията дори още повече. Финансов служител, който се нуждае само от счетоводна програма, може да не се нуждае от достъп до пълен работен плот или по-широката вътрешна мрежа.

Каквото и да е сигурен модел за отдалечен достъп организацията избира, тя трябва да осигури криптирани комуникации, детайлни потребителски назначения и централизирано управление на сесиите. Виртуалните частни мрежи остават полезни, когато потребителите наистина изискват свързаност на ниво мрежа, но те не винаги са най-добрият стандарт за всеки дистанционен работник.

Сигурност на приложенията и сесиите

Сигурността не приключва, след като потребителят влезе. Отдалечените сесии трябва да продължат да ограничават достъпа до приложенията, файловете, принтерите и административните функции, необходими за работата на потребителя.

Контролът на достъпа на базата на роля и принципът на най-малките привилегии помагат за намаляване на щетите, които компрометирана сметка може да причини. Таймаутите на сесиите, ограниченията на работното време и политиките за пренасочване на устройства също могат да ограничат неуправлявания или неподходящ достъп.

Привилегированите сесии изискват още по-строги контролни мерки. Администраторите трябва да използват отделни акаунти, одобрени устройства и допълнителен мониторинг, когато работят с чувствителни системи.

Защита на данни

Сигурното работно пространство трябва да предотвратява ненужното преместване на бизнес данни към отдалечени крайни точки. Централизираното предоставяне на приложения или работен плот може да помогне, като запазва файловете и обработката на сървъри, контролирани от организацията, докато изпраща само интерфейса на сесията на потребителя.

Чувствителната информация трябва да остане криптирана както по време на предаване, така и в покой. Системите за резервно копие също трябва да съхраняват защитени копия за възстановяване, които компрометирана производствена сметка не може да модифицира.

За регулирани или конфиденциални данни организациите може също да се нуждаят от одит на достъпа до файлове, политики за съхранение и контрол на предотвратяване на загуба на данни.

Наблюдение и отговор

Аутентикацията и активността на сесиите трябва да създават журнали, които администраторите могат да преглеждат и корелират. Полезни събития включват успешни и неуспешни входове, блокирани връзки, нови източници на местоположение, промени в привилегиите, достъп до файлове и промени в конфигурацията на сигурността.

Уведомленията са най-полезни, когато сочат към поведение, което изисква действие. Повторни неуспешни опити за вход, привилегирован акаунт, свързващ се от ново местоположение, или един източник, опитващ се да достигне до няколко сървъра, са все примери.

Мониторингът помага само когато организацията знае как да реагира. ИТ екипите се нуждаят от ясни процедури за деактивиране на акаунт, изолиране на хост, прекратяване на сесия и запазване на доказателства, когато се появи подозрителна дейност.

Какви са общите заплахи за отдалечените работни пространства?

Атаките срещу отдалечени работни пространства често комбинират няколко обикновени уязвимости, вместо да разчитат на една сложна експлоатация. Разглеждането на вероятния път на атака помага на ИТ екипите да решат кои контроли заслужават най-голямо внимание.

Кражба на удостоверения и фишинг

Фишингът остава един от най-разпространените начини за получаване на удостоверения за отдалечен достъп. Нападателите могат да копират страниците за вход в Microsoft 365, портали за поддръжка или подканвания за многофакторна автентикация, за да измамят потребителите да одобрят достъпа.

Многофакторната автентикация прави откраднатата парола по-малко полезна, но осведомеността на потребителите все още е важна. Привилегированите и високорисковите акаунти също могат да изискват по-силни методи за автентикация, устойчиви на фишинг.

Изложени отдалечени услуги

Услугите за отдалечен достъп, достъпни в интернет, се сканират непрекъснато за слаби идентификационни данни, известни уязвимости и конфигурационни грешки. Пряко излагането на порта 3389 на протокола за отдалечен работен плот създава ненужен риск, когато е наличен метод за достъп чрез шлюз или посредник.

Когато публичното излагане не може да бъде избегнато, ИТ екипите трябва да ограничат източниковите адреси, където е практично, да прилагат бързо актуализации за сигурност, да наложат удостоверяване на ниво мрежа и да наблюдават неуспешните опити за свързване.

Злонамерен софтуер и дейности след влизане

Атакуващ, който получи достъп чрез отдалечен акаунт, може да използва легитимни системни инструменти, за да проучи средата, да увеличи привилегиите и да разпространи зловреден софтуер. Предотвратяването на първоначалния вход е важно, но а план за действие при ransomware за RDS среди трябва също да ограничи до какво може да достигне автентирана сесия.

Сегментация на мрежата, ограничени права, защитени резервни копия и поведенческо наблюдение могат да намалят въздействието на успешен компромис.

Неподдържани устройства и сянка ИТ

Личните устройства и неразрешените облачни услуги могат да преместят данни на компанията извън организационния контрол. Служителите често се обръщат към тези инструменти, защото одобреното работно пространство не отговаря на практическа нужда.

Вместо да разчитат само на забрана, ИТ екипите трябва да се справят с работния процес зад поведението. Надежден браузър портал, одобрен метод за пренос на файлове или услуга за публикуване на приложения може да направи сянката на ИТ по-малко привлекателна.

Как да изградим сигурно отдалечено работно пространство?

Сигурното работно пространство работи най-добре, когато бъде представено като структурирана програма, а не като колекция от несвързани продукти. Следната последователност помага на ИТ екипите да се справят с най-важните рискове първо.

Картографиране на потребители, устройства и ресурси

Започнете с идентифицирането на всички, които се нуждаят от отдалечен достъп. Служители, изпълнители, администратори, доставчици на управлявани услуги и други трети страни трябва да се третират като отделни групи, тъй като техните изисквания и рискове са различни.

За всяка група запишете приложенията, данните, времето за свързване и типовете крайни точки, от които се нуждаят. Тази информация предоставя основата за политиките за достъп.

Намалете ненужното излагане

Следващото Насоки на CISA за осигуряване на софтуер за дистанционен достъп прегледайте всяка интернет услуга за отдален достъп и премахнете всичко, което вече не е необходимо. Когато е възможно, поставете сигурен шлюз, обратен прокси или уеб портал пред сървърите на приложенията вместо да ги публикувате директно.

Публикуването на индивидуални приложения, а не на цели работни станции или мрежи, може да намали допълнително експозицията. По-малката повърхност за достъп обикновено е по-лесна за защита и наблюдение.

Укрепване на удостоверяването

Изисквайте многофакторна автентикация за отдалечени потребители и администратори. Привилегированите акаунти трябва да имат по-строги условия, като отделни удостоверения и достъп от одобрени устройства.

Защитата срещу повторни опити за влизане също трябва да бъде активирана и наблюдавана. Политиките за пароли трябва да насърчават дълги, уникални идентификационни данни, без да разчитат на предсказуеми графици за ротация.

Прилагане на достъп с най-ниски права

Назначете приложения и файлове чрез потребителски или ролеви групи. Всеки човек трябва да получи само достъпа, необходим за текущите му отговорности.

Разрешенията трябва да се преглеждат редовно и да се премахват, когато служителите променят ролите си или изпълнителите завършват работата си. Административните акаунти също трябва да останат отделени от акаунтите, използвани за достъп до приложения в ежедневието.

Защита на крайни точки и сървъри

Поддържайте операционните системи на крайните устройства, браузърите, бизнес приложенията и софтуера за отдалечен достъп актуални. Управляваните устройства също трябва да използват защита на крайните устройства, политики за защитна стена и криптиране на дискове.

Хостовете за отдалечени сесии и сървърите за приложения се нуждаят от същото внимание. ИТ екипите трябва редовно да ги актуализират, да премахват неизползвани услуги и да ги защитават срещу опити за брутфорс, дейности с рансъмуер и неразрешени промени в конфигурацията.

Наблюдавайте целия път за достъп

Събирайте събития от системи за идентичност, шлюзове за дистанционен достъп, Windows сървъри, инструменти за крайни точки и бизнес приложения. Събирането на тези записи улеснява виждането на последователност от дейности, а не на колекция от изолирани предупреждения.

Прагът на отговорите трябва да обхваща повторни неуспехи, необичайни местоположения, привилегировани входове и достъп извън одобрените часове. Политиките също трябва да се преглеждат след инциденти, промени в инфраструктурата и промени в работната сила.

Тест на процедурите за възстановяване

Резервните копия трябва да остават налични дори когато производствените сървъри или удостоверенията са компрометирани. Администрацията на резервните копия трябва да бъде защитена отделно, а процедурите за възстановяване трябва да се тестват по редовен график.

Инцидентните упражнения трябва да потвърдят, че екипът може да отнеме достъп, да изолира системи, да възстанови услуги и да комуникира с потребителите. Докато тези процедури не бъдат тествани, планът за възстановяване остава предположение.

Как можете да изберете технологии за сигурно работно пространство?

Сигурното дистанционно работно пространство обикновено комбинира няколко технологии, като всяка от тях се занимава с различна част от процеса на достъп.

Технология Основна цел Най-подходящо за
Услуги за отдалечен работен плот Централизирани Windows десктопи и сесии Организации, предоставящи пълни работни пространства с Windows
Публикуване на приложения Доставка на избрани приложения Потребители, които не изискват пълен работен плот
Сигурен достъп до шлюз Достъп чрез посредничество без директно излагане на сървъра Интернет-свързани среди за отдалечен достъп
HTML5 уеб портал Достъп през браузър без специален клиент Контрактори, мобилни потребители и смесени крайни точки
Виртуална частна мрежа Криптирана свързаност на мрежово ниво Потребители, изискващи достъп до няколко вътрешни услуги
Многофакторна автентикация Допълнителна проверка на идентичността Всички отдалечени потребители, особено администратори
Endpoint protection Откриване на зловреден софтуер и защита на устройства Управлявани лаптопи, настолни компютри и сървъри
Наблюдение за сигурността Откритие, разследване и отговор Всички производствени среди за отдалечен достъп

Правилната архитектура зависи от това, от което всеки потребител всъщност се нуждае, за да достигне целите си. В повечето случаи ИТ екипите трябва да изберат най-тесния метод за достъп, който все пак поддържа необходимата работа.

Как да оцените решение за сигурно работно пространство?

Изборът на продукт трябва да започне с модела на достъп на организацията, а не с дълъг списък с функции. Първо, ИТ екипите трябва да решат дали потребителите изискват пълен достъп до мрежата, пълни работни станции или само избрани приложения. Даване на широк достъп на всички може да създаде ненужна сложност и риск, когато по-ограничен модел би подкрепил същата работа.

Оценката трябва да се фокусира върху пет области:

  • Идентичност и контрол на достъпа, включително многофакторна автентикация, разрешения на базата на роли и интеграция с съществуващи услуги за идентичност
  • Опции за доставка на приложения и работни станции, поддържани от сигурен шлюз или възможности за обратен прокси
  • Сигурност на сесията, включително политики за пренасочване на устройства, ограничения на активността и администраторски контроли
  • Наблюдение и защита чрез регистриране, известия, отчети, сигурност на сървъра и защита от рансъмуер
  • Оперативна съвместимост, включително усилия за внедряване, актуализации, съвместимост с Windows, мащабируемост и обща цена

Доказателство за концепция трябва да използва реални потребители, приложения, устройства и мрежови условия. То също така трябва да показва как администраторите могат да отнемат достъп, да разследват подозрителна дейност, да прилагат актуализации и да възстановяват услугата след срив на сървъра или инцидент със сигурността.

Как TSplus поддържа сигурно отдалечено работно пространство?

TSplus Advanced Security засилва Windows сървърите, които поддържат дистанционна работа. Добавя специализирана защита срещу заплахи, засягащи сесиите на Remote Desktop Protocol, сървърите за приложения и други Windows среди, достъпни в интернет. Администраторите могат да управляват тези контроли централизирано, за да намалят излагането, без да правят легитимния дистанционен достъп ненужно сложен.

Основните му функции за сигурност включват:

  • Брутфорс защита следи неуспешни опити за вход и блокира IP адреси, които надвишават конфигурираните прагове.
  • Географската защита ограничава входящите връзки в зависимост от страната на произход.
  • Защита от зловреден софтуер открива подозрителна файлова активност и може да блокира засегнатите процеси, преди атаката да се разпространи.
  • Сигурните сесии и разрешенията ограничават какво могат да достъпват и извършват потребителите по време на сесиите в Windows.
  • Работното време ограничава отдалечените връзки до одобрени графици.
  • Доверени устройства свързват достъпа с упълномощени крайни точки.
  • Инструментите за управление на защитната стена и IP помагат на администраторите да разрешават, блокират и преглеждат мрежовите източници.
  • Събитията по сигурността, известията и отчетите предоставят видимост върху подозрителна дейност и действия по политиката.

TSplus Advanced Security трябва да функционира като част от многослойна стратегия за сигурност, която също включва многофакторна автентикация, защита на крайни точки, управление на пачове, защитени резервни копия и администриране с минимални права. Заедно, тези контроли помагат на ИТ екипите да защитят отдалечените работни пространства срещу атаки с брутфорс, рансъмуер и неоторизиран достъп, без да разчитат на единствена защитна мярка.

Заключение

Сигурното работно пространство за дистанционна работа не се определя от конкретен продукт или метод на свързване. То е многослойна среда, която защитава идентичността на потребителя, крайни устройства, мрежови връзки, дистанционни сесии, приложения и бизнес данни като една непрекъсната верига за достъп.

ИТ екипите трябва да намалят ненужното излагане, да наложат силна автентикация и да приложат достъп с минимални права, преди да добавят защита на крайни точки, укрепване на сървъри и централизирано наблюдение. В комбинация с тествани процедури за архивиране и възстановяване, тези мерки създават устойчива работна среда, която подкрепя дистанционната продуктивност, докато ограничава въздействието на компрометирани акаунти, устройства или сесии.

Споделяне:

Facebook Twitter LinkedIn

Вашият екип на TSplus

Допълнително четене

TSplus Remote Desktop Access - Advanced Security Software

FERPA Закон за образованието в САЩ: Ръководство за осигуряване на отдалечен достъп

Разберете FERPA, закона за образованието в САЩ относно отдалечения достъп, конфиденциалността на данните на студентите и ИТ сигурността. Научете задълженията, задълженията на доставчиците и контролните мерки за сигурност на TSplus.

Прочетете статията →
back to top of the page icon