TSplus Advanced Security Logo

Chtěli byste vidět stránku v jiném jazyce?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Změnit jazyk
Obsah

Úvod

Remote a hybridní práce posunuly přístup k podnikání za hranice firemní sítě. Zaměstnanci se nyní připojují z domovů, zákaznických míst a veřejných sítí prostřednictvím spravovaných nebo osobních zařízení. IT týmy musí zabezpečit toto širší prostředí, aniž by schválený přístup učinily tak obtížným, že se zaměstnanci uchylují k nebezpečným zkratkám nebo nepodporovaným nástrojům.

Co je bezpečnost vzdálené pracovní síly?

Bezpečnost vzdálené pracovní síly je kombinací politik, procesů a technických kontrol používaných k ochraně lidí, kteří přistupují k organizačním zdrojům mimo centrálně spravovanou kancelářskou síť.

Ti lidé mohou být zaměstnanci, dodavateli, administrátory, poskytovateli spravovaných služeb nebo jinými autorizovanými třetími stranami. Mohou se připojit z domácí kanceláře jeden den a z místa zákazníka druhý den, někdy používají firemní počítač a jindy osobní zařízení.

Zajištění této činnosti zahrnuje mnohem více než šifrování síťového připojení. V praxi IT týmy chrání celou řetězec přístupu:

Uživatelská identita → koncové zařízení → síťové připojení → platforma pro vzdálený přístup → aplikace → data

Proč bezpečnost vzdálené pracovní síly vyžaduje vrstvy

Slabina v jakékoli fázi může oslabit kontroly kolem ní. Vícefaktorová autentizace může snížit riziko krádeže hesla, ale nemůže odstranit malware z neopraveného počítače. Šifrování může chránit provoz před odposlechem, ale nemůže zabránit nadměrně privilegovanému účtu v otevírání souborů, které uživatel nepotřebuje.

Bezpečnost vzdálené pracovní síly tedy funguje nejlépe jako vrstvený systém. Ochrana identity, správa koncových bodů, řízený přístup, omezená oprávnění, monitorování a obnova si všechny musí navzájem podporovat.

Co pokrývá bezpečnost vzdálené pracovní síly?

Rozsah zabezpečení vzdálené pracovní síly je širší než jen notebook, který zaměstnanec používá, nebo brána, která přijímá připojení. Zahrnuje každou součást zapojenou do dosažení, používání a správy obchodního zdroje.

Systémy, aplikace a data

Uživatelé na dálku mohou potřebovat přístup k:

  • Interní obchodní aplikace
  • Windows desktopy a servery
  • Sdílení souborů a databáze
  • Cloud a platformy Software jako služba
  • Nástroje pro e-mail a spolupráci
  • Vývojové a výrobní prostředí
  • Administrativní rozhraní
  • Infrastruktura zálohování a obnovy

Tyto zdroje nenesou stejnou úroveň rizika. Otevření obecného firemního portálu je velmi odlišné od správy produkčního serveru nebo stahování zákaznických záznamů. Bezpečnost vzdálené pracovní síly by měla odrážet tyto rozdíly místo toho, aby se na každý systém vztahovala jedna politika.

Zařízení a vzdálené relace

Zařízení používaná pro vzdálenou práci jsou také součástí bezpečnostní hranice. Počítače spravované společností mohou dodržovat centrálně vynucované politiky pro opravy, šifrování a ochranu koncových bodů. Osobní zařízení jsou obtížněji ovladatelná, takže mohou vyžadovat přístup založený na prohlížeči, izolaci aplikací nebo přísnější omezení.

Vzdálená relace také potřebuje pozornost. Přístup ke schránce, přenosy souborů, mapování místních disků, přesměrování tiskáren a USB připojení mohou podporovat legitimní práci. Zároveň může každá funkce poskytnout cestu pro únik dat nebo přenos malwaru. IT týmy by měly rozhodnout, které funkce každá uživatelská skupina skutečně potřebuje.

Operační procesy

Bezpečnost na dálku také závisí na rutinní administraci. Správa účtů, revize oprávnění, odchod dodavatelů, správa záplat a testování záloh přímo ovlivňují bezpečnost prostředí.

Zapomenutý účet dodavatele nebo neopravená brána může oslabit jinak dobře navrženou architekturu. Bezpečnost vzdálené pracovní síly musí proto zahrnovat procesy, které udržují technické kontroly přesné v průběhu času.

Proč mění vzdálená práce bezpečnostní model?

Tradiční podniková bezpečnost předpokládala, že uživatelé pracují v prostorách společnosti, používají zařízení spravovaná organizací a připojují se prostřednictvím chráněných interních sítí. Firewally a další perimetrické kontroly oddělovaly důvěryhodné zdroje od veřejného internetu.

Práce na dálku činí tuto hranici méně jasnou. Zaměstnanec se může připojit přes spotřebitelský router, který IT nemůže zkontrolovat, zatímco dodavatel může používat osobní počítač bez centralizované ochrany koncových bodů. Správci také mohou potřebovat přistupovat k kritickým systémům z sítí sdílených s neznámými uživateli.

Služby vzdáleného přístupu a podnikové aplikace mohou být také dostupné z internetu. To útočníkům poskytuje více příležitostí k prozkoumání služeb, testování přihlašovacích údajů a cílení na neopravenou infrastrukturu.

Bezpečnostní týmy proto potřebují více kontextu, než povolí přístup. Identita, síla autentizace, stav zařízení, umístění, role uživatele, čas připojení a požadovaný zdroj jsou všechny důležité. Připojení by nemělo být důvěryhodné pouze proto, že uživatel zadal správné heslo nebo přišel z důvěryhodné sítě.

Jaká jsou hlavní bezpečnostní rizika vzdálené pracovní síly?

Práce na dálku zvyšuje vystavení několika známým hrozbám. Tyto rizika zřídka zůstávají izolovaná, a proto může jedno kompromitované heslo nebo koncový bod rychle vést k širšímu přístupu.

Kompromitované přihlašovací údaje a útoky na autentizaci

Phishing, opakované používání hesel, infostealer malware a credential stuffing mohou útočníkům poskytnout platná uživatelská jména a hesla. Jakmile je útočník autentizován, může otevřít aplikace, navázat vzdálenou relaci nebo hledat vyšší oprávnění.

Internetové přihlašovací služby na veřejnosti také přitahují útoky hrubou silou a na stříkání hesel Služby protokolu Remote Desktop, webové portály, brány Virtual Private Network a administrativní rozhraní jsou běžné cíle.

Vícefaktorová autentizace, správci hesel, omezení rychlosti a detekce abnormálních přihlášení ztěžují dokončení těchto útoků. Cílem není pouze chránit heslo, ale také rozpoznat, kdy jsou platné přihlašovací údaje používány neobvykle.

Otevřené služby vzdálené plochy

Remote Desktop Protocol je standardní způsob přístupu k systémům Windows, ale exponování RDP hostitele přímo na veřejném internetu vytváří zbytečné riziko. Útočníci mohou najít dostupné systémy, testovat přihlašovací údaje a cílit na slabiny v okolní infrastruktuře.

Připojení k vzdálené ploše by obvykle měla procházet zabezpečeným portálem, zprostředkovatelem nebo vrstvou publikování aplikací. To chrání hostitele relací před přímým vystavením internetu a poskytuje správcům centrální místo pro vynucení autentizace, přístupových politik a protokolování.

Neřízená zařízení a malware

Politiky přinášení vlastních zařízení poskytují zaměstnancům flexibilitu, ale snižují kontrolu organizace nad konfigurací koncových bodů. Osobní zařízení může postrádat aktuální aktualizace, šifrování celého disku, detekci koncových bodů nebo zabezpečená nastavení prohlížeče.

Remote endpoint může být také ohrožen prostřednictvím škodlivých příloh, falešných aktualizací, nebezpečných rozšíření nebo neoprávněného softwaru. Jakmile malware dosáhne zařízení nebo relace, může cílit na přihlašovací údaje, sdílené složky, mapované disky a připojené servery.

Organizace by měly rozhodnout, ke kterým zdrojům mohou mít přístup neřízená zařízení. Citlivé administrativní a výrobní systémy by měly zůstat nedostupné, když zařízení nemůže splnit stanovené bezpečnostní požadavky.

Nadměrná oprávnění a laterální pohyb

Remote access je často širší, než by mělo být. Dodavatelé mohou mít oprávnění i po skončení projektu; standardní uživatelé mohou mít zachována práva místního administrátora a podpůrné týmy se mohou spoléhat na sdílené privilegované účty.

Pokud je jeden účet ohrožen, nadměrná oprávnění dávají útočníkovi více systémů k prozkoumání a více dat k dosažení. Přístup by měl odrážet skutečnou roli uživatele.

Osoba, která potřebuje jednu publikovanou aplikaci, by neměla automaticky získat kompletní desktop nebo široké síťové připojení. Segmentace by také měla zabránit tomu, aby se kompromitovaná relace dostala k záložním systémům, řadičům domény nebo nesouvisejícím produkčním zdrojům.

Shadow IT a únik dat

Zaměstnanci někdy přijímají nebezpečné nástroje, protože schválený proces je příliš pomalý nebo omezující. Mohou používat osobní e-mail, spotřebitelské úložné služby nebo neschválenou aplikaci pro vzdálený přístup.

Blokování těchto nástrojů je pouze částí odpovědi. IT týmy také potřebují pochopit, proč je zaměstnanci používají. Spolehlivý prohlížečový portál nebo služba publikování aplikací může efektivněji vyřešit problém s pracovním tokem než další varování v politice.

Povolený přístup ke schránce, mapování jednotek a nastavení přenosu souborů mohou vyvolat podobné obavy. Tyto funkce mohou usnadnit práci, ale také mohou přesunout citlivá data mimo spravované systémy.

Expozice relace a omezená viditelnost

Autentizace je pouze začátek vzdálené relace. Uživatel může nechat zařízení odemčené, udržovat aktivní token prohlížeče nebo zapomenout se odpojit od citlivého systému.

Časové limity nečinnosti, automatické uzamčení a opětovné ověření mohou snížit toto vystavení. Přísnější politiky mohou být vhodné pro administrátory, dodavatele a uživatele, kteří manipulují s citlivými informacemi.

IT týmy musí také být schopny vidět, co se děje. Vzdálená aktivita je často rozptýlena napříč identitními platformami, koncovými body, bránami, aplikacemi a servery. Když záznamy zůstávají fragmentované, podezřelé události je obtížnější spojit a vyšetřování incidentů trvá déle.

Jaké jsou sedm vrstev ochrany vzdálené pracovní síly?

Žádný jednotlivý produkt nemůže sám o sobě zabezpečit distribuovanou pracovní sílu. Účinná ochrana pochází z několika vrstev, které snižují pravděpodobnost kompromitace, omezují její dopad a podporují obnovu.

Posílení identity a autentizace

Identita je jednou z hlavních bezpečnostních hranic v vzdáleném prostředí. Vícefaktorová autentizace by měla chránit vzdálené plochy, VPN připojení, cloudové aplikace, administrativní účty a další citlivé operace.

Kde je to možné, organizace by měly přijmout metody odolné vůči phishingu. Autentizace založená na aplikacích je obecně výhodnější než spoléhat se pouze na SMS kódy, ačkoli volba bude záviset na již zavedených systémech.

Základní identita zvuku zahrnuje:

  • Jedinečný účet pro každého uživatele
  • Oddělte standardní a privilegované identity administrátorů
  • Definované datum vypršení platnosti pro přístup dodavatele
  • Automatizované deaktivace nečinných účtů
  • Pravidelné kontroly oprávnění a členství ve skupinách

Monitorování autentizace přidává další vrstvu. Opakované selhání, neočekávané registrace zařízení nebo přístup z neobvyklých míst mohou odhalit útok, i když je použito správné heslo.

Použijte přístup s nejmenšími oprávněními

Uživatelé na dálku by měli dostávat pouze systémy a aplikace potřebné pro svou práci. Široký přístup k síti může být snadné nakonfigurovat, ale činí kompromitovaný účet mnohem užitečnějším pro útočníka.

Řízení přístupu na základě rolí pomáhá sladit oprávnění s pracovními povinnostmi. Časově omezená správa a schvalovací pracovní postupy mohou dále snížit počet trvale privilegovaných účtů.

Windows prostředí také poskytují správcům možnost volby mezi dodáním kompletního desktopu a publikováním konkrétní aplikace. Když uživatelé potřebují pouze jeden nebo dva obchodní nástroje, publikování aplikací může snížit zbytečné vystavení, zatímco si zachovává známý zážitek.

Nejmenší privilegium by mělo zůstat praktické. Příliš restriktivní oprávnění vytvářejí problémy s podporou a mohou povzbudit k obcházení. Cílem je poskytnout dostatečný přístup pro danou roli, ale ne více.

Zpevněte a spravujte koncové body

Každé vzdálené zařízení je potenciálním vstupním bodem, takže firemně spravované koncové body potřebují konzistentní bezpečnostní základnu. Minimálně by to mělo zahrnovat:

  • Automatizované aktualizace operačního systému a aplikací
  • Ochrana proti detekci koncových bodů a proti malwaru
  • Šifrování celého disku a pravidla brány firewall na úrovni hostitele
  • Zamykání obrazovky a omezená práva místního správce
  • Ovládání prohlížeče, rozšíření a aplikací
  • Inventář zařízení a centralizovaná telemetrie

Počítač, který přestal hlásit, zmeškal důležité aktualizace nebo deaktivoval svůj bezpečnostní agent, by neměl nadále dostávat stejný přístup jako vyhovující zařízení.

Osobní zařízení vyžadují jiný přístup. Správa mobilních zařízení, přístup přes prohlížeč, aplikační kontejnery a publikované aplikace mohou snížit množství obchodních dat uložených lokálně, aniž by bylo nutné, aby IT spravovalo každý aspekt zařízení.

Zabezpečte cestu pro vzdálený přístup

Vzdálená připojení potřebují aktuální šifrování, silnou autentizaci a přesně definovaná pravidla přístupu. Serverové hostitele a správcovské rozhraní by neměly být vystaveny veřejnému internetu bez jasného provozního důvodu.

Brána nebo broker může centralizovat přístup k vzdáleným desktopům a aplikacím. Dává správcům jedno místo pro vynucení oprávnění, sledování připojení a udržení interních hostitelů relací mimo přímé vystavení.

Veřejně přístupné komponenty stále vyžadují pečlivou údržbu. Nepoužívané porty by měly být uzavřeny, nepodporované protokoly deaktivovány a brány by měly být rychle opraveny. Výchozí účty a zastaralé služby by měly být odstraněny, spíše než aby byly ponechány na místě pro pohodlí.

Geografická a IP-založená omezení mohou snížit nežádoucí provoz, ale měly by doplňovat autentizaci, spíše než ji nahrazovat. Útočníci mohou směrovat aktivitu přes proxy, cloudové služby nebo kompromitované systémy v povolených oblastech.

Segmentové systémy a ochrana dat

Úspěšné vzdálené přihlášení by nemělo otevřít celou interní síť. Segmentace by měla oddělit běžné vzdálené uživatele od administrátorů, dodavatelů, výrobních systémů, záložní infrastruktury a dalších citlivých prostředí.

Pravidla mezi těmito oblastmi by měla odrážet skutečné obchodní požadavky. Uživatel, který potřebuje finanční aplikaci, by neměl automaticky získat síťovou viditelnost do vývojových serverů nebo správcovských rozhraní.

Aplikace také potřebují autorizaci na základě rolí, časové limity relací, auditní protokoly a omezení na export dat. Šifrování chrání informace během přenosu a v klidu, ale oprávnění stále určují, kdo je může používat.

Nastavení vzdálené relace by se měla lišit podle role. Sdílení schránky nebo přístup k místnímu disku může být nezbytný pro jeden tým a nevhodný pro jiný. Jedna povolující politika pro každého uživatele je snazší na správu, ale zřídka odráží skutečné riziko.

Záplata a monitorování celého zásobníku

Patching koncových bodů je důležité, ale vzdálený přístup závisí na širší technologické infrastruktuře. Brány, zprostředkovatelé, hostitelé vzdálených desktopů, VPN infrastruktura, firewally, identity služby, webové portály, prohlížeče a bezpečnostní agenty všechny vyžadují aktualizace.

Zranitelnosti související s internetem a autentizací si zaslouží prioritu, protože útočníci je mohou cílit, aniž by nejprve vstoupili do interní sítě. Nepodporované produkty by měly být aktualizovány, izolovány nebo nahrazeny.

Monitoring by měl být zaměřen na události, které pomáhají správcům jednat:

  • Opakované selhání ověření
  • Nové administrátorské účty nebo změny oprávnění
  • Přístup mimo běžnou pracovní dobu
  • Deaktivované koncové body nebo bezpečnostní služby
  • Neobvyklé změny souborů nebo přenosy dat
  • Připojení z neznámých zařízení nebo míst

Kvalita upozornění je také důležitá. Správci potřebují účet, zdrojové zařízení, IP adresu, čas, místo a požadovaný zdroj, ne jen zprávu, která říká, že se přihlášení zdá podezřelé.

Připravte se na obnovení a školení uživatelů

Preventivní opatření snižují riziko, ale nemohou zaručit, že k incidentu nikdy nedojde. Zálohy by měly používat samostatné administrativní přihlašovací údaje a zůstat izolovány od standardních uživatelských účtů. Měly by být také šifrovány, monitorovány a pravidelně testovány.

Testování obnovy musí přesáhnout obnovení vzorového souboru. IT týmy by měly potvrdit, že mohou obnovit identity služby, infrastrukturu vzdáleného přístupu a kritické aplikační servery v rámci cílů obnovy organizace.

Zaměstnanci mají také praktickou roli v oblasti bezpečnosti. Musí rozpoznávat pokusy o phishing, chránit autentizační zařízení, hlásit neočekávané výzvy a vědět, jak kontaktovat IT prostřednictvím ověřeného kanálu.

Školení funguje nejlépe, když je stručné a spojeno s nástroji, které lidé používají každý den. Zaměstnanci mají větší pravděpodobnost, že budou dodržovat bezpečnostní politiku, když je schválený vzdálený přístup jasný, spolehlivý a rozumně snadno použitelný.

Jak vytvořit strategii zabezpečení pro vzdálenou pracovní sílu?

Program zabezpečení vzdálené pracovní síly by měl být vyvíjen v kontrolované sekvenci. Přidávání nesouvisejících produktů bez prvotního pochopení uživatelů, systémů a rizik často vytváří větší složitost, aniž by poskytovalo konzistentní ochranu.

Inventář prostředí

Začněte identifikací, kdo se připojuje vzdáleně, jaká zařízení používají a jaké zdroje potřebují. Zahrňte zaměstnance, administrátory, dodavatele, poskytovatele služeb a další třetí strany.

Inventář by měl také zaznamenávat veřejně přístupné služby, privilegované účty, citlivé úložiště dat a nepodporované systémy. Neznámé majetky a zapomenuté účty nelze spolehlivě spravovat.

Klasifikovat přístup podle rizika

Ne každé vzdálené připojení vyžaduje stejnou ochranu. Administrativní přístup k produkčnímu serveru má jiný dopad než přístup k obecnému internímu portálu.

Klasifikace rizik by měla zohlednit uživatelské oprávnění, vlastnictví zařízení, citlivost dat, vystavení internetu a obchodní důležitost zdroje. Tyto faktory pomáhají určit, které připojení vyžadují silnější autentizaci, spravovaná zařízení nebo podrobnější monitoring.

Definujte vymahatelnou politiku

The politika vzdáleného přístupu mělo by vysvětlit, které metody připojení jsou schválené, jaké standardy musí zařízení splňovat a kdy je vyžadována vícefaktorová autentizace. Mělo by také pokrýt osobní zařízení, zpracování dat, protokolování, odchod dodavatelů a schvalování výjimek.

Politika je spolehlivější, když ji technologie vynucuje. Psaná pravidla mohou uživatelům říkat, aby se nedostávali k produkčním systémům z osobních zařízení, ale kontrola přístupu, která blokuje připojení, poskytuje silnější ochranu.

Zaměřte se nejprve na nejvyšší rizika

Počáteční implementace může následovat zaměřenou sekvenci:

  1. Odstraňte zbytečné služby přístupné z internetu.
  2. Chraňte vzdálený přístup pomocí vícefaktorové autentizace.
  3. Záplata pro vystavené brány a servery.
  4. Eliminujte sdílené, nečinné a nadměrně privilegované účty.
  5. Nasazení ochrany koncových bodů a kontrol souladu zařízení.
  6. Segmentujte vzdálené uživatele od citlivých systémů.
  7. Centralizujte protokoly a otestujte obnovení zálohy.

Tato sekvence se zabývá běžnými cestami do prostředí před tím, než se přejde k podrobnějším vylepšením.

Testujte a zlepšujte ovládací prvky

Nové ovládací prvky by měly být testovány s reprezentativními uživateli, zařízeními, lokalitami a aplikacemi. Spojení s vysokou latencí, požadavky na přístupnost a scénáře nouzového přístupu mohou odhalit problémy, které laboratorní testy přehlédnou.

Organizace může poté sledovat malou sadu užitečných ukazatelů, jako je pokrytí vícefaktorovou autentizací, shoda s opravami, veřejná expozice, čísla privilegovaných účtů, doba vyšetřování upozornění a úspěšnost obnovení záloh.

Tyto měření by měla ukázat, zda riziko klesá, ne pouze to, zda bezpečnostní tým vykonává více úkolů.

Jak TSplus Advanced Security podporuje ochranu Remote Access?

TSplus Advanced Security přidává zaměřenou ochrannou vrstvu na Windows Server a prostředí vzdálené plochy. Může doplnit kontroly identity, ochranu koncových bodů a zálohy tím, že pomáhá správcům řešit běžné hrozby vzdáleného přístupu prostřednictvím centralizovaného rozhraní.

Jeho hlavní schopnosti zahrnují:

  • Ochrana proti hrubé síle a blokování škodlivých IP adres
  • Geografická omezení a kontroly důvěryhodných zařízení
  • Zásady zabezpečené relace pro různé uživatele a skupiny
  • Ransomware protection
  • Centralizované bezpečnostní události a upozornění

Tyto schopnosti mohou pomoci správcům snížit vystavení, uplatnit konzistentní přístupová omezení a dříve identifikovat podezřelé chování. Jsou obzvlášť relevantní tam, kde servery Windows a služby vzdálené plochy podporují distribuované zaměstnance nebo externí uživatele.

TSplus Advanced Security zůstává jednou částí širší architektury. Organizace stále potřebují vícefaktorovou autentizaci, včasné záplaty, oprávnění s nejmenšími privilegii, ochranu koncových bodů, segmentaci a testovanou obnovu.

Závěr

Bezpečnost vzdálené pracovní síly závisí na několika kontrolách, které spolupracují. Silná identita, spravované koncové body, omezený přístup, snížená expozice, užitečné monitorování a testovaná obnova chrání různé části stejného prostředí. Nejdůmyslnější strategie také udržuje schválený vzdálený přístup jasný a praktický pro zaměstnance, administrátory a externí uživatele.

Sdílet:

Facebook Twitter LinkedIn

Váš tým TSplus

Další čtení

back to top of the page icon