TSplus Advanced Security Logo

Vil du se nettstedet på et annet språk?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Endre språk
Innholdsfortegnelse

Introduksjon

Fjernarbeid og hybridarbeid gir ansatte større fleksibilitet, men de utvider også tilgangen utover det administrerte kontornettverket. Brukere kan koble seg til via hjemme-rutere, offentlig Wi-Fi eller personlige enheter. IT-team trenger derfor et sikkert arbeidsområde som kontrollerer tilgangen, beskytter systemer og data, og som forblir enkelt nok for daglig arbeid.

Hva er et sikkert arbeidsområde for fjernarbeid?

Et sikkert arbeidsområde for fjernarbeid er et kontrollert digitalt miljø der ansatte, kontraktører og administratorer kan få tilgang til selskapets ressurser utenfor kontoret. Avhengig av deres rolle, kan brukere ha behov for et komplett Windows-skrivebord, en spesifikk forretningsapplikasjon, en skyttjeneste eller et administrasjonsverktøy.

Disse tilkoblingene kan komme fra bedriftslaptoper, personlige enheter, kundesteder eller hjemmenettverk. Fordi organisasjonen ikke kontrollerer hver plassering, kan sikkerheten ikke lenger avhenge helt av den tradisjonelle kontorperimeteren. I stedet må beskyttelsen følge brukeren og økten uansett hvor tilkoblingen begynner.

Et arbeidsområde er mer enn en fjernforbindelse

Kryptering er en viktig del av fjernadgang, men en kryptert tilkobling er ikke automatisk en sikker en. Hvis en angriper har stjålet gyldige legitimasjoner, er endepunktet infisert eller brukeren har for mye tilgang, kan den beskyttede tilkoblingen fortsatt misbrukes.

Et sikkert eksternt arbeidsområde samler identitetskontroller, enhetsbeskyttelse, tilgangsbegrensninger, serverbeskyttelse, applikasjonstillatelser og overvåking. Disse tiltakene fungerer best som sammenkoblede lag snarere enn som separate sikkerhetsprosjekter.

Sikkerhetskjeden for ekstern tilgang

Det hjelper å tenke på fjernadgang som en sammenkoblet kjede:

Brukeridentitet → Endepunktsenhet → Nettverksforbindelse → Fjernaksessplattform → Applikasjon → Forretningsdata

Fordi Sikkerheten til Remote Desktop avhenger av sluttpunktets tilstand, nettverksutsettelse og konto kontroll. , en svakhet på noe tidspunkt kan påvirke hele sesjonen. Multifaktorautentisering kan stoppe en angriper fra å bruke et stjålet passord, for eksempel, men det kan ikke beskytte en upatcha applikasjonsserver eller en konto med unødvendige administrative rettigheter. Et sikkert arbeidsområde må derfor beskytte hvert trinn samtidig som tilgangen holdes passende for hver brukers rolle.

Hvorfor er sikre eksterne arbeidsplasser viktige?

Fjernarbeid og hybridarbeid sprer brukere, enheter og tilgangsveier over steder som organisasjoner ikke alltid kan administrere direkte, en utfordring dekket av NIST-veiledning om telearbeid, fjernadgang og BYOD-sikkerhet Ansatte kan koble til via hjemme-rutere, offentlig Wi-Fi, mobile nettverk eller personlige datamaskiner mens de arbeider med sensitive applikasjoner og data.

Som et resultat trenger IT-team en klar oversikt over hvem som kobler til, hvilken enhet de bruker, hva de prøver å nå, og om tilkoblingen samsvarer med forventet atferd.

Fjernarbeid fjerner den tradisjonelle perimetern.

I et konvensjonelt kontor skapte nettverkskontroller en klar grense rundt brukere og systemer. Fjernarbeid endrer den modellen fordi legitime forbindelser nå begynner utenfor det interne nettverket.

Angripere kan målrette mot eksponerte Remote Desktop Protocol-tjenester, svakt beskyttede porter, gjenbrukte passord, upatchede virtuelle private nettverksapparater og kompromitterte endepunkter. Når de logger inn med gyldige legitimasjoner, kan aktiviteten deres i utgangspunktet se lik ut som en autorisert brukers. Dette er grunnen til at identitet, enhetskontekst og sesjonsatferd nå spiller en så viktig rolle i sikkerheten for fjernarbeid.

Sikkerhetskontroller må bevare brukervennlighet

Sikkerhetstiltak som gjør normalt arbeid for vanskelig kan skape sine egne problemer. Når det godkjente arbeidsområdet er tregt, forvirrende eller upålitelig, kan brukere lagre passord usikkert, flytte filer gjennom personlige tjenester eller ta i bruk ikke-godkjente applikasjoner.

Et godt utformet sikkert arbeidsområde reduserer risikoen uten å legge til unødvendig friksjon. Ansatte bør bare se de applikasjonene de trenger, nå dem gjennom en konsekvent tilgangsvei og fullføre autentisering uten unødvendig kompleksitet. Samtidig bør sentraliserte retningslinjer og logger gjøre den opplevelsen enklere for IT-teamene å administrere.

Kjerne sikkerhetslagene i et eksternt arbeidsområde

Ingen enkelt teknologi kan beskytte fjernarbeid alene. Et motstandsdyktig arbeidsområde bruker flere forsvarslag slik at svikt i en kontroll ikke umiddelbart eksponerer applikasjoner eller data.

Identitet og autentisering

Identitetskontroller avgjør om noen skal få lov til å starte en ekstern økt. Passord spiller fortsatt en rolle i de fleste autentiseringssystemer, men de er ikke nok til å beskytte mot phishing, gjenbruk av passord og innlegging av legitimasjoner.

Fjernbrukere og administratorer bør bruke multifaktorautentisering der det er mulig. Politikker for kontolås, innloggingshastighetsgrenser og varsler for gjentatte feil gir et ekstra lag med beskyttelse. Organisasjoner bør også fjerne inaktive kontoer raskt og holde standardbrukeridentiteter adskilt fra privilegerte administrative kontoer.

Endepunkt tillit

Endepunktet er enheten som den eksterne tilkoblingen starter fra. Selv når brukeren er legitim, kan en kompromittert datamaskin eksponere legitimasjon, introdusere skadelig programvare eller tillate sensitive filer å forlate organisasjonen.

Administrerte enheter bør motta oppdateringer av operativsystemet, endepunktsdeteksjon og respons, beskyttelse mot skadelig programvare, brannmurpolitikker og disk-kryptering. IT-team må også bestemme om brukere kan lagre data lokalt, omdirigere utklippstavler eller koble lokale stasjoner til en ekstern økt.

Bring Your Own Device-retningslinjer bør definere minimum sikkerhetskrav for personlig utstyr. Når organisasjonen ikke kan stole fullt ut på en enhet, kan nettleserbasert applikasjonstilgang eller en begrenset ekstern økt bidra til å redusere lokal datatilgang.

Kontrollert ekstern tilgang

Tilgangslaget bestemmer hvordan brukere får tilgang til interne applikasjoner og skrivebord. Når det er mulig, bør IT-team unngå å eksponere backend-applikasjonsservere direkte mot internett. En sikker gateway, omvendt proxy eller webportal kan gi et kontrollert inngangspunkt i stedet.

Applikasjonspublisering kan redusere eksponeringen enda mer. En ansatt innen finans som bare trenger en regnskapsapplikasjon, trenger kanskje ikke tilgang til et fullt skrivebord eller det bredere interne nettverket.

Uansett sikkert fjernaksessmodell organisasjonen velger, den bør tilby krypterte kommunikasjoner, detaljerte brukeroppgaver og sentralisert sesjonskontroll. Virtuelle private nettverk forblir nyttige når brukere virkelig trenger nettverksnivåtilkobling, men de er ikke alltid det beste standardvalget for hver fjernarbeider.

Applikasjons- og sesjonsikkerhet

Sikkerhet slutter ikke når en bruker logger inn. Fjerntilkoblinger bør fortsette å begrense tilgangen til applikasjonene, filene, skriverne og administrative funksjoner som kreves for brukerens arbeid.

Rollebasert tilgangskontroll og minste privilegium bidrar til å redusere skaden en kompromittert konto kan forårsake. Sesjonsutløp, begrensninger på arbeidstimer og retningslinjer for enhetsomdirigering kan også begrense uovervåket eller upassende tilgang.

Privilegerte økter krever enda strengere kontroller. Administratorer bør bruke separate kontoer, godkjente enheter og ytterligere overvåking når de arbeider med sensitive systemer.

Databeskyttelse

Et sikkert arbeidsområde bør forhindre unødvendig flytting av forretningsdata til eksterne endepunkter. Sentralisert applikasjons- eller skrivebordslevering kan hjelpe ved å holde filer og behandling på servere kontrollert av organisasjonen, samtidig som det kun sendes brukergrensesnittet for sesjonen til brukeren.

Sensitiv informasjon bør forbli kryptert både under overføring og i hvile. Backup-systemer bør også oppbevare beskyttede gjenopprettingskopier som en kompromittert produksjonskonto ikke kan endre.

For regulert eller konfidensiell data kan organisasjoner også ha behov for filtilgangsrevisjon, oppbevaringspolitikker og kontroller for datatapforebygging.

Overvåking og respons

Autentisering og sesjonsaktivitet bør opprette logger som administratorer kan gjennomgå og korrelere. Nyttige hendelser inkluderer vellykkede og mislykkede pålogginger, blokkerte tilkoblinger, nye kildeplasseringer, endringer i privilegier, filtilgang og endringer i sikkerhetskonfigurasjonen.

Varsler er mest nyttige når de peker på atferd som krever handling. Gjentatte påloggingsfeil, en privilegert konto som kobler til fra et nytt sted, eller én kilde som prøver å nå flere servere, er alle eksempler.

Overvåking hjelper kun når organisasjonen vet hvordan de skal reagere. IT-team trenger klare prosedyrer for å deaktivere en konto, isolere en vert, avslutte en økt og bevare bevis når mistenkelig aktivitet oppstår.

Hva er de vanlige truslene mot fjernarbeidsplasser?

Angrep på fjernarbeidsplasser kombinerer ofte flere vanlige svakheter i stedet for å stole på ett sofistikert utnyttelse. Å se på den sannsynlige angrepsveien hjelper IT-team med å avgjøre hvilke kontroller som fortjener mest oppmerksomhet.

Legitimasjonsstjeling og phishing

Phishing forblir en av de vanligste måtene å skaffe seg legitimasjon for ekstern tilgang. Angripere kan kopiere Microsoft 365 påloggingssider, støtteportaler eller varsler om multifaktorautentisering for å lure brukere til å godkjenne tilgang.

Flere faktorer for autentisering gjør et stjålet passord mindre nyttig, men brukerbevissthet er fortsatt viktig. Privilegerte og høy-risiko kontoer kan også kreve sterkere, phishing-resistente autentiseringsmetoder.

Eksponerte eksterne tjenester

Internett-vendte fjernaksess tjenester skannes kontinuerlig for svake legitimasjoner, kjente sårbarheter og konfigurasjonsfeil. Å eksponere Remote Desktop Protocol-port 3389 direkte skaper unødvendig risiko når en gateway eller formidlet tilgangsmetode er tilgjengelig.

Når offentlig eksponering ikke kan unngås, bør IT-team begrense kildeadresser der det er praktisk, raskt anvende sikkerhetsoppdateringer, håndheve autentisering på nettverksnivå og overvåke mislykkede tilkoblingsforsøk.

Ransomware og aktivitet etter pålogging

En angriper som får tilgang gjennom en ekstern konto kan bruke legitime systemverktøy for å utforske miljøet, heve privilegier og distribuere ransomware. Å forhindre den innledende påloggingen er viktig, men en ransomware playbook for RDS-miljøer må også begrense hva en autentisert økt kan nå.

Nettverkssegmentering, begrensede tillatelser, beskyttede sikkerhetskopier og atferdsovervåking kan redusere virkningen av et vellykket kompromiss.

Uadministrerte enheter og sky-IT

Personlige enheter og uautoriserte skytjenester kan flytte bedriftsdata utenfor organisasjonens kontroll. Ansatte tyr ofte til disse verktøyene fordi det godkjente arbeidsområdet ikke støtter et praktisk behov.

I stedet for å bare stole på forbud, bør IT-teamene ta tak i arbeidsflyten bak atferden. En pålitelig nettleserportal, godkjent filoverføringsmetode eller applikasjonspubliseringstjeneste kan gjøre sky-IT mindre attraktivt.

Hvordan bygge et sikkert eksternt arbeidsområde?

Et sikkert arbeidsområde fungerer best når det introduseres som et strukturert program snarere enn som en samling av urelaterte produkter. Følgende sekvens hjelper IT-team med å håndtere de viktigste risikoene først.

Kartlegg brukere, enheter og ressurser

Start med å identifisere alle som trenger fjernadgang. Ansatte, entreprenører, administratorer, forvaltede tjenesteleverandører og andre tredjeparter bør behandles som separate grupper fordi deres krav og risiko er forskjellige.

For hver gruppe, registrer applikasjonene, dataene, tilkoblingstidene og endepunkttypene de trenger. Denne informasjonen gir grunnlaget for tilgangspolicyer.

Reduser unødvendig eksponering

Følgende CISA-veiledning for sikring av programvare for fjernadgang , gjennomgå alle internettvendte fjernaksess-tjenester og fjern alt som ikke lenger er nødvendig. Når det er mulig, plasser en sikker gateway, omvendt proxy eller webportal foran applikasjonsservere i stedet for å publisere dem direkte.

Å publisere individuelle applikasjoner i stedet for komplette skrivebord eller nettverk kan redusere eksponeringen ytterligere. En mindre tilgangsoverflate er vanligvis lettere å beskytte og overvåke.

Styrk autentisering

Krev multifaktorautentisering for eksterne brukere og administratorer. Privilegerte kontoer bør ha strengere betingelser, som separate legitimasjoner og tilgang fra godkjente enheter.

Beskyttelse mot gjentatte påloggingsforsøk bør også aktiveres og overvåkes. Passordpolicyer bør oppmuntre til lange, unike legitimasjoner uten å stole på forutsigbare rotasjonsplaner.

Bruk minst privilegert tilgang

Tildel applikasjoner og filer gjennom bruker- eller rollebaserte grupper. Hver person bør motta kun den tilgangen som er nødvendig for deres nåværende ansvar.

Tillatelser bør gjennomgås regelmessig og fjernes når ansatte endrer roller eller kontraktører avslutter arbeidet sitt. Administrative kontoer bør også forbli separate fra kontoer som brukes til daglig applikasjonstilgang.

Beskytt endepunkter og servere

Hold operativsystemer for endepunkter, nettlesere, forretningsapplikasjoner og programvare for ekstern tilgang oppdatert. Administrerte enheter bør også bruke endepunktbeskyttelse, brannmurpolitikker og disk-kryptering.

Fjernsesjonsverter og applikasjonsservere trenger den samme oppmerksomheten. IT-team bør oppdatere dem regelmessig, fjerne ubrukte tjenester og beskytte dem mot brute-force-forsøk, ransomware-aktivitet og uautoriserte konfigurasjonsendringer.

Overvåk den komplette tilgangsveien

Samle hendelser fra identitetssystemer, fjernadgangsporter, Windows-servere, endepunktsverktøy og forretningsapplikasjoner. Å samle disse registrene gjør det lettere å se en sekvens av aktiviteter i stedet for en samling av isolerte varsler.

Responssterskler bør dekke gjentatte feil, uvanlige steder, privilegerte pålogginger og tilgang utenfor godkjente arbeidstider. Retningslinjer bør også gjennomgås etter hendelser, endringer i infrastrukturen og endringer i arbeidsstyrken.

Test gjenopprettingsprosedyrer

Sikkerhetskopier må forbli tilgjengelige selv når produksjonsservere eller legitimasjoner er kompromittert. Administrasjon av sikkerhetskopier bør beskyttes separat, og gjenopprettingsprosedyrer bør testes på en regelmessig tidsplan.

Hendelsesøvelser bør bekrefte at teamet kan tilbakekalle tilgang, isolere systemer, gjenopprette tjenester og kommunisere med brukere. Inntil disse prosedyrene har blitt testet, forblir gjenopprettingsplanen en antakelse.

Hvordan kan du velge sikre arbeidsplasseteknologier?

Et sikkert eksternt arbeidsområde kombinerer vanligvis flere teknologier, der hver av dem tar for seg en annen del av tilgangsprosessen.

Teknologi Primært formål Best egnet for
Eksterne skrivebordstjenester Sentraliserte Windows-skrivebord og økter Organisasjoner som leverer komplette Windows-arbeidsplasser
Applikasjonspublisering Levering av valgte applikasjoner Brukere som ikke trenger et fullverdig skrivebord
Sikker tilgang gateway Mekanisert tilgang uten direkte servereksponering Internett-vendte fjernaksessmiljøer
HTML5 nettportal Nettleserbasert tilgang uten en dedikert klient Entreprenører, mobile brukere og blandede endepunkter
Virtuelt privat nettverk Kryptert nettverksnivåtilkobling Brukere som krever tilgang til flere interne tjenester
Multi-faktorautentisering Ytterligere identitetsverifisering Alle eksterne brukere, spesielt administratorer
Endpoint protection Malwaredeteksjon og enhetsbeskyttelse Administrerte bærbare datamaskiner, stasjonære datamaskiner og servere
Sikkerhetsmonitorering Deteksjon, etterforskning og respons Alle produksjonsmiljøer for ekstern tilgang

Den rette arkitekturen avhenger av hva hver bruker faktisk trenger for å nå frem. I de fleste tilfeller bør IT-team velge den smaleste tilgangsmetoden som fortsatt støtter det nødvendige arbeidet.

Hvordan vurdere en sikker arbeidsplassløsning?

Produktutvalget bør starte med organisasjonens tilgangsmodell i stedet for en lang sjekkliste med funksjoner. Først må IT-teamene avgjøre om brukerne trenger full nettverkstilgang, komplette skrivebord eller bare utvalgte applikasjoner. Å gi alle bred tilgang kan skape unødvendig kompleksitet og risiko når en mer begrenset modell ville støtte det samme arbeidet.

Evalueringen bør fokusere på fem områder:

  • Identitets- og tilgangskontroller, inkludert multifaktorautentisering, rollebaserte tillatelser og integrasjon med eksisterende identitetstjenester
  • Leveringsalternativer for applikasjoner og skrivebord, støttet av sikre gateway- eller omvendte proxy-funksjoner
  • Sesjonsikkerhet, inkludert enhetsomdirigeringspolicyer, aktivitetsbegrensninger og administratorkontroller
  • Overvåking og beskyttelse gjennom logging, varsler, rapporter, serversikkerhet og ransomware-forsvar
  • Operasjonell tilpasning, inkludert distribusjonsinnsats, oppdatering, Windows-kompatibilitet, skalerbarhet og totale kostnader

Et bevis på konseptet bør bruke ekte brukere, applikasjoner, enheter og nettverksforhold. Det bør også vise hvordan administratorer kan tilbakekalle tilgang, undersøke mistenkelig aktivitet, bruke oppdateringer og gjenopprette tjenesten etter en serverfeil eller sikkerhetshendelse.

Hvordan støtter TSplus et sikkert eksternt arbeidsområde?

TSplus Advanced Security styrker Windows-serverne som støtter fjernarbeid. Det legger til spesialisert beskyttelse mot trusler som påvirker Remote Desktop Protocol-økter, applikasjonsservere og andre Windows-miljøer som er tilgjengelige på internett. Administratorer kan administrere disse kontrollene sentralt for å redusere eksponeringen uten å gjøre legitim fjernadgang unødvendig komplisert.

Dens hovedsikkerhetsfunksjoner inkluderer:

  • Bruteforce Protection overvåker mislykkede påloggingsforsøk og blokkerer IP-adresser som overskrider konfigurerte terskler.
  • Geografisk beskyttelse begrenser innkommende forbindelser i henhold til deres opprinnelsesland.
  • Ransomware Protection oppdager mistenkelig filaktivitet og kan blokkere berørte prosesser før et angrep sprer seg.
  • Sikre økter og tillatelser begrenser hva brukere kan få tilgang til og utføre under Windows-økter.
  • Arbeidstimer begrenser eksterne tilkoblinger til godkjente tidsplaner.
  • Betrodde enheter knytter tilgang til autoriserte endepunkter.
  • Brannmur- og IP-administrasjonsverktøy hjelper administratorer med å tillate, blokkere og gjennomgå nettverkskilder.
  • Sikkerhetshendelser, varsler og rapporter gir innsikt i mistenkelig aktivitet og policyhandlinger.

TSplus Advanced Security skal fungere som en del av en lagdelt sikkerhetsstrategi som også inkluderer multifaktorautentisering, endepunktsbeskyttelse, patchadministrasjon, beskyttede sikkerhetskopier og minste privilegium-administrasjon. Sammen hjelper disse kontrollene IT-team med å beskytte eksterne arbeidsplasser mot brute-force angrep, ransomware og uautorisert tilgang uten å stole på et enkelt forsvarstiltak.

Konklusjon

Et sikkert arbeidsområde for fjernarbeid defineres ikke av et spesifikt produkt eller tilkoblingsmetode. Det er et lagdelt miljø som beskytter brukeridentitet, sluttpunktsenheter, nettverkstilkoblinger, fjernøkter, applikasjoner og forretningsdata som en kontinuerlig tilgangskjede.

IT-team bør redusere unødvendig eksponering, håndheve sterk autentisering og anvende minste privilegium tilgang før de legger til endpoint-beskyttelse, serverherding og sentralisert overvåking. Kombinert med testede sikkerhetskopierings- og gjenopprettingsprosedyrer, skaper disse tiltakene et motstandsdyktig arbeidsområde som støtter fjernproduktivitet samtidig som de begrenser virkningen av kompromitterte kontoer, enheter eller økter.

Del:

Facebook Twitter LinkedIn

Ditt TSplus Team

Videre lesning

back to top of the page icon