TSplus Advanced Security Logo

Chceli by ste vidieť stránku v inom jazyku?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Zmeniť jazyk
Obsah

Úvod

Remote a hybridná práca poskytujú zamestnancom väčšiu flexibilitu, ale tiež rozširujú prístup mimo spravovanej kancelárskej siete. Používatelia sa môžu pripojiť cez domáce smerovače, verejné Wi-Fi alebo osobné zariadenia. IT tímy preto potrebujú bezpečné pracovisko, ktoré kontroluje prístup, chráni systémy a dáta a zostáva dostatočne jednoduché na každodennú prácu.

Čo je bezpečný pracovný priestor pre prácu na diaľku?

Bezpečné pracovisko pre prácu na diaľku je kontrolované digitálne prostredie, kde môžu zamestnanci, dodávatelia a administrátori pristupovať k firemným zdrojom mimo kancelárie. V závislosti od ich úlohy môžu používatelia potrebovať kompletnú pracovnú plochu Windows, konkrétnu obchodnú aplikáciu, cloudovú službu alebo administratívny nástroj.

Tieto pripojenia môžu pochádzať z firemných prenosných počítačov, osobných zariadení, zákazníckych lokalít alebo domácich sietí. Pretože organizácia nekontroluje každé miesto, bezpečnosť sa už nemôže úplne spoliehať na tradičný kancelársky obvod. Namiesto toho musí ochrana sledovať používateľa a reláciu, kdekoľvek sa pripojenie začína.

Pracovný priestor je viac než len vzdialené pripojenie.

Šifrovanie je dôležitou súčasťou vzdialeného prístupu, ale šifrované pripojenie nie je automaticky bezpečné. Ak útočník ukradol platné poverenia, koncový bod je infikovaný alebo používateľ má nadmerné oprávnenia, to chránené pripojenie môže byť stále zneužité.

Bezpečné vzdialené pracovisko spája kontroly identity, ochranu zariadení, obmedzenia prístupu, zabezpečenie servera, povolenia aplikácií a monitorovanie. Tieto opatrenia fungujú najlepšie ako prepojené vrstvy, než ako samostatné bezpečnostné projekty.

Bezpečnostný reťazec vzdialeného prístupu

Pomáha si predstaviť vzdialený prístup ako prepojený reťazec:

Identita používateľa → Koncové zariadenie → Sieťové pripojenie → Platforma vzdialeného prístupu → Aplikácia → Obchodné údaje

Pretože Bezpečnosť vzdialeného pracovného stola závisí od stavu koncových bodov, vystavenia siete a kontroly účtov. , slabina v akomkoľvek bode môže ovplyvniť celú reláciu. Viacfaktorová autentifikácia môže zastaviť útočníka, ktorý používa ukradnuté heslo, napríklad, ale nemôže chrániť neopravovaný aplikačný server alebo účet s nepotrebnými administratívnymi právami. Bezpečný pracovný priestor preto musí chrániť každú fázu, pričom prístup musí byť primeraný úlohe každého používateľa.

Prečo sú zabezpečené vzdialené pracoviská dôležité?

Remote a hybridná práca rozširuje používateľov, zariadenia a prístupové cesty naprieč lokalitami, ktoré organizácie nemôžu vždy priamo spravovať, čo predstavuje výzvu pokrytú NIST pokyny k telepráci, vzdialenému prístupu a bezpečnosti BYOD Zamestnanci sa môžu pripojiť cez domáce smerovače, verejné Wi-Fi, mobilné siete alebo osobné počítače pri práci s citlivými aplikáciami a údajmi.

Ako výsledok, IT tímy potrebujú jasný prehľad o tom, kto sa pripája, aké zariadenie používajú, čo sa snažia dosiahnuť a či pripojenie zodpovedá očakávanému správaniu.

Práca na diaľku odstraňuje tradičný perimetr.

V bežnej kancelárii vytvorili sieťové kontroly jasnú hranicu okolo používateľov a systémov. Práca na diaľku mení tento model, pretože legitímne pripojenia teraz začínajú mimo internú sieť.

Útočníci môžu cieliť na vystavené služby protokolu Remote Desktop, slabšie chránené portály, opakované heslá, neopravované zariadenia virtuálnej privátnej siete a kompromitované koncové body. Akonáhle sa prihlásia s platnými povereniami, ich aktivita môže spočiatku vyzerať podobne ako aktivita autorizovaného používateľa. Preto teraz identita, kontext zariadenia a správanie relácie zohrávajú takú kľúčovú úlohu v bezpečnosti vzdialenej práce.

Bezpečnostné kontroly musia zachovať použiteľnosť

Bezpečnostné opatrenia, ktoré robia normálnu prácu príliš ťažkou, môžu vytvárať vlastné problémy. Keď je schválené pracovisko pomalé, mätúce alebo nespolehlivé, používatelia môžu ukladať heslá nezabezpečene, prenášať súbory prostredníctvom osobných služieb alebo prijímať neschválené aplikácie.

Dobre navrhnuté zabezpečené pracovisko znižuje riziko bez pridávania zbytočnej frustrácie. Zamestnanci by mali vidieť iba aplikácie, ktoré potrebujú, dosiahnuť ich prostredníctvom konzistentnej prístupovej cesty a dokončiť autentifikáciu bez zbytočnej zložitosti. Zároveň by centralizované politiky a záznamy mali uľahčiť túto skúsenosť IT tímom na správu.

Jadro bezpečnostných vrstiev vzdialeného pracoviska

Žiadna jednotlivá technológia nemôže sama o sebe chrániť vzdialenú prácu. Odolný pracovný priestor využíva niekoľko obranných vrstiev, aby zlyhanie jednej kontroly okamžite neodhalilo aplikácie alebo údaje.

Identita a autentifikácia

Identifikačné kontroly určujú, či by niekto mal mať povolené začať vzdialenú reláciu. Heslá stále zohrávajú úlohu vo väčšine autentifikačných systémov, ale nie sú dostatočné na ochranu pred phishingom, opakovaným používaním hesiel a naplnením poverení.

Diaľkoví používatelia a administrátori by mali používať viacfaktorovú autentifikáciu, kdekoľvek je to možné. Politiky zamykania účtov, obmedzenia rýchlosti prihlásenia a upozornenia na opakované zlyhania pridávajú ďalšiu vrstvu ochrany. Organizácie by mali tiež okamžite odstrániť neaktívne účty a udržiavať štandardné používateľské identity oddelené od privilegovaných administratívnych účtov.

Dôvera v koncový bod

Koncový bod je zariadenie, z ktorého sa začína vzdialené pripojenie. Aj keď je používateľ legitímny, kompromitovaný počítač môže odhaliť poverenia, zaviesť malware alebo umožniť odchod citlivých súborov z organizácie.

Spravované zariadenia by mali dostávať aktualizácie operačného systému, detekciu a reakciu na koncové body, ochranu pred malvérom, politiky firewallu a šifrovanie disku. IT tímy tiež musia rozhodnúť, či môžu používatelia ukladať údaje lokálne, presmerovať schránky alebo pripojiť miestne disky k vzdialenej relácii.

Politiky Bring Your Own Device by mali definovať minimálne bezpečnostné požiadavky pre osobné zariadenia. Keď organizácia nemôže plne dôverovať koncovému zariadeniu, prístup k aplikáciám založeným na prehliadači alebo obmedzená vzdialená relácia môžu pomôcť znížiť vystavenie miestnym údajom.

Ovládaný vzdialený prístup

Prístupová vrstva určuje, ako sa používatelia dostanú k interným aplikáciám a desktopom. Kedykoľvek je to možné, IT tímy by sa mali vyhnúť priamemu vystaveniu backendových aplikačných serverov internetu. Bezpečná brána, reverzný proxy server alebo webový portál môžu poskytnúť kontrolovaný vstupný bod.

Publikovanie aplikácií môže ešte viac znížiť vystavenie. Zamestnanec v oblasti financií, ktorý potrebuje iba účtovnú aplikáciu, nemusí potrebovať prístup k plnej pracovnej ploche alebo širšej vnútornej sieti.

Čokoľvek bezpečný model vzdialeného prístupu organizácia si vyberá, mala by poskytovať šifrovanú komunikáciu, podrobné priradenia používateľov a centralizovanú kontrolu relácií. Virtuálne privátne siete zostávajú užitočné, keď používatelia skutočne potrebujú pripojenie na úrovni siete, ale nie sú vždy najlepšou voľbou pre každého vzdialeného pracovníka.

Bezpečnosť aplikácií a relácií

Bezpečnosť nekončí, keď sa používateľ prihlási. Diaľkové relácie by mali naďalej obmedzovať prístup k aplikáciám, súborom, tlačiarňam a administratívnym funkciám potrebným pre prácu používateľa.

Riadenie prístupu na základe rolí a minimálne oprávnenia pomáhajú znížiť škody, ktoré môže spôsobiť kompromitovaný účet. Časové obmedzenia relácií, obmedzenia pracovných hodín a politiky presmerovania zariadení môžu tiež obmedziť nepozorovaný alebo nevhodný prístup.

Privilegované relácie si vyžadujú ešte prísnejšiu kontrolu. Správcovia by mali používať samostatné účty, schválené zariadenia a dodatočné monitorovanie pri práci so citlivými systémami.

Ochrana údajov

Bezpečné pracovisko by malo zabrániť zbytočnému pohybu obchodných údajov na vzdialené koncové body. Centralizované doručovanie aplikácií alebo pracovných plôch môže pomôcť tým, že uchováva súbory a spracovanie na serveroch pod kontrolou organizácie, pričom používateľovi posiela iba rozhranie relácie.

Citlivé informácie by mali zostať šifrované počas prenosu aj v pokoji. Zálohovacie systémy by mali tiež uchovávať chránené obnovovacie kópie, ktoré nemôže upraviť kompromitovaný produkčný účet.

Pre regulované alebo dôverné údaje môžu organizácie potrebovať aj audit prístupu k súborom, politiky uchovávania a kontroly prevencie straty údajov.

Monitorovanie a reakcia

Autentifikácia a aktivita relácie by mali vytvárať záznamy, ktoré môžu administrátori preskúmať a korelovať. Užitočné udalosti zahŕňajú úspešné a neúspešné prihlásenia, zablokované pripojenia, nové zdrojové umiestnenia, zmeny oprávnení, prístup k súborom a zmeny v konfigurácii zabezpečenia.

Upozornenia sú najviac užitočné, keď poukazujú na správanie, ktoré si vyžaduje akciu. Opakované zlyhania prihlásenia, privilegovaný účet pripojujúci sa z novej lokality alebo jeden zdroj snažiaci sa dosiahnuť niekoľko serverov sú všetky príklady.

Monitoring iba pomáha, keď organizácia vie, ako reagovať. IT tímy potrebujú jasné postupy na deaktiváciu účtu, izoláciu hostiteľa, ukončenie relácie a uchovanie dôkazov, keď sa objaví podozrivá aktivita.

Aké sú bežné hrozby pre vzdialené pracoviská?

Útoky na vzdialené pracoviská často kombinujú niekoľko bežných slabín namiesto toho, aby sa spoliehali na jeden sofistikovaný exploit. Pohľad na pravdepodobnú cestu útoku pomáha IT tímom rozhodnúť, ktoré kontroly si zaslúžia najväčšiu pozornosť.

Krádež poverení a phishing

Phishing zostáva jedným z najbežnejších spôsobov, ako získať poverenia na vzdialený prístup. Útočníci môžu kopírovať prihlasovacie stránky Microsoft 365, portály podpory alebo výzvy na viacfaktorovú autentifikáciu, aby oklamali používateľov, aby schválili prístup.

Viacfaktorová autentifikácia robí ukradnuté heslo menej užitočným, ale povedomie používateľov je stále dôležité. Privilegované a vysokorizikové účty môžu tiež vyžadovať silnejšie metódy autentifikácie odolné voči phishingu.

Exponované vzdialené služby

Služby vzdialeného prístupu smerujúce na internet sú neustále skenované na slabé poverenia, známe zraniteľnosti a chyby v konfigurácii. Priame vystavenie portu 3389 protokolu Remote Desktop vytvára zbytočné riziko, keď je k dispozícii brána alebo sprostredkovaná metóda prístupu.

Keď sa verejnému vystaveniu nedá vyhnúť, IT tímy by mali obmedziť zdrojové adresy, kde je to praktické, rýchlo aplikovať bezpečnostné aktualizácie, vynucovať autentifikáciu na úrovni siete a monitorovať neúspešné pokusy o pripojenie.

Ransomware a aktivita po prihlásení

Útočník, ktorý získa prístup cez vzdialený účet, môže použiť legitímne systémové nástroje na preskúmanie prostredia, zvýšenie oprávnení a nasadenie ransomvéru. Prevencia počiatočného prihlásenia je dôležitá, ale a príručka pre ransomware pre prostredia RDS musí tiež obmedziť, čo môže autentifikovaná relácia dosiahnuť.

Segmentácia siete, obmedzené oprávnenia, chránené zálohy a behaviorálne monitorovanie môžu znížiť dopad úspešného narušenia.

Nezabezpečené zariadenia a tieňová IT

Osobné zariadenia a neoprávnené cloudové služby môžu prenášať firemné údaje mimo organizačnej kontroly. Zamestnanci sa často obracajú na tieto nástroje, pretože schválené pracovisko nepodporuje praktickú potrebu.

Namiesto toho, aby sa spoliehali iba na zákaz, by sa IT tímy mali zaoberať pracovným tokom za správaním. Spoľahlivý prehliadačový portál, schválená metóda prenosu súborov alebo služba publikovania aplikácií môžu urobiť tieňové IT menej atraktívnym.

Ako vytvoriť bezpečné vzdialené pracovisko?

Bezpečný pracovný priestor funguje najlepšie, keď je zavedený ako štruktúrovaný program, nie ako zbierka nesúvisiacich produktov. Nasledujúca sekvencia pomáha IT tímom najprv sa zaoberať najdôležitejšími rizikami.

Mapovanie používateľov, zariadení a zdrojov

Začnite identifikovaním všetkých, ktorí potrebujú vzdialený prístup. Zamestnanci, dodávatelia, administrátori, poskytovatelia spravovaných služieb a iné tretie strany by mali byť považovaní za samostatné skupiny, pretože ich požiadavky a riziká sú odlišné.

Pre každú skupinu zaznamenajte aplikácie, údaje, časy pripojenia a typy koncových bodov, ktoré vyžadujú. Tieto informácie tvoria základ pre prístupové politiky.

Znížte zbytočné vystavenie

Nasledujúce CISA pokyny na zabezpečenie softvéru na vzdialený prístup , skontrolujte každú internetovú službu vzdialeného prístupu a odstráňte všetko, čo už nie je potrebné. Ak je to možné, umiestnite zabezpečenú bránu, reverzný proxy server alebo webový portál pred aplikačné servery namiesto ich priameho zverejnenia.

Publikovanie jednotlivých aplikácií namiesto celých desktopov alebo sietí môže ďalej znížiť vystavenie. Menšia prístupová plocha sa zvyčajne ľahšie chráni a monitoruje.

Posilniť autentifikáciu

Vyžadujte viacfaktorovú autentifikáciu pre vzdialených používateľov a administrátorov. Privilegované účty by mali mať prísnejšie podmienky, ako sú samostatné poverenia a prístup z schválených zariadení.

Ochrana proti opakovaným pokusom o prihlásenie by mala byť tiež povolená a monitorovaná. Politiky hesiel by mali podporovať dlhé, jedinečné poverenia bez spoliehania sa na predvídateľné rozvrhy rotácie.

Použiť prístup s minimálnymi oprávneniami

Priraďte aplikácie a súbory prostredníctvom skupín založených na používateľoch alebo rolách. Každá osoba by mala získať iba prístup potrebný pre svoje aktuálne povinnosti.

Práva by sa mali pravidelne kontrolovať a odstraňovať, keď zamestnanci menia pozície alebo dodávatelia dokončia svoju prácu. Administratívne účty by mali zostať oddelené od účtov používaných na každodenný prístup k aplikáciám.

Chráňte koncové body a servery

Udržujte operačné systémy koncových bodov, prehliadače, obchodné aplikácie a softvér na vzdialený prístup aktuálne. Spravované zariadenia by mali tiež používať ochranu koncových bodov, politiky firewallu a šifrovanie disku.

Hostitelia vzdialených relácií a aplikačné servery potrebujú rovnakú pozornosť. IT tímy by ich mali pravidelne aktualizovať, odstraňovať nepoužívané služby a chrániť ich pred pokusmi o hrubú silu, aktivitou ransomvéru a neoprávnenými zmenami konfigurácie.

Sledujte kompletnú prístupovú cestu

Zbierajte udalosti z identifikačných systémov, brán vzdialeného prístupu, serverov Windows, nástrojov koncových bodov a obchodných aplikácií. Spojenie týchto záznamov uľahčuje vidieť sekvenciu aktivít namiesto zbierky izolovaných upozornení.

Práhové hodnoty odpovede by mali pokrývať opakované zlyhania, nezvyčajné lokality, privilegované prihlásenia a prístup mimo schválených hodín. Politiky by sa mali tiež prehodnotiť po incidentoch, zmenách infraštruktúry a zmenách v pracovnej sile.

Testovanie postupov obnovy

Zálohy musia zostať dostupné aj v prípade, že sú produkčné servery alebo poverenia ohrozené. Správa záloh by mala byť chránená samostatne a postupy obnovy by sa mali pravidelne testovať.

Cvičenia incidentov by mali potvrdiť, že tím môže odobrať prístup, izolovať systémy, obnoviť služby a komunikovať s používateľmi. Kým nebudú tieto postupy otestované, plán obnovy zostáva predpokladom.

Ako si môžete vybrať bezpečné technológie pracovného prostredia?

Bezpečný vzdialený pracovný priestor zvyčajne kombinuje niekoľko technológií, pričom každá z nich sa zaoberá inou časťou procesu prístupu.

Technológia Hlavný účel Najlepšie sa hodí na
Služby vzdialeného plochy Centralizované Windows pracovné plochy a relácie Organizácie poskytujúce plné pracovné prostredia Windows
Publikovanie aplikácií Doručenie vybraných aplikácií Používatelia, ktorí nepotrebujú plnú pracovnú plochu
Bezpečnostná prístupová brána Zprostredkovaný prístup bez priameho vystavenia servera Internetové prostredia pre vzdialený prístup s prístupom na internet
HTML5 web portál Prístup cez prehliadač bez dedikovaného klienta Dodávatelia, mobilní používatelia a zmiešané koncové body
Virtuálna privátna sieť Šifrované pripojenie na úrovni siete Používatelia vyžadujúci prístup k viacerým interným službám
Viacfaktorová autentifikácia Dodatočné overenie identity Všetci vzdialení používatelia, najmä administrátori
Endpoint protection Detekcia malvéru a ochrana zariadenia Spravované prenosné počítače, stolné počítače a servery
Bezpečnostné monitorovanie Detekcia, vyšetrovanie a reakcia Všetky prostredia vzdialeného prístupu na výrobu

Správna architektúra závisí od toho, čo každý používateľ skutočne potrebuje na dosiahnutie svojich cieľov. V väčšine prípadov by IT tímy mali zvoliť najúzkejšiu metódu prístupu, ktorá stále podporuje požadovanú prácu.

Ako vyhodnotiť bezpečné pracovné prostredie?

Výber produktu by mal začať modelom prístupu organizácie, a nie dlhým zoznamom funkcií. Najprv sa IT tímy musia rozhodnúť, či používatelia potrebujú plný prístup k sieti, kompletné pracovné plochy alebo len vybrané aplikácie. Poskytnutie širokého prístupu všetkým môže vytvoriť zbytočnú zložitost a riziko, keď by obmedzenejší model podporoval rovnakú prácu.

Hodnotenie by sa malo zamerať na päť oblastí:

  • Identita a prístupové kontroly, vrátane viacfaktorovej autentifikácie, oprávnení založených na rolách a integrácie s existujúcimi identitnými službami
  • Možnosti doručenia pre aplikácie a pracovné plochy, podporované zabezpečeným bránou alebo schopnosťami reverzného proxy.
  • Bezpečnosť relácie, vrátane politík presmerovania zariadení, obmedzení činnosti a administrátorských kontrol
  • Monitorovanie a ochrana prostredníctvom protokolovania, upozornení, správ, zabezpečenia servera a obrany proti ransomwaru
  • Prevádzková vhodnosť, vrátane úsilia o nasadenie, opravy, kompatibility s Windows, škálovateľnosti a celkových nákladov

Dôkaz konceptu by mal používať skutočných používateľov, aplikácie, zariadenia a podmienky siete. Mal by tiež ukázať, ako môžu administrátori odobrať prístup, vyšetrovať podozrivú aktivitu, aplikovať aktualizácie a obnoviť službu po zlyhaní servera alebo bezpečnostnom incidente.

Ako TSplus podporuje bezpečné vzdialené pracovisko?

TSplus Advanced Security posilňuje servery Windows, ktoré podporujú vzdialenú prácu. Pridáva špecializovanú ochranu proti hrozbám ovplyvňujúcim relácie protokolu Remote Desktop, aplikačné servery a iné prostredia Windows vystavené internetu. Správcovia môžu tieto kontroly spravovať centrálne, aby znížili vystavenie bez zbytočného zloženia legitímneho vzdialeného prístupu.

Hlavné bezpečnostné funkcie zahŕňajú:

  • Bruteforce Protection monitoruje neúspešné pokusy o prihlásenie a blokuje IP adresy, ktoré prekročia nastavené prahové hodnoty.
  • Geografická ochrana obmedzuje prichádzajúce pripojenia podľa ich krajiny pôvodu.
  • Ransomware Protection detekuje podozrivú aktivitu súborov a môže zablokovať ovplyvnené procesy predtým, ako sa útok rozšíri.
  • Bezpečné relácie a oprávnenia obmedzujú, čo môžu používatelia pristupovať a vykonávať počas relácií Windows.
  • Pracovné hodiny obmedzujú vzdialené pripojenia na schválené rozvrhy.
  • Dôveryhodné zariadenia spájajú prístup s autorizovanými koncovými bodmi.
  • Nástroje na správu firewallu a IP pomáhajú administrátorom povoliť, blokovať a kontrolovať sieťové zdroje.
  • Bezpečnostné udalosti, upozornenia a správy poskytujú prehľad o podozrivej činnosti a akciách politiky.

TSplus Advanced Security mala by fungovať ako súčasť stratégií zabezpečenia s viacerými vrstvami, ktorá zahŕňa aj viacfaktorovú autentifikáciu, ochranu koncových bodov, správu záplat, chránené zálohy a administráciu s minimálnymi oprávneniami. Spoločne tieto kontroly pomáhajú IT tímom chrániť vzdialené pracoviská pred útokmi hrubou silou, ransomvérom a neoprávneným prístupom bez spoliehania sa na jedinú obrannú opatrenie.

Záver

Bezpečný pracovný priestor pre vzdialenú prácu nie je definovaný konkrétnym produktom alebo metódou pripojenia. Je to viacúrovňové prostredie, ktoré chráni identitu používateľa, koncové zariadenia, sieťové pripojenia, vzdialené relácie, aplikácie a obchodné údaje ako jeden nepretržitý prístupový reťazec.

IT tímy by mali znížiť zbytočné vystavenie, vynútiť silnú autentifikáciu a aplikovať prístup s minimálnymi oprávneniami pred pridaním ochrany koncových bodov, zabezpečením servera a centralizovaným monitorovaním. V kombinácii s overenými postupmi zálohovania a obnovy tieto opatrenia vytvárajú odolný pracovný priestor, ktorý podporuje vzdialenú produktivitu a zároveň obmedzuje dopad kompromitovaných účtov, zariadení alebo relácií.

Zdieľať:

Facebook Twitter LinkedIn

Váš tím TSplus

Ďalšie čítanie

back to top of the page icon