)
)
介绍
远程和混合工作已将业务访问扩展到企业网络之外。员工现在通过管理或个人设备从家中、客户现场和公共网络连接。IT团队必须在不使批准的访问变得如此困难以至于员工转向不安全的捷径或不受支持的工具的情况下,确保这个更广泛的环境的安全。
什么是远程员工安全?
远程员工安全是用于保护在集中管理的办公室网络外访问组织资源的人员的政策、流程和技术控制的组合。
这些人可能是员工、承包商、管理员、托管服务提供商或其他授权的第三方。他们可能一天从家庭办公室连接,第二天从客户现场连接,有时使用公司计算机,有时使用个人设备。
确保该活动的安全涉及的不仅仅是加密网络连接。实际上,IT团队正在保护完整的访问链:
用户身份 → 终端设备 → 网络连接 → 远程访问平台 → 应用程序 → 数据
为什么远程员工安全需要多层保护
任何阶段的弱点都可能削弱其周围的控制。多因素身份验证可以降低密码被盗的风险,但无法从未修补的计算机中移除恶意软件。加密可以保护流量不被拦截,但无法防止特权过高的账户打开用户不需要的文件。
远程员工安全因此作为一个分层系统效果最佳。身份保护、端点管理、受控访问、有限权限、监控和恢复都需要相互支持。
远程员工安全涵盖哪些内容?
远程员工安全的范围比员工使用的笔记本电脑或接受连接的网关更广泛。它包括与访问、使用和管理业务资源相关的每个组件。
系统、应用程序和数据
远程用户可能需要访问:
- 内部业务应用程序
- Windows桌面和服务器
- 文件共享和数据库
- 云和软件即服务平台
- 电子邮件和协作工具
- 开发和生产环境
- 管理界面
- 备份和恢复基础设施
这些资源并不具有相同的风险水平。打开一个普通的公司门户与管理生产服务器或下载客户记录是非常不同的。远程员工的安全应反映这些差异,而不是对每个系统应用相同的政策。
设备和远程会话
用于远程工作的设备也是安全边界的一部分。公司管理的计算机可以遵循集中强制的补丁、加密和端点保护政策。个人设备更难以控制,因此可能需要基于浏览器的访问、应用程序隔离或更严格的限制。
远程会话也需要关注。剪贴板访问、文件传输、本地驱动器映射、打印机重定向和USB连接可以支持合法工作。同时,每个功能都可能为数据泄露或恶意软件传输提供途径。IT团队应决定每个用户组真正需要哪些功能。
操作流程
远程安全还依赖于日常管理。账户配置、权限审查、承包商离职、补丁管理和备份测试直接影响环境的安全性。
被遗忘的承包商账户或未修补的网关可能会削弱原本设计良好的架构。因此,远程工作安全必须包括保持技术控制随时间准确的过程。
为什么远程工作会改变安全模型?
传统企业安全假设用户在公司场所工作,使用组织管理的设备,并通过受保护的内部网络连接。防火墙和其他边界控制将受信任的资源与公共互联网隔离。
远程工作使得界限变得不那么明确。员工可能通过IT无法检查的消费级路由器连接,而承包商可能使用没有集中端点保护的个人计算机。管理员也可能需要从与未知用户共享的网络访问关键系统。
远程访问服务和业务应用程序也可能通过互联网访问。这给攻击者提供了更多机会来扫描服务、测试凭据和针对未修补的基础设施。
因此,安全团队在允许访问之前需要更多的上下文。身份、认证强度、设备状态、位置、用户角色、连接时间和请求的资源都很重要。仅仅因为用户输入了正确的密码或来自熟悉的网络,连接就不应该被信任。
远程员工安全风险主要有哪些?
远程工作增加了对几种熟悉威胁的暴露。这些风险很少保持孤立,这就是为什么一个被泄露的密码或终端可以迅速导致更广泛的访问。
被泄露的凭据和身份验证攻击
网络钓鱼、密码重用、信息窃取恶意软件和凭证填充可以使攻击者获得有效的用户名和密码。一旦身份验证通过,攻击者可能会打开应用程序、建立远程会话或寻求更高的权限。
面向互联网的登录服务也吸引 暴力破解和密码喷洒攻击 远程桌面协议服务、网络门户、虚拟私人网络网关和管理接口是常见的攻击目标。
多因素身份验证、密码管理器、速率限制和异常登录检测使这些攻击更难完成。目标不仅是保护密码,还要识别何时有效凭据被异常使用。
暴露的远程桌面服务
远程桌面协议是一种访问Windows系统的标准方式,但 将RDP主机直接暴露在公共互联网中 创造可避免的风险。攻击者可以找到可接触的系统,测试凭据并针对周围基础设施的弱点。
远程桌面连接通常应通过安全网关、代理或应用程序发布层进行。这可以使会话主机远离直接的互联网暴露,并为管理员提供一个集中管理身份验证、访问策略和日志记录的地方。
未管理设备和恶意软件
自带设备政策为员工提供了灵活性,但它们降低了组织对终端配置的控制。个人设备可能缺乏最新更新、全盘加密、终端检测或安全浏览器设置。
远程终端也可能通过恶意附件、虚假更新、不安全的扩展或未经授权的软件受到攻击。一旦恶意软件进入设备或会话,它可能会针对凭据、共享文件夹、映射驱动器和连接的服务器。
组织应决定未管理设备可以访问哪些资源。当设备无法满足定义的安全要求时,敏感的管理和生产系统应保持不可用。
过度权限和横向移动
远程访问通常比必要的范围更广。承包商在项目结束后可能会保留权限;标准用户可能会保留本地管理员权限,支持团队可能依赖于共享的特权账户。
如果一个账户被攻破,过多的权限会给攻击者更多的系统可供探索和更多的数据可供获取。访问权限应反映用户的实际角色。
需要一个已发布应用程序的人不应自动获得完整的桌面或广泛的网络连接。分段还应防止被攻击的会话访问备份系统、域控制器或无关的生产资源。
影子IT和数据泄露
员工有时会采用不安全的工具,因为批准的流程太慢或限制太多。他们可能会使用个人电子邮件、消费者存储服务或未经授权的远程访问应用程序。
阻止这些工具只是答案的一部分。IT团队还需要了解员工使用它们的原因。一个可靠的浏览器门户或应用程序发布服务可能比其他政策警告更有效地解决工作流程问题。
宽松的剪贴板访问、驱动器映射和文件传输设置可能会引发类似的担忧。这些功能可能会使工作变得更轻松,但它们也可能将敏感数据移出受管系统。
会话暴露和有限可见性
身份验证只是远程会话的开始。用户可能会将设备解锁,保持浏览器令牌处于活动状态或忘记从敏感系统断开连接。
空闲超时、自动锁定和重新身份验证可以减少这种风险。对于管理员、承包商和处理敏感信息的用户,可能需要更严格的政策。
IT团队还必须能够看到发生了什么。远程活动通常分散在身份平台、终端、网关、应用程序和服务器之间。当日志保持碎片化时,怀疑事件更难以关联,事件调查所需的时间也更长。
远程员工保护的七个层面是什么?
没有单一产品可以单独保护分布式劳动力。有效的保护来自多个层次,这些层次减少了被攻破的机会,限制了其影响,并支持恢复。
加强身份和认证
身份是远程环境中主要的安全边界之一。多因素身份验证应保护远程桌面、VPN连接、云应用程序、管理账户和其他敏感操作。
在可能的情况下,组织应采用抗钓鱼的方法。基于应用程序的身份验证通常比仅依赖短信验证码更可取,尽管选择将取决于已有的系统。
声音身份基线包括:
- 每个用户一个独特的账户
- 分离标准和特权管理员身份
- 为承包商访问定义的到期日期
- 自动停用闲置账户
- 常规权限和组成员资格审查
身份验证监控增加了另一层保护。重复的失败、意外的设备注册或来自不寻常位置的访问可能会揭示攻击,即使使用了正确的密码。
应用最小权限访问
远程用户应仅接收其工作所需的系统和应用程序。广泛的网络访问可能易于配置,但这使得被攻击者利用的受损账户变得更加有用。
基于角色的访问控制有助于将权限与工作职责对齐。时间限制的管理和审批工作流程可以进一步减少永久特权账户的数量。
Windows环境还为管理员提供了在交付完整桌面和发布特定应用程序之间进行选择。当用户只需要一两个业务工具时,应用程序发布可以减少不必要的暴露,同时保持熟悉的体验。
最小权限应保持实用。过于严格的权限会导致支持问题,并可能鼓励变通。目标是为角色提供足够的访问权限,但不多于此。
加强和管理终端
每个远程设备都是一个潜在的入口点,因此公司管理的终端需要一个一致的安全基线。至少,这应该涵盖:
- 自动化操作系统和应用程序更新
- 端点检测和反恶意软件保护
- 全盘加密和基于主机的防火墙规则
- 屏幕锁定和限制本地管理员权限
- 浏览器、扩展和应用程序控制
- 设备清单和集中遥测
一台停止报告、错过重要更新或禁用其安全代理的计算机不应继续获得与合规设备相同的访问权限。
个人设备需要不同的方法。移动设备管理、基于浏览器的访问、应用程序容器和发布的应用程序可以减少本地存储的业务数据量,而无需IT管理设备的每个方面。
确保远程访问路径
远程连接需要当前的加密、强身份验证和严格定义的访问规则 会话主机和管理接口不应在没有明确操作理由的情况下暴露于公共互联网。
网关或代理可以集中访问远程桌面和应用程序。它为管理员提供了一个地方来强制执行权限、监控连接并保持内部会话主机远离直接暴露。
公共面向的组件仍需仔细维护。未使用的端口应关闭,不支持的协议应禁用,网关应及时修补。默认账户和过时的服务应删除,而不是为了方便而保留。
地理和基于IP的限制可以减少不必要的流量,但它们应该补充身份验证,而不是取而代之。攻击者可以通过代理、云服务或在允许的区域内被攻陷的系统来路由活动。
分段系统和保护数据
成功的远程登录不应打开整个内部网络。分段应将普通远程用户与管理员、承包商、生产系统、备份基础设施和其他敏感环境分开。
这些区域之间的规则应反映真实的业务需求。需要财务应用程序的用户不应自动获得对开发服务器或管理接口的网络可见性。
应用程序还需要基于角色的授权、会话超时、审计日志和数据导出限制。加密保护传输和静态信息,但权限仍然决定谁可以使用它。
远程会话设置应根据角色有所不同。剪贴板共享或本地驱动器访问可能对某个团队是必要的,而对另一个团队则不合适。对每个用户实施一个宽松的政策更容易管理,但这很少反映真实的风险。
修补和监控整个堆栈
端点修补很重要,但远程访问依赖于更广泛的技术堆栈。网关、代理、远程桌面主机、VPN基础设施、防火墙、身份服务、网络门户、浏览器和安全代理都需要更新。
互联网面临的和与身份验证相关的漏洞应优先处理,因为攻击者可以在不先进入内部网络的情况下针对它们。应升级、不支持的产品,隔离或替换。
监控应集中在帮助管理员采取行动的事件上:
- 重复的身份验证失败
- 新管理员账户或权限更改
- 在正常工作时间之外的访问
- 禁用端点或安全服务
- 不寻常的文件更改或数据传输
- 来自不熟悉设备或位置的连接
警报的质量也很重要。管理员需要账户、源设备、IP地址、时间、位置和请求的资源,而不仅仅是说登录看起来可疑的消息。
准备恢复并培训用户
预防性控制可以降低风险,但它们无法保证事件永远不会发生。 备份应使用单独的管理凭据,并与标准用户帐户保持隔离。 它们还应该被加密、监控并定期测试。
恢复测试需要超越恢复样本文件。IT团队应确认他们能够在组织的恢复目标内重建身份服务、远程访问基础设施和关键应用服务器。
员工在安全方面也扮演着重要角色。他们需要识别网络钓鱼尝试,保护身份验证设备,报告意外提示,并知道如何通过验证的渠道联系IT部门。
培训在简短且与人们每天使用的工具相关时效果最佳。当批准的远程访问清晰、可靠且相对易于使用时,员工更有可能遵循安全政策。
如何建立远程员工安全策略?
远程员工安全程序应按照受控顺序进行开发。在未首先了解用户、系统和风险的情况下添加无关产品,往往会增加复杂性,而无法提供一致的保护。
盘点环境
首先确定谁进行远程连接,他们使用哪些设备以及他们需要哪些资源。包括员工、管理员、承包商、服务提供商和其他第三方。
库存还应记录面向公众的服务、特权账户、敏感数据存储和不受支持的系统。未知资产和被遗忘的账户无法可靠管理。
按风险分类访问
并非每个远程连接都需要相同的保护。对生产服务器的管理访问与对一般内部门户的访问有不同的影响。
风险分类应考虑用户权限、设备所有权、数据敏感性、互联网暴露和资源的业务重要性。这些因素有助于确定哪些连接需要更强的身份验证、管理设备或更详细的监控。
定义可执行的政策
The 远程访问政策 应解释哪些连接方法是被批准的,设备必须满足什么标准,以及何时需要多因素身份验证。还应涵盖个人设备、数据处理、日志记录、承包商离职和例外批准。
当技术强制执行时,政策更可靠。书面规则可能会告知用户不要从个人设备访问生产系统,但阻止连接的访问控制提供了更强的保护。
优先解决最高风险
初始实施可以遵循一个专注的顺序:
- 删除不必要的互联网服务。
- 通过多因素身份验证保护远程访问。
- 修补暴露的网关和服务器。
- 消除共享、闲置和权限过高的账户。
- 部署端点保护和设备合规控制。
- 将远程用户与敏感系统隔离。
- 集中日志并测试备份恢复。
该序列处理进入环境的常见路径,然后再朝着更详细的改进方向发展。
测试和改进控制措施
新的控制措施应在具有代表性的用户、设备、地点和应用程序中进行测试。高延迟连接、可访问性要求和紧急访问场景可能会揭示实验室测试所遗漏的问题。
该组织可以跟踪一小组有用的指标,例如多因素身份验证覆盖率、补丁合规性、公开暴露、特权账户数量、警报调查时间和备份恢复成功率。
这些测量应该显示风险是否在下降,而不仅仅是安全团队是否在执行更多任务。
TSplus Advanced Security 如何支持远程访问保护?
TSplus高级安全 为Windows Server和远程桌面环境增加了一层专注的保护。它可以通过集中界面帮助管理员应对常见的远程访问威胁,从而补充身份控制、端点保护和备份。
它的主要功能包括:
- 暴力破解保护和恶意IP地址阻止
- 地理限制和受信设备控制
- 不同用户和组的安全会话策略
- Ransomware protection
- 集中安全事件和警报
这些功能可以帮助管理员减少暴露,应用一致的访问限制,并更早地识别可疑行为。它们在Windows服务器和远程桌面服务支持分布式员工或外部用户的情况下尤为相关。
TSplus高级安全 仍然是更广泛架构的一部分。组织仍然需要多因素身份验证、及时修补、最小权限、端点保护、分段和经过测试的恢复。
结论
远程员工安全依赖于多个控制措施的协同工作。强大的身份验证、管理的终端、有限的访问、减少的暴露、有效的监控和经过测试的恢复保护同一环境的不同部分。最可持续的策略还确保批准的远程访问对员工、管理员和外部用户保持清晰和实用。
)
)
)
