由于新冠病毒疫情的封鎖措施，全球許多企業(yè)的員工被迫在家工作。對(duì)于在將來(lái)可能需要繼續(xù)遠(yuǎn)程工作支持的企業(yè)來(lái)說(shuō)，員工家庭網(wǎng)絡(luò)以及與家庭網(wǎng)絡(luò)連接的設(shè)備的安全性變得越來(lái)越重要。

在Gartner對(duì)316位首席財(cái)務(wù)官和財(cái)務(wù)負(fù)責(zé)人進(jìn)行的一項(xiàng)調(diào)查顯示，現(xiàn)在有大約四分之一的美國(guó)組織計(jì)劃在疫情過(guò)后，至少將20%的現(xiàn)場(chǎng)辦公人員轉(zhuǎn)移到永久性的遠(yuǎn)程辦公職位。74%的公司計(jì)劃削減成本，許多公司推遲了內(nèi)部支出，而將重點(diǎn)放在在家辦公員工的設(shè)備提供上。

分析師表示，這一趨勢(shì)使家庭路由器，打印機(jī)，安全系統(tǒng)，DVR，游戲機(jī)和其他智能設(shè)備很可能成為影響企業(yè)網(wǎng)絡(luò)安全的因素。企業(yè)更加需要關(guān)注家庭網(wǎng)絡(luò)以及與家庭網(wǎng)絡(luò)連接的智能產(chǎn)品和其他設(shè)備的安全性。

[[330883]]

惡意軟件感染

BitSight在最近的一項(xiàng)研究中發(fā)現(xiàn)，家庭網(wǎng)絡(luò)中感染惡意軟件的幾率是辦公室網(wǎng)絡(luò)的七倍以上。25%的智能家居產(chǎn)品，PC，打印機(jī)，相機(jī)和其他家庭網(wǎng)絡(luò)上的設(shè)備可以通過(guò)互聯(lián)網(wǎng)直接訪問(wèn)。在45%的公司中，有個(gè)別設(shè)備曾訪問(wèn)過(guò)帶有惡意軟件的家庭網(wǎng)絡(luò)。

易于訪問(wèn)的管理界面

451 Group的分析師Daniel Kennedy表示：“家庭網(wǎng)絡(luò)與公司網(wǎng)絡(luò)從根本上是不同的，家庭網(wǎng)絡(luò)存在更大的風(fēng)險(xiǎn)。”他指出，在家庭網(wǎng)絡(luò)中經(jīng)常會(huì)出現(xiàn)使用默認(rèn)密碼或密碼較弱的情況，這種情況會(huì)使攻擊者易于訪問(wèn)家庭路由器的管理界面和IoT設(shè)備。而公司防火墻則會(huì)避免這些情況的出現(xiàn)。

較弱的WiFi保護(hù)

同樣，家庭WiFi網(wǎng)絡(luò)可能無(wú)法像公司網(wǎng)絡(luò)那樣受到有效保護(hù)，從而防止網(wǎng)絡(luò)上其他用戶的危險(xiǎn)行為。Kennedy指出：“辦公室的大多數(shù)員工在完成一天的工作后，很少會(huì)下載一些游戲玩，但是在家庭網(wǎng)絡(luò)中，卻不能避免員工的孩子下載游戲玩。” 雖然這些情況都是理論上的風(fēng)險(xiǎn)，但是在家庭網(wǎng)絡(luò)中存在的虛擬助手(例如Alexa和Google Home)，也會(huì)存在普遍的隱私或機(jī)密性問(wèn)題。這可能會(huì)導(dǎo)致無(wú)意間泄露員工在家工作時(shí)參加會(huì)議的內(nèi)容和商務(wù)通信。

規(guī)模擴(kuò)大則面臨攻擊面的擴(kuò)大

遠(yuǎn)程辦公面臨的風(fēng)險(xiǎn)并不是一個(gè)新的問(wèn)題。多年來(lái)，支持遠(yuǎn)程工作的企業(yè)都不得不處理一些安全性的問(wèn)題。Kennedy指出：“很多企業(yè)預(yù)計(jì)將會(huì)永久性的增加在家工作的需求。規(guī)模擴(kuò)大則面臨攻擊面的擴(kuò)大，那企業(yè)如何保障安全性呢?

Kennedy和其他安全專家在此提供了四個(gè)技巧，以減輕家庭網(wǎng)絡(luò)和智能家居設(shè)備對(duì)企業(yè)安全性的影響。

1. 不信任任何的驗(yàn)證

將家庭網(wǎng)絡(luò)和設(shè)備視為不可信的，因?yàn)樗鼈儽举|(zhì)上比在公司環(huán)境更加脆弱。實(shí)施控制以確保每次從家庭網(wǎng)絡(luò)到企業(yè)系統(tǒng)和數(shù)據(jù)的所有訪問(wèn)請(qǐng)求都經(jīng)過(guò)完整的身份驗(yàn)證。

IT-Harvest的首席分析師Richard Stiennon表示：“這是必須重新評(píng)估信任模型的時(shí)候。” 如今，它包含的范圍不僅僅是公司網(wǎng)絡(luò)，還包括了每個(gè)員工家庭網(wǎng)絡(luò)中的所有內(nèi)容。他指出，在一些有青少年的家庭中，智能攝像機(jī)、智能燈、智能電視和平板電腦中的漏洞已成為公司IT部門安全性的一部分。”

訪問(wèn)決策不僅限于具有正確憑據(jù)的人員，還要有一些其他決策。每次發(fā)出訪問(wèn)請(qǐng)求時(shí)，都需要對(duì)設(shè)備和用戶進(jìn)行安全審查。授予訪問(wèn)權(quán)限后，訪問(wèn)權(quán)限應(yīng)以最小特權(quán)為基礎(chǔ)，甚至只能訪問(wèn)用戶適當(dāng)需要工作的系統(tǒng)和數(shù)據(jù)。

Stiennon說(shuō)，必須持續(xù)監(jiān)控他們的活動(dòng)，并且網(wǎng)絡(luò)必須時(shí)刻的響應(yīng)他們的活動(dòng)。這就是零信任。

IDC分析師Pete Lindstrom說(shuō)，組織應(yīng)盡可能部署多因素身份驗(yàn)證(MFA)。雖然這不是靈丹妙藥，但MFA可以減少很多遠(yuǎn)程辦公所帶來(lái)的風(fēng)險(xiǎn)。Lindstrom表示，一般來(lái)說(shuō)，重點(diǎn)應(yīng)放在擴(kuò)展網(wǎng)絡(luò)的安全控制，并使其更貼近應(yīng)用程序，數(shù)據(jù)和用戶。

2. 識(shí)別安全漏洞

支持少數(shù)在家工作的員工所帶來(lái)的安全隱患與支持大規(guī)模的人數(shù)完全不同。Lindstrom說(shuō)，將網(wǎng)絡(luò)連接擴(kuò)展到員工住所的IT環(huán)境可能使企業(yè)服務(wù)器，應(yīng)用程序資源和數(shù)據(jù)面臨新的漏洞和風(fēng)險(xiǎn)。

Unisys的CISO Mat Newfield表示，想解決這些風(fēng)險(xiǎn)，首先要意識(shí)到一些問(wèn)題。

• 您是否在公司系統(tǒng)上擁有適當(dāng)?shù)陌踩ぞ邚亩鴮⒏腥韭式抵磷畹?
• 您是否對(duì)遠(yuǎn)程訪問(wèn)進(jìn)行了適當(dāng)?shù)呐渲煤捅O(jiān)控，以確保您發(fā)送回家的公司系統(tǒng)不會(huì)充當(dāng)公司網(wǎng)絡(luò)和家庭網(wǎng)絡(luò)之間的橋梁?
• 您是否為在家工作的人員提供適當(dāng)?shù)墓ぞ吆团嘤?xùn)，以確保其在家庭網(wǎng)絡(luò)中遵守與公司網(wǎng)絡(luò)相同的安全要求?
• 如果出現(xiàn)問(wèn)題，他們是否有必要具備安全應(yīng)急的方法?
• 確定您是否有適當(dāng)?shù)谋O(jiān)控，以便能夠通過(guò)遠(yuǎn)程訪問(wèn)環(huán)境快速檢測(cè)到問(wèn)題。

Kennedy表示，可見(jiàn)性是另一個(gè)問(wèn)題。在網(wǎng)絡(luò)邊緣運(yùn)行的某些基于網(wǎng)絡(luò)的安全控件無(wú)法完全捕獲家庭網(wǎng)絡(luò)上員工的活動(dòng)，也無(wú)法對(duì)其采取行動(dòng)。如何捕獲他們的活動(dòng)以及實(shí)施安全控制將成為問(wèn)題。

SANS研究所還有其他一些建議。是否要讓員工在家工作時(shí)報(bào)告安全事件，提前規(guī)劃報(bào)告安全事件的流程，讓員工了解他們應(yīng)該向誰(shuí)報(bào)告，如何報(bào)告，何時(shí)報(bào)告?

3. 端點(diǎn)保護(hù)

確保從家庭網(wǎng)絡(luò)訪問(wèn)到企業(yè)網(wǎng)絡(luò)的任何設(shè)備都受到保護(hù)，以免受到來(lái)自智能家居產(chǎn)品和其他連接到家庭網(wǎng)絡(luò)設(shè)備的潛在安全威脅。Lindstrom說(shuō)，確保正確配置了端點(diǎn)威脅檢測(cè)和響應(yīng)控制，并且VPN連接穩(wěn)定。

Unisys的Newfield說(shuō)：“我們看到的許多家庭系統(tǒng)很容易受到攻擊，因?yàn)樗鼈兊穆┒礇](méi)有及時(shí)的得到修復(fù)。” 例如，許多家庭視頻游戲系統(tǒng)上都存在漏洞，它們可以主動(dòng)掃描環(huán)境以尋找容易受到攻擊的主機(jī)。如果企業(yè)沒(méi)有加強(qiáng)防范此類威脅的措施，就有可能成為其受害者。Newfield說(shuō)：“公司在員工帶回家的設(shè)備上部署哪些工具和技術(shù)支持，將直接影響通過(guò)訪問(wèn)家庭網(wǎng)絡(luò)設(shè)備發(fā)生的公司網(wǎng)絡(luò)安全事件的可能性。”

另外，還要確保在家中訪問(wèn)家庭網(wǎng)絡(luò)的個(gè)人設(shè)備也具有足夠的安全防護(hù)。SANS研究所新興安全趨勢(shì)主管John Pescatore表示，例如，向在家工作的員工展示如何將新用戶非系統(tǒng)管理員帳戶添加到他們的家用電腦中。

Pescatore表示：“這至少可以隔離文件，以防止勒索軟件的影響，同時(shí)保持瀏覽器歷史記錄獨(dú)立限制特權(quán)。” 他指出，應(yīng)向所有在家工作的員工提供基于云的備份，以預(yù)防家庭網(wǎng)絡(luò)攻擊。要確保他們?cè)诩矣秒娔X上的所有東西上都啟用了自動(dòng)更新功能，例如：Windows、瀏覽器、Adobe、Zoom等。

4. 提升員工的安全意識(shí)

通常，在家工作的大多數(shù)員工都不了解智能設(shè)備在家庭網(wǎng)絡(luò)與企業(yè)網(wǎng)絡(luò)之間相互連接轉(zhuǎn)換會(huì)給企業(yè)帶來(lái)安全風(fēng)險(xiǎn)。Newfield解釋道，如果用戶設(shè)置了自動(dòng)更新的提示，那么就會(huì)很輕松的實(shí)時(shí)修補(bǔ)存在漏洞的設(shè)備。但沒(méi)有啟動(dòng)該選項(xiàng)的用戶呢?他們是否有定期檢測(cè)家庭中設(shè)備修補(bǔ)和更新的習(xí)慣?是否會(huì)定期登錄家庭路由器檢測(cè)其更新修補(bǔ)的狀態(tài)?所以提高員工在家辦公的安全意識(shí)及簡(jiǎn)單的風(fēng)險(xiǎn)應(yīng)對(duì)能力相當(dāng)重要。

Pescatore表示：如今網(wǎng)絡(luò)釣魚(yú)攻擊與日俱增，故此，提高員工針對(duì)釣魚(yú)郵件的安全意識(shí)也迫在眉睫。