Лучшие методы обеспечения безопасности удаленного доступа для сотрудников

Опубликовано:

Как обеспечить безопасность, если сотрудники работают удаленно, а ваша команда переходит на удаленную работу?

Содержание

Цель данного руководства - проинструктировать сотрудников и руководство компаний, как малых, так и крупных, о доступных им инструментах и шагах.

Применение только одной из перечисленных ниже мер безопасности будет недостаточно для противодействия киберугрозам. Каждая мера безопасности в отдельности не гарантирует безопасность удаленной работы; однако при использовании нескольких мер в комплексе они создают комплексный эффект для вашей кибербезопасности.

Разработка политики кибербезопасности для удаленных сотрудников

Если ваш бизнес допускает удаленную работу, вы должны иметь четкую политику кибербезопасности, чтобы обеспечить безопасность доступа каждого сотрудника к данным компании. Без соответствующей стратегии любой сотрудник может легко стать точкой входа для хакера, чтобы захватить сеть вашей организации.

Чтобы этого не произошло, разработайте политику кибербезопасности, определяющую правила соблюдения протоколов безопасности дома или в командировке. Политика может включать ожидаемое использование одобренных программ обмена сообщениями с шифрованием, таких как Signal или WhatsApp; обновление и исправление графиков компьютерной безопасности, например, обновление антивирусного или антивирусного программного обеспечения; и протоколы по удаленному стиранию устройств в случае их потери.

Устройства, принадлежащие компании

Если у вашего предприятия есть возможность предоставить своим сотрудникам ноутбуки, вам следует подумать об этом. Эта стратегия является лучшим способом обеспечения безопасности удаленной работы, поскольку вы можете поручить своему ИТ-отделу вручную настроить параметры брандмауэра и установить антивирусное и антивирусное ПО.
Регулярно проводите резервное копирование на жесткие диски

Любой бизнес хорош настолько, насколько хороши его данные. Большинство компаний сегодня хранят данные в Интернете в облачных хранилищах, защищенных шифрованием, однако регулярное резервное копирование на физические диски также рекомендуется, поскольку их невозможно взломать удаленно.

Сторонние поставщики

Непосредственные сотрудники - не единственные, кто рискует скомпрометировать внутреннюю сеть вашей компании. Сторонние поставщики также ответственны за создание точек входа в инфраструктуру системы, поэтому ваша политика должна распространяться и на них.

Нарушение данных компании Target является примером нарушения, вызванного чрезмерными привилегиями сторонних поставщиков. Пример Target иллюстрирует необходимость для организаций реформировать свою политику при выдаче привилегий сторонним поставщикам; в противном случае они могут непреднамеренно создать слабые звенья в своей безопасности.

Помня о сторонних поставщиках, вы можете получить лучшее представление о своей среде сторонних поставщиков, проведя инвентаризацию всех подключений поставщиков. Как только вы получите представление, можно повысить уровень безопасности путем мониторинга и расследования деятельности поставщиков с помощью записи сеансов и поиска любых видов вредоносной деятельности или нарушения политики.

Соглашения об уровне обслуживания

Предоставьте стороннему поставщику соглашение об уровне обслуживания (SLA). Этот вариант заставит поставщиков придерживаться политик безопасности вашей организации; в противном случае им грозят штрафные санкции.

Устранение общих учетных записей

Простой, но эффективный подход заключается в устранении общих учетных записей среди поставщиков. Отсутствие общих учетных записей снижает риск несанкционированного доступа; это еще одна причина инвестировать в инструмент управления паролями.

Безопасность мобильных устройств

Поскольку бизнес и жизнь все больше переплетаются, сотрудники часто используют свои телефоны в рабочих целях. Однако работа с мобильного устройства может представлять риск для безопасности вашего бизнеса.

Проинформируйте своих сотрудников об опасности незащищенных сетей Wi-Fi. При использовании незащищенного Wi-Fi ваш телефон становится доступным для потенциальных хакеров, желающих скомпрометировать ваше устройство. Чтобы предотвратить нежелательные вторжения, используйте для связи только зашифрованное программное обеспечение.

Также лучше ограничить использование приложений на мобильном устройстве во время работы. Это можно сделать, заглянув в настройки разрешения приложений (разрешения приложений) вашего телефона.

Наконец, отключение Bluetooth во время работы может ограничить пути проникновения.

Защита сетевых границ

Для крупных предприятий сетевой трафик можно фильтровать для обработки потока законного трафика и блокирования потенциальных нарушителей, стремящихся использовать вашу сеть. Такая фильтрация означает, что вы можете анализировать и предотвращать входящие запросы, поступающие с несанкционированных IP-адресов, поскольку они представляют собой неотъемлемый риск для вашей системы. Конфигурация, блокирующая входящие запросы из неизвестных источников, может быть установлена в правилах входящего трафика вашего брандмауэра.

Выбор программного обеспечения для удаленного доступа

При удаленной работе есть три основных способа обеспечить безопасность вашей работы в Интернете. Вы можете использовать либо удаленный доступ к компьютеру, либо виртуальные частные сети, либо прямой доступ к приложениям. У каждого метода есть свои преимущества и недостатки. Выберите тот метод, который лучше всего подходит для вашей организации.

Совместное использование рабочего стола

Методы удаленного доступа к ПК, такие как совместное использование рабочего стола, позволяют подключить удаленный компьютер к главному компьютеру из дополнительного места за пределами офиса. Такая настройка означает, что оператор имеет возможность доступа к локальным файлам на главном компьютере, как если бы он физически находился в офисе.

Войдя в сторонние приложения, сотрудник может превратить портативное устройство в дисплей для доступа к данным на своем офисном компьютере.

Несмотря на преимущества прямого доступа, такое программное обеспечение несет в себе высокий риск подвергнуть внутреннюю сеть компании опасности, поскольку создает дополнительную конечную точку для доступа внешних угроз к локальной сети предприятия.

Для борьбы с потенциальным риском организация должна шифровать не только свои брандмауэры и коммуникации, но и компьютер сотрудника требует такого же уровня шифрования. В зависимости от размера вашего предприятия этот вариант может оказаться слишком дорогим.

Такие приложения, как LogMeIn, TeamViewer и GoToMyPC, предоставляют услуги такого типа.

Виртуальная частная сеть

Виртуальная частная сеть (VPN) - это программное обеспечение, которое создает безопасное соединение через Интернет путем шифрования данных. Благодаря использованию туннельных протоколов для шифрования и расшифровки сообщений от отправителя к получателю, удаленные работники могут защитить передаваемые данные от посторонних лиц.

Чаще всего удаленные работники используют VPN-клиент удаленного доступа для подключения к VPN-шлюзу организации, чтобы получить доступ к ее внутренней сети, но не без предварительной аутентификации. Обычно при использовании VPN есть два варианта: IP Security (IPsec) или Secure Sockets Layer (SSL).

IPsec VPN устанавливаются и настраиваются на удаленном устройстве вручную. Они требуют от оператора ввода таких данных, как IP-адрес шлюза целевой сети, а также ключа безопасности для получения доступа к корпоративной сети.

SSL VPN являются более новыми и простыми в установке. Вместо того чтобы вручную устанавливать VPN, сетевой администратор публикует VPN-клиент на брандмауэре компании и предоставляет его для публичной загрузки. После этого сотрудник может загрузить VPN-клиент с целевой веб-страницы.

Недостатком VPN-соединения является то, что любое удаленное устройство, использующее VPN, может занести вредоносное ПО в сеть, к которой оно подключается.

Если организации планируют использовать VPN для удаленной работы, в их интересах, чтобы сотрудники с удаленными устройствами соблюдали политику безопасности.

Установка VPN зависит от операционной системы и типа; тем не менее, сделать это довольно просто.

Прямой доступ к приложениям

Вариант удаленной работы с наименьшим риском - это прямой доступ к рабочим приложениям. Вместо доступа ко всей сети сотрудники могут удаленно работать в отдельных приложениях в сети.

При использовании этого метода работы риск подвергнуть внутреннюю сеть компании киберхищничеству невелик. Благодаря использованию гранулированных, периметральных приложений в инфраструктуре сети, существует ограниченное количество поверхностей атаки для уязвимых данных.

Прямой доступ к приложениям значительно ограничивает риск недобросовестных участников; в то же время, он ограничивает работу рамками одного приложения. При небольшом доступе ко всем данным в сети компании объем работы, которую может выполнить сотрудник, меркнет по сравнению с вышеупомянутыми методами удаленного доступа.

Используйте шифрование

Как бы важно ни было выбрать метод доступа для ваших онлайн-сотрудников, не менее важно, чтобы эти методы использовали шифрование для защиты данных и соединений удаленных сотрудников.

Проще говоря, шифрование - это процесс преобразования данных в код или шифротекст. Только те, кто владеет ключом или шифром, могут расшифровать и использовать данные.

Программное обеспечение для шифрования - это дополнительный уровень защиты для предприятий и удаленных сотрудников. Например, если компьютер удаленного сотрудника потерян или неправильно установлен, а злоумышленник его восстанавливает, программное обеспечение для шифрования является первой линией обороны для предотвращения несанкционированного доступа.

Расширенный стандарт шифрования

В настоящее время большинство предприятий используют для защиты данных протокол безопасности Advanced Encryption Standard (AES) благодаря его совместимости с широким спектром приложений. В нем используется шифрование с симметричным ключом, то есть получатель использует ключ для декодирования данных отправителя. Преимущество его использования по сравнению с асимметричным шифрованием заключается в том, что он быстрее в использовании. Ищите программное обеспечение для шифрования, которое использует AES для защиты данных компании.

Сквозное шифрование

Когда дело доходит до использования таких вещей, как электронная почта и программное обеспечение для общего общения, ищите приложения, использующие сквозное шифрование, поскольку оно использует невероятно надежное шифрование, которое невозможно взломать, если две конечные точки надежно защищены.

Внедрите программное обеспечение для управления паролями

Поскольку большинство утечек данных происходит из-за использования незаконно полученных учетных данных, программное обеспечение для управления паролями является бесценным решением для обеспечения безопасности удаленной работы.

Генерация случайных паролей

Программное обеспечение для управления паролями позволяет не только хранить пароли, но и генерировать и извлекать сложные случайные комбинации паролей, которые хранятся в зашифрованной базе данных. Благодаря этой возможности предприятия могут полностью сократить использование одинаковых или похожих паролей.

Наличие всех похожих паролей имеет далеко идущие последствия. Например, если злоумышленник узнает ваше имя пользователя и пароль, он может использовать эти учетные данные в качестве потенциального входа в другие приложения или веб-сети. Достаточно сказать, что люди склонны повторно использовать пароли, с небольшими вариациями или без них, из-за ограниченного объема памяти. Уникальные надежные пароли позволяют исключить такую возможность и избежать кроличьей норы с вытекающими отсюда последствиями.

Автоматизированная ротация паролей

Кроме того, программное обеспечение для управления паролями может включать в себя автоматическую ротацию паролей. Как следует из названия, пароли постоянно сменяются, чтобы ограничить время их потенциального использования. Сокращая срок жизни пароля, конфиденциальные данные становятся менее уязвимыми для атак.
Учетные данные одноразового использования

Еще одной стратегией защиты данных с помощью паролей является создание одноразовых учетных данных. Чтобы ввести в действие одноразовые учетные данные, создайте журнал паролей в электронной таблице, выполняющей роль "сейфа". Когда вы используете одноразовый пароль по рабочим причинам, попросите пользователя пометить пароль в электронной таблице как "проверенный". По завершении задачи попросите пользователя снова зарегистрировать пароль и вывести его из обращения.

Применение двухфакторной аутентификации

Проверка подлинности личности пользователя является важным аспектом контроля доступа. Для получения доступа, как правило, требуется имя пользователя и пароль. С помощью двухфакторной аутентификации вы можете повысить безопасность удаленной работы, создав два требования для входа в систему вместо одного. По сути, это создает дополнительный уровень защиты входа в систему.

Двухфакторная аутентификация использует две части информации для предоставления доступа. Она использует такие учетные данные, как имя пользователя и пароль, в сочетании с секретным вопросом или пин-кодом, который отправляется на телефон или электронную почту пользователя. Этот метод затрудняет доступ злоумышленников к системам, поскольку маловероятно, что у них будет доступ к обеим частям информации.

Предприятиям рекомендуется использовать эту меру безопасности для входа в систему.

Используйте принцип наименьших привилегий

Эффективным методом снижения риска безопасности является ограничение привилегий ваших сотрудников.

Привилегии сетевой безопасности бывают трех видов: суперпользователи, стандартные пользователи и гостевые пользователи, с уменьшающимися привилегиями в этом порядке. Однако гостевые пользователи не имеют отношения к данному обсуждению.

Суперпользователи - это те, кто имеет полный доступ к системным привилегиям. Они могут вносить изменения во всей сети, выполняя такие действия, как установка или изменение программного обеспечения, настроек и пользовательских данных. Именно тогда, когда учетные записи суперпользователей попадают в чужие руки, и происходят самые масштабные катастрофы. В зависимости от того, какую операционную систему вы используете, суперпользователи называются по-разному: учетные записи администраторов в системах Windows и учетные записи root в системах Linux или Unix.

Второй учетной записью пользователя, которую следует отметить, является стандартный пользователь, также известный как наименее привилегированный пользователь, и он имеет ограниченный набор привилегий. Эта ограниченная учетная запись - та, которую вы хотите, чтобы ваши сотрудники использовали большую часть времени, особенно если они не принадлежат к вашему ИТ-отделу.

В качестве меры предосторожности мы рекомендуем всем сотрудникам использовать стандартные учетные записи пользователей для выполнения рутинных задач. Привилегии суперпользователя предоставляйте только доверенным членам вашей ИТ-команды, и пусть они используют эти учетные записи для выполнения административных функций только в случае крайней необходимости. Такой подход, известный как принцип наименьших привилегий, значительно снижает риск серьезной утечки данных за счет ограничения избыточности.

Удаление "сиротских" учетных записей

Орфанные учетные записи представляют собой проблему, поскольку это старые учетные записи пользователей, которые содержат данные, включающие имена пользователей, пароли, электронную почту и многое другое. Эти учетные записи обычно принадлежат бывшим сотрудникам, которые в настоящее время не имеют отношения к компании. Возможно, эти бывшие сотрудники перешли на другую работу, но их учетные записи все еще могут находиться в вашей сети и оставаться доступными.

Проблема в том, что их трудно заметить, если ваша организация не знает об их существовании. Если в вашей сети есть бесхозные учетные записи, и внешние или внутренние угрозы найдут их, они могут быть использованы для повышения своих привилегий. Такие атаки известны как атаки с передачей хэша (PtH). Эти коварные атаки используют низкоуровневые учетные данные для получения доступа в сеть и направлены на кражу хэша пароля от учетной записи администратора. В случае кражи хакеры могут использовать хэш для разблокирования прав административного доступа.

Лучший способ найти и удалить бесхозные учетные записи и любые потенциальные угрозы - использовать решение для управления привилегированным доступом. Эти инструменты помогают найти и удалить бесхозные учетные записи.

Создание тренингов по кибербезопасности для сотрудников

Внутренний персонал представляет собой большую часть опасности, с которой сталкивается сетевая безопасность компании. Фактически, чуть более трети всех утечек данных в 2019 году произошли по вине злонамеренного или халатного сотрудника.

Но это не обязательно должно быть так. Вместо этого компании могут уменьшить опасность внутренних угроз, воспитывая культуру безопасности путем обучения сотрудников лучшим практикам кибербезопасности.

Физическая безопасность устройств

Для начала обеспечьте безопасность удаленных сотрудников, поощряя их запирать компьютеры во время физических поездок. Если нет физического доступа к устройству, вероятность нечестной игры остается низкой. Во-вторых, когда сотрудники работают в общественных местах, проинструктируйте их о том, что при вводе конфиденциальной информации, такой как логины или пароли, необходимо обращать внимание на посторонних. Это явление называется "плечевой серфинг" и является более эффективным, чем кажется.

Проинструктируйте сотрудников всегда выходить из системы или выключать свои компьютеры, когда они не используются. Если оставить компьютер включенным, но не защищенным паролем, то проникновение в систему будет столь же эффективным, как и любая атака вредоносного ПО.

И наконец, если пароли записаны на бумаге, попросите сотрудников порвать эти бумаги, а не просто выбросить их в мусорное ведро.

Безопасные интернет-протоколы

Если ваша компания не может предоставить удаленным сотрудникам ноутбуки или компьютеры с приложениями, ограничивающими доступ в Интернет, вы можете установить рекомендации по безопасному просмотру сайтов, установке блокировщиков всплывающих окон и загрузке надежных приложений для работы.

Атаки социальной инженерии

Злоумышленники, использующие человеческую психологию, чтобы обманом заставить людей предоставить конфиденциальную информацию, называются социальными инженерами. Эти атаки социальной инженерии бывают разных видов, но самые распространенные из них называются фишинговыми атаками.

Хакеры разрабатывают эти атаки, чтобы ввести сотрудников в заблуждение и перевести их на поддельную целевую страницу для кражи информации или установки вредоносного ПО, которое они используют для нарушения безопасности сети. Чаще всего фишинговые атаки происходят из незапрошенных электронных писем. Поэтому обучите сотрудников никогда не открывать нежелательные электронные письма, не переходить по незнакомым ссылкам в сообщениях и остерегаться вложений.

Защитите своих удаленных сотрудников

В условиях глобальной децентрализации бизнеса злоумышленники постоянно представляют риск для безопасности бизнес-сети. Учитывая эту опасность, предприятия должны принимать превентивные меры по обеспечению безопасности удаленной работы своих сотрудников или страдать от последствий.

Смотрите также:
  1. Что такое APT-атака (Advanced Persistent Threat) и как ее остановить?
  2. Что такое целевой фишин (Spear Phishing)?
  3. Управление рисками информационной безопасности
  4. Каким должен быть современный антивирус?
  5. 4 наиболее распространенных угрозы безопасности веб-сайтов (2023)
  6. SSL и безопасность в Internet
  7. Утечка Conti: 60 000 сообщений в сети
Понравилась статья? Поделиться с друзьями:
Добавить комментарий