在《Impact Live 2020》中,我们花费了大量时间讨论在远程工作时代保持强大网络安全态势的策略。当今的用户需要能够随时随地访问业务系统,同时灵活、有效地完成工作。但是,这种新的工作方式也带来了新的安全挑战——这些挑战需要现代的解决方案。
本文中介绍了可帮助远程工作者保持生产力和安全性,而又不会对运营或既定的商业实践产生不利影响的七大最佳实践。
- 部署单点登录 (SSO) 和多因素身份验证 (MFA)。使用 SSO,您可以利用中央身份提供者来管理用户身份验证,并通过一套登录凭据来授予对应用程序和资源的访问权限。这使您能够通过更强大的密码策略来提高安全性,通过简化对员工完成工作所需的所有资源的访问来提高生产率,并使您的 IT 部门更容易满足访问方面的合规性要求。MFA 为公司资源添加了额外的保护层。借助 MFA,您可以要求用户通过多重身份验证挑战,从而确切地确定用户的真实身份。例如,您可以要求用户提供他们知道的信息(例如密码)和拥有的信息(例如发送到其移动设备的一次性代码)。您可以使用 MFA 保护对应用程序、工作站、虚拟桌面、VPN 等的访问。对于不是直接从公司网络内部连接的用户,MFA 对于防止使用泄露的凭据访问受保护的资源至关重要。
- 在端点上实施最小权限以保护敏感数据和应用程序。仅向最终用户和管理员提供他们所需的绝对最低限度的特权访问权限(也称为最小特权原则)大大减少了攻击面。实现此目标的一种方法是将不需要的本地管理员权限从工作站剥离,以防止端点受到损害和允许横向移动。这降低了将恶意软件或勒索软件引入环境并在其中轻松传播的风险。
- 阻止来自工作站的 RDP 暴露。远程桌面协议 (RDP) 暴露是许多重大泄漏事件的根源——尤其是随着越来越多的人员开始远程办公。隔离会话可以减少端点(一直是最弱的网络访问链接)暴露关键系统的可能性。此外,将每个会话的自动记录与实时分析行为相结合,有助于在如果发生以及发生时迅速检测和纠正可疑行为。
- 减少对于 VPN 的整体依赖度。远程办公的激增导致 VPN 的使用急剧增加。CyberArk 最近的一项调查显示,63% 的员工表示有使用 VPN 来访问关键业务系统。攻击者长期以来一直将 VPN 作为攻击目标,因为它们可以访问整个内部网络。VPN 显然不是为提供对关键系统和应用程序的细粒度访问而设计的,并且可能需要很长的时间才能建立。这些工具通常需要大量的手动工作来设置和操作,以致于无法实现安全团队的实际目标——降低风险。
- 制定政策以允许、阻止或限制应用程序。在远程办公时代,不必要的服务台呼叫激增。借助允许/阻止/限制策略,管理员可以使远程用户可以访问其工作所需的系统,而不会带来任何其他麻烦。减少服务台呼叫的另一种方法是使用户无需呼叫服务台即可访问受信任的应用程序。这样可以释放 IT 资源,将精力集中在更具战略意义的方面,同时还可以帮助最终用户更有效地完成工作。
- 部署适用的自助服务计划。与上文所述类似,组织可以采取的任何减少不必要的服务台呼叫的措施都可以节省大量的时间和人力。建立受 MFA 保护的自助服务密码重置和帐户解锁功能,使最终用户能够重置自己的公司密码并解锁自己的帐户。自助服务应用程序和服务器访问请求进一步使最终用户和远程供应商可以请求访问应用程序、服务器和其他关键内部系统,从而使 IT 和管理部门可以批准访问而无需提交服务台票证。自助 MFA 注册/替换允许最终用户注册新的身份验证器以及替换和重置密码。这些功能还为最终用户提供了在无需提交票证即可替换丢失或被盗凭据的能力。最后,自助服务还引入了请求访问应用程序或服务器的能力,而不会增加服务台的负担。
- 为第三方用户提供即时特权分配。为动员员工所做的努力也对组织所依赖的第三方供应商的数量产生了明显影响。这些类型的用户不是公司目录的一部分,因此在管理和跟踪方面构成了新的挑战。通过引入一次性入职流程以自动分配和取消分配访问权限的解决方案,您可以显著减少攻击面。如此一来,供应商将具有即时访问权限——只需在需要时提供他们所需的访问权限即可——无需安全人员或 IT 管理员进行手动工作来分配权限和撤消对攻击面的访问权限。
在远程办公时代,平衡安全性和便利性对于组织来说是一项难题。由于许多员工目前都只能远程办公,而且恢复之日遥遥无期,因此解决这一难题的重要性比以往任何时候都加重要。通过遵循这些最佳实践,组织可以为其远程员工提供安全的访问权限,而不会影响生产力或业务实践。
无法参与 Impact Live 活动?没问题。只需注册获取 Impact 视频点播,随时随地观赏所有期会。