在 Impact Live 2020 研討活動上,我們花了許多時間討論在遠距工作時代保持強大網路安全態勢的策略。今日的用戶需要能夠讓他們隨時隨地存取業務系統的靈活性,以高效率完成工作。但是,新的工作方式也帶來了新的安全挑戰,需要現代化的解決方案。
以下這七項最佳實踐做法可保持遠距工作者的生產力與安全性,同時不會損害營運或既有的業務實踐做法。
- 部署單一登入(SSO)及多重要素驗證(MFA)。 透過 SSO,您可以讓中央身份提供者管理用戶身份驗證,並使用一組登入憑證授予對應用程式及資源的存取權。這可讓您透過更強大的密碼政策提高安全性,簡化員工對工作所需各個應用程式的存取來提高生產效率,並讓您的 IT 部門更輕易滿足存取方面的合規要求。MFA 則可為公司資源增添多一層保護。透過 MFA,您可要求用戶通過多種身份驗證挑戰來確定其真實身份。例如您可以要求用戶提供他們知道的資訊(例如密碼)及他們擁有的資訊(例如發送至其行動裝置的一次性密碼)。您可利用 MFA 保護對應用程式、工作站、虛擬桌面、VPN 等的存取。對於未直接從公司網路內部連線的用戶,MFA 是防止遭受洩露的憑證被用來存取受保護資源的必要安全措施。
- 在終端上實行 最小特權,以保護敏感資料和應用程式。僅向最終用戶及管理員提供他們所需的絕對最低特權存取級別(又稱最小特權原則),可大大減少攻擊面。其中一個方法是清除工作站上不必要的本機管理員權限,以防止終端被滲透並容許惡意的橫向移動。這可降低將惡意軟體或勒索軟體引入環境進而輕易擴散的風險。
- 防止 從工作站暴露RDP。遠端桌面協定(RDP)暴露 是多宗備受曯目的資料外洩事件的源頭 – 尤其現今遠距工作的員工日益增多。隔離連線可減少終端(素來最弱的網路存取連結)暴露關鍵系統的可能性。此外,在每個連線的自動記錄內進行分層,並即時分析行為,可幫助快速偵測可疑行為並在出現可疑行為時做出補救。
- 減少對 VPN 的整體依賴。遠距工作的激增導致VPN的使用量急劇增長。在 CyberArk 近期的一項調查中,63% 的員工回報他們使用 VPN 存取關鍵業務系統。VPN 一直是攻擊者的目標,因為它們可以存取整個內部網路。 VPN 的設計顯然不適於提供關鍵系統及應用程式的精細分層存取,而且可能需要很長的時間來設置。這些工具的設置與操作通常需要大量的人工處理,導致安全團隊無法專注於其真正的目標–降低風險。
- 制訂允許、封鎖或限制應用程式的政策。在遠距工作時代,不必要的服務台呼叫數量急速暴增。透過允許/封鎖/限制政策,管理員可讓遠距用戶存取其工作所需的系統,省去許多麻煩。減少服務台呼叫的另一種方法是允許用戶存取可信賴的應用程式而無需呼叫服務台。這將可釋出 IT 資源以專注於更具戰略意義的措施,並有助於最終用戶提高其工作效率及效益。
- 依適用情況部署自助服務措施。與前段所述相同,組織為減少不必要的服務台呼叫而付出的努力都可節省大量時間與人力。建立受 MFA 保護的自助式密碼重設及帳戶解鎖,可讓最終用戶重設自己的公司密碼及解鎖自己的帳戶。自助服務應用程式及伺服器存取請求 還可讓最終用戶及遠距供應商發出存取應用程式、伺服器和其他關鍵內部系統的請求,讓 IT 和管理部門無需填寫服務台工作單即可批准存取。自助式 MFA 註冊/替換可讓最終用戶註冊新的身份驗證器及替換和重設密碼。最終用戶無需提交工作單即可替換遺失或被盜的密碼。最後,自助服務也賦予用戶在不增添服務台負擔的情況下請求存取應用程式或伺服器的能力。
- 為第三方用戶提供即時配置。勞動力行動化的趨勢也對組織所依賴的第三方供應商數量產生明顯影響。由於這類用戶未列入公司目錄而難以管理及追蹤,因此可能構成新的挑戰。您可以引入解決方案,透過一次性引導流程自動配置及撤除存取,從而大大減少攻擊面。如此一來,供應商將可取得即時存取權 — 僅在所需時間內存取所需的權限 – 而無需安全人員或 IT 管理員以手動操作配置及撤回對攻擊面的存取權。
在遠距工作時代,如何兼顧安全與便利對組織而言是艱難的任務。員工多數已經採取遠距工作方式,而且似乎還會持續下去,解決這一難題成了當務之急。遵循這些最佳實踐做法,組織將可為其遠距員工提供不影響生產力或業務實踐做法的安全存取。
無法參加 Impact Live嗎?沒問題。訂閱 Impact Live 隨選點播,即可在您方便時觀看所有影片。
