減輕家庭網絡設備影響企業安全的4種方法

何靜

由于新型冠病毒疫情的封鎖措施，全球許多企業的員工被迫在家工作。對于在將來可能需要繼續遠程工作支持的企業來說，員工家庭網絡以及與家庭網絡連接設備的安全性變得越來越重要。

在Gartner對316位首席財務官和財務負責人進行的一項調查顯示，現在有大約1/4的美國組織計劃在疫情過后，至少將20 %的現場辦公人員轉移到永久性的遠程辦公職位。74 %的公司計劃削減成本，許多公司推遲了內部支出，而將重點放在在家辦公員工的設備提供上。

分析師表示，這一趨勢使家庭路由器、打印機、安全系統、DVR、游戲機和其他智能設備很可能成為影響企業網絡安全的因素。企業更加需要關注家庭網絡以及與家庭網絡連接的智能產品和其他設備的安全性。

BitSight在最近的一項研究中發現，家庭網絡中感染惡意軟件的幾率是辦公室網絡的7倍以上。25 %的智能家居產品、PC、打印機、相機和其他家庭網絡上的設備可以通過互聯網直接訪問。在45 %的公司中，有個別設備曾訪問過帶有惡意軟件的家庭網絡。

451 Group的分析師Daniel Kennedy表示：“家庭網絡與公司網絡從根本上是不同的，家庭網絡存在更大的風險。”他指出，在家庭網絡中經常會出現使用默認密碼或密碼較弱的情況，這會使攻擊者易于訪問家庭路由器的管理界面和IoT設備；而公司防火墻則會避免這些情況的出現。

同樣，家庭WiFi網絡可能無法像公司網絡那樣受到有效保護，從而防止網絡上其他用戶的危險行為。Kennedy指出：“辦公室的大多數員工在完成一天的工作后，很少會下載一些游戲玩，但是在家庭網絡中，卻不能避免員工的孩子下載游戲玩。”雖然這些情況都是理論上的風險，但是在家庭網絡中存在的虛擬助手（例如Alexa，Google Home），也會存在普遍的隱私或機密性問題。這可能會導致無意間泄露員工在家工作時參加會議的內容和商務通信。

遠程辦公面臨的風險并不是一個新的問題。多年來，支持遠程工作的企業都不得不處理一些安全性的問題。Kennedy指出：“很多企業預計將會永久性增加在家工作的需求。但是規模擴大則面臨攻擊面的擴大，那企業如何保障安全性呢？

Kennedy和其他安全專家在此提供了4個技巧，以減輕家庭網絡和智能家居設備對企業安全性的影響。

1.不信任任何的驗證

將家庭網絡和設備視為不可信的，因為他們本質上比公司環境更加脆弱。實施控制以確保每次從家庭網絡到企業系統和數據的所有訪問請求都經過完整的身份驗證。

IT-Harvest的首席分析師Richard Stiennon表示：“這是必須重新評估信任模型的時候。”如今，它包含的范圍不僅是公司網絡，還包括了每個員工家庭網絡中的所有內容。他指出，在一些有青少年的家庭中，智能攝像機、智能燈、智能電視和平板電腦中的漏洞已成為公司IT部門安全性的一部分。”

訪問決策不僅限于具有正確憑據的人員，還要有一些其他決策。每次發出訪問請求時，都需要對設備和用戶進行安全審查。授予訪問權限后，訪問權限應以最小特權為基礎，甚至只能訪問用戶適當需要工作的系統和數據。

Stiennon說，必須持續監控他們的活動，并且網絡必須時刻響應他們的活動，這就是零信任。

IDC分析師Pete Lindstrom說，組織應盡可能部署多因素身份驗證（MFA）。雖然這不是靈丹妙藥，但MFA可以減少很多遠程辦公所帶來的風險，一般來說，重點應放在擴展網絡的安全控制，并使其更貼近應用程序、數據和用戶。

2.識別安全漏洞

支持少數在家工作的員工所帶來的安全隱患與支持大規模的人數完全不同。Lindstrom說，將網絡連接擴展到員工住所的IT環境可能使企業服務器、應用程序資源和數據面臨新的漏洞和風險。

Unisys的CISO Mat Newfield表示，想解決這些風險，首先要意識到一些問題。

①您是否在公司系統上擁有適當的安全工具從而將感染率降至最低？

②您是否對遠程訪問進行了適當的配置和監控，以確保發送回家的公司系統不會充當公司網絡和家庭網絡之間的橋梁？

③您是否為在家工作的人員提供適當的工具和培訓，以確保其在家庭網絡中遵守與公司網絡相同的安全要求？

⑤如果出現問題，是否有必要具備安全應急的方法？

⑥確定您是否有適當的監控，以便能夠通過遠程訪問環境快速檢測到問題。

Kennedy表示，可見性是另一個問題。在網絡邊緣運行的某些基于網絡的安全控件無法完全捕獲家庭網絡上員工的活動，也無法對其采取行動。如何捕獲他們的活動以及實施安全控制將成為問題。

SANS研究所還有其他一些建議。是否要讓員工在家工作時報告安全事件，提前規劃報告安全事件的流程，讓員工了解他們應該向誰報告，如何報告，何時報告？

3.端點保護

確保從家庭網絡訪問到企業網絡的任何設備都受到保護，以免受到來自智能家居產品和其他連接到家庭網絡設備的潛在安全威脅。Lindstrom說，確保正確配置了端點威脅檢測和響應控制，并且VPN連接穩定。

Unisys的Newfield說：“我們看到許多家庭系統很容易受到攻擊，因為他們的漏洞沒有及時得到修復。”例如，許多家庭視頻游戲系統上都存在漏洞，他們可以主動掃描環境以尋找容易受到攻擊的主機。如果企業沒有加強防范此類威脅的措施，就有可能成為受害者。Newfield說：“公司在員工帶回家的設備上部署哪些工具和技術支持，直接影響通過訪問家庭網絡的設備對公司產生安全事件的可能性。”

另外，家庭網絡中的個人設備也具有足夠的安全防護。SANS研究所新興安全趨勢主管John Pescatore表示，例如，向在家工作的員工展示如何將新用戶非系統管理員帳戶添加到他們的家用電腦中。

Pescatore表示：“這至少可以隔離文件，以防止勒索軟件的影響，同時保持瀏覽器歷史記錄獨立限制特權。”他指出，應向所有在家工作的員工提供基于云的備份，以預防家庭網絡攻擊。要確保他們在家用電腦上的所有東西上都啟用了自動更新功能，例如：Windows、Adobe、Zoom和瀏覽器等。

4.提升員工的安全意識

通常，在家工作的大多數員工都不了解智能設備在家庭網絡與企業網絡之間相互連接轉換會給企業帶來安全風險。Newfield解釋道，如果用戶設置了自動更新的提示，就會實時修補存在漏洞的設備。所以提高員工在家辦公的安全意識及簡單的風險應對能力相當重要。