Get best of the week

如何保护远程员工或家庭办公室安全



冠状病毒的流行正迫使公司和州政府大规模放弃其安全原则,离开受保护的边界,并将用户转移到远程操作模式。已经有许多文章介绍了如何确保访问的安全性以及在何处获得免费许可证。我们作为监视和应对网络攻击的中心,将尽力描述与新世界秩序有关的保护周边的风险和暂时性困难。关于将员工转移到远程工作时的监视内容以及监视方式,请在猫下阅读。


排水沟,漏水和家用电器


远程访问的路径始于连接。如果我们有很多时间来设计一个真正的安全解决方案,那么我们将建立整个保护梯队:

  • 检查连接的设备的安全策略,或至少拒绝来自个人设备的访问。
  • 设备中嵌入的证书或第二个身份验证因子。
  • 管理员控制系统,用于记录访问权限,命令和视频。

但是时间有限,将员工转移到远程站点非常紧急,因此没有人会等待大型实施,令牌/新系统的交付或当前访问规模的扩展。结果,大多数公司仍停留在家用设备和连接保护处于配置文件级别(易于选择)以及该帐户的经典用户名/密码对的状态。

在这里,我们正在进入问题的第一轮的轨道。尽管有域策略,用户仍可以使用“字典”和“彩虹”密码。其中一些密码与来自外部资源的个人密码相吻合,而这些密码非常活跃,以至于进行分析甚至都没有意义。有时,登录名和密码只是从受感染的个人设备泄漏而来,在新的现实中,它们不仅危害邮件,而且还为攻击者提供了进一步影响基础架构的空间。

我们建议遵循的是:

  • VPN连接地理位置-方案的错误率很高(尤其是在使用Opera Turbo或主动绕过锁时),但是,尽管如此,您仍可以看到副总经理(突然)从塞内加尔进行连接。每个地理位置基础都有其自身的局限性和错误,但现在最好改掉它。
  • «» — VPN- ( , , , ). , , .
  • «» . : , , , VPN-, .. , , , , , – . «», , .
  • . , , — -. — .
  • ( ). , , . VPN , . , , .
  • 一个重要因素是TI的使用。受到攻击的主机,匿名者,代理或TOR节点的尝试甚至更成功的连接,都可能表明黑客试图通过匿名化最后一步来隐藏其工作痕迹,从而发动攻击。

VPN被黑,我们保护网络


如果攻击者设法越过第一道防线并获得对VPN的访问权限,那么我们识别它的能力就不会到此为止。喜欢的问题:

  • 通常,在快速工作的忙碌中,将打开冗余访问:而不是目标系统,而是整个网络段。
  • 通常,没有完整的帐户管理,并且通常可以访问最新的系统或特权帐户。

在此阶段要控制什么:

  • () VPN . , . - -, VPN root, .
  • , / . VPN- , «» , . , . .
  • . , , low and slow . , ,
  • 尝试收集数据的间接迹象正在监视VPN中会话的数量,会话的持续时间以及任何表明用户行为异常的异常情况。这使您可以识别内部和外部事件。

保护目标系统或终端访问


如果我们没有这么绝望勇敢才能让每一个用户对我们的工作站,那么用户的终端服务器/集线器通常充当远程员工协作/代理环境。

在它们的情况下,监视方法与监视任何关键主机完全相同:

  • 分析主机进程启动日志中的异常
  • 监视远程进程和服务启动
  • 远程管理工具控制
  • ,

关于终端站的监视,希望我们能在不久的将来告诉您。但是需要注意的是,如果在机器的一般范围内通常存在很多误报,那么在本地终端服务器组中,我们通常能够处理每一个误报并做出裁决。

由于昂贵且复杂的解决方案,尤其是在一开始时,就不必采用一种或另一种方式为员工提供对基础结构的远程访问。在设计真正安全的访问时,重要的是不要放任自由游泳的安全级别,并继续处理关键问题和风险。因此,在日常生活中要注意卫生,但在信息安全方面不要忘记卫生。保持健康。

More articles:


All Articles