AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
后疫情時代,企業如何布局遠程安全辦公?
因疫情被按下的“暫停鍵”,已逐步切換成復工復產的“快進鍵”。疫情催生的遠程辦公、視頻會議、在線教育、遠程醫療等新模式、新業態,正在加快涌現和發展。
有專家認為,數字化辦公場所及遠程辦公機制將成為數字化轉型的重要支撐。后疫情時代,非接觸式的遠程辦公,將是新寵。《周易》有云,君子豹變,企業應當做好后疫情時代的遠程安全辦公布局。
梳理:遠程辦公的主要模式
對于大多數企業而言,當前使用的遠程辦公能力是臨時搭建的,安全能力相對薄弱且不完整。后疫情時代,如何保障遠程辦公軟件的穩定性、安全性,多角度加固網絡安全體系,賦能企業的數字化轉型、提質增效,是企業需要重點考慮的問題。
目前,企業普遍采用的遠程辦公方式主要包括:
1、通過虛擬專用網(VPN):在公用網絡(通常是因特網)中建立一個臨時的、安全的連接,形成一條穿過混亂的公用網絡的安全、穩定的隧道,為員工日常辦公需求,包括獲取公司內部郵件、訪問局域網中的文件服務器、內部數據庫、CRM、ERP等等。
2、遠程控制辦公:主要通過遠程控制技術,或遠程控制軟件,對遠程電腦進行操作辦公,實現非本地辦公:在家辦公、異地辦公、移動辦公等遠程辦公模式。
3、遠程會議/社交:主要通過社交軟件進行遠程視頻會議的方式進行工作安排、討論、匯報等。
?
盤點:企業面臨的幾個典型安全場景
企業遠程辦公無疑增加了企業信息資產的暴露面,帶來了企業的核心數據資產的安全問題,包括敏感數據的使用、賬戶行為、代碼傳輸以及社交軟件的通訊信息傳輸的安全性等。另外,遠程辦公為企業在員工績效、工作成果等考核也帶來了一系列的考驗。
1、企業采用VPN技術為員工建立與內部網絡的鏈接,對企業的賬號管理規范、人員管理規范帶來調整,會涉及一系列的賬號盜用、業務違規等安全隱患。
2、針對企業的信息資產、數字資產通常采用遠程控制維護,增加了企業核心資產的暴露面,被攻擊導致數據泄露、資產破壞的風險增加,同時,遠程控制也會帶來企業資產被惡意遠控的安全隱患。
3、企業采用郵件、社交軟件進行工作安排、溝通以及會議等,郵件和社交軟件的通訊都是通過互聯網,數據傳輸存在巨大的風險。
安恒信息針對遠程辦公期間面臨的主要網絡安全問題,逐個分析并給出安全建議。
?
01遠程辦公VPN賬戶行為異常
問題描述:VPN賬戶疑似越權、提權、訪問敏感數據等。
場景分析及建議:
VPN賬戶行為建模的三大要素為用戶、資產和行為特征。提取VPN系統的賬號日志、結合網絡全流量信息,構建用戶異常行為模型,讓企業具備對最可能影響系統的各種異常用戶行為進行系統性識別和評價。為企業提供VPN賬戶異常行為監測能力:
1)確認用戶的類型和權限,及時發現越權和提權賬戶行為;
2)確認資產的類型和應用以及數據承載等,及時監測是否存在異常VPN賬戶訪問敏感數據等;
3)VPN賬戶關聯分析研究,將各類安全威脅和安全事件,與用戶異常行為特征庫和用戶畫像等進行關聯分析,從中監測出具備明顯的異常行為溯源。
?
02核心業務系統出現異常訪問
問題描述:核心業務系統、數據庫出現非法訪問和鏈接。
場景分析及建議:
檢測思路1:基于訪問特征學習的異常行為檢測
用戶對業務應用的正常訪問,應該沿著應用現有的邏輯結構進行,訪問路線必然同應用的邏輯結構相吻合。通過構造用戶訪問模型,即可獲得用戶訪問圖,則用戶每次的正常訪問路徑必定是大圖內的子圖。通過用戶畫像平臺的數據,分析用戶的訪問特征,可以快速的發現用戶的異常訪問行為。
檢測思路2:基于統計特征的異常行為檢測
由于正常的訪問請求占絕大部分,且彼此之間具有明顯的相似性,而異常的查詢請求日志則有明顯的差異,因此非常適合采用相似性分析的方法進行區分。在分析應用日志時,可以把發送查詢請求的主機IP地址作為對象,也可以把應用異常文件作為對象。可以針對某個屬性進行分析,也可以針對一組屬性進行分析。因此不同的對象和屬性組合在一起可以得到很多種描述性矩陣。通過對比跟蹤分析,發現異常的用戶的訪問行為。
03企業內部數據泄露行為
問題描述:遠程辦公期間,企業的內部數據通過各類遠程渠道對外暴露,造成較大的安全隱患。攻擊者會挑選大家不注意的時刻進行數據竊取。
場景分析及建議:
統計局域網內每臺服務器的網絡流量變化,就可以檢測流量異常行為。統計正常用戶的流量變化規律,統計流量上行和下行的規律,分別統計工作時間和休息時間的規律。
利用線性回歸分析預測一個用戶在某個時刻的下行流量,如果實際流量比預測流量大太多,則認為這個用戶出現異常,進一步分析該用戶的當前行為。如果出現IP(用戶)的流量規律明顯異常,則跟蹤分析這些IP(用戶)的當前行為,判斷這些IP(用戶)是否在竊取網絡數據。
04釣魚郵件和詐騙郵件
問題描述:企業常常會通過電子郵件群發重要通知文件,員工也需要電子郵件傳遞交流工作內容,此時如防御松懈,易發生攻擊者破解入侵員工郵箱,或者有攻擊者發送釣魚郵件,非常時期容易誘使企業或員工上當受騙,造成各類信息泄密或財產損失事件。
場景分析及建議:
可對企業郵箱的賬號登錄時間、郵件數、敏感詞的進行監測分析。
1)通過登錄時間、頻率、周期等指標監測,發現阻止暴力破解行為或潛伏破解行為;
2)通過收發郵件的數量分析、發送對象分析、附件大小審計,發現異常的收發郵件行為,檢測賬戶失陷、數據泄露、郵箱炸彈等事件;
3)通過郵箱基線分析、內容敏感詞識別等,檢測詐騙郵件。
05內網資產出現橫向滲透常
問題描述:企業在遠程辦公期間容易懈怠內部安全問題,給攻擊者可乘之機,內部網絡中出現大量的橫向異常鏈接。
場景分析和建議:
利用全流量分析設備對內網網絡的流量進行分析。
1)監測主機/用戶的高危端口連接情況,及時發現連接異常連接高危端口的主機或用戶;
2)監測主機/用戶的地址、端口連接數量情況,及時發現有掃描路徑、端口行為的主機或用戶;
3)監測主機/用戶的流量分布情況,及時發現異常上傳或下載行為的主機或用戶。
06內部核心服務器性能異常
問題描述:遠程辦公期間,內部核心服務器,如VPN服務器、堡壘機以及辦公平臺接收大量的外部請求,可能會造成性能瓶頸,影響遠程辦公。
場景分析和建議:
通過主機日志接入,基于時間序列監控,進行核心服務器狀態監測,及時發現性能異常。
1)主機CPU使用情況、主機內存使用情況、主機進程情況,及時發現因挖礦病毒等導致的計算資源異常情況;
2)分析企業內部VPN、單點登錄設備等服務器的性能情況,對遠程辦公期間帶來的大量請求進行及時性能預警,保障遠程服務的可用性。
07社交通訊軟件互聯網傳輸
問題描述:遠程辦公期間,大量的工作通訊信息通過社交軟件如釘釘、企業微信、QQ等進行傳輸,面臨巨大隱患。
場景分析和建議:
采用第三方加密產品或方案,解決信息傳輸安全隱患。
解決方案推薦
1、端到端加密,保障社交通訊安全
基于釘釘入口提供第三方加密解決方案。采用國密標準算法,對信息(包括文字、圖片、語音、視頻等)全面加密;讓信息在傳輸、存儲過程中都是加密狀態;離職人員無法解密在職期間任何信息;除了信息所有者,任何第三方均無法查看,確保數據的安全性及私密性。
2、點對點/面行為分析,及時監測異常行為
UEBA技術提供端到端的分析,從數據獲取到數據分析,從數據梳理到數據模型構建,從得出結論到還原場景,自成整套體系,提供用戶行為跟蹤分析的最佳實踐,記錄了人產生和操作的數據,并且能夠進行實際場景還原,從用戶分析的角度來說非常完整并且直接有效。幫助用戶防范賬戶異常操作,避免數據泄露,在遠程辦公期間提高新型安全事件的檢測能力,增強服務質量,提高工作效率。
?
安全,是遠程辦公的前提。針對遠程辦公的痛點,安恒信息推出了遠程辦公安全解決方案,助力用戶安全“通關”。歡迎咨詢。
?
?
