后疫情时代,企业如何布局远程安全办公

发布者: 发布时间:2020-04-09

因疫情被按下的“暂停键”,已逐步切换成复工复产的“快进键”。疫情催生的远程办公、视频会议、在线教育、远程医疗等新模式、新业态,正在加快涌现和发展。

  有专家认为,数字化办公场所及远程办公机制将成为数字化转型的重要支撑。后疫情时代,非接触式的远程办公,将是新宠。《周易》有云,君子豹变,企业应当做好后疫情时代的远程安全办公布局。

  梳理:远程办公的主要模式

  对于大多数企业而言,当前使用的远程办公能力是临时搭建的,安全能力相对薄弱且不完整。后疫情时代,如何保障远程办公软件的稳定性、安全性,多角度加固网络安全体系,赋能企业的数字化转型、提质增效,是企业需要重点考虑的问题。

  目前,企业普遍采用的远程办公方式主要包括:

  1、通过虚拟专用网(VPN):在公用网络(通常是因特网)中建立一个临时的、安全的连接,形成一条穿过混乱的公用网络的安全、稳定的隧道,为员工日常办公需求,包括获取公司内部邮件、访问局域网中的文件服务器、内部数据库、CRM、ERP等等。

  2、远程控制办公:主要通过远程控制技术,或远程控制软件,对远程电脑进行操作办公,实现非本地办公:在家办公、异地办公、移动办公等远程办公模式。

  3、远程会议/社交:主要通过社交软件进行远程视频会议的方式进行工作安排、讨论、汇报等。

  盘点:企业面临的几个典型安全场景

  企业远程办公无疑增加了企业信息资产的暴露面,带来了企业的核心数据资产的安全问题,包括敏感数据的使用、账户行为、代码传输以及社交软件的通讯信息传输的安全性等。另外,远程办公为企业在员工绩效、工作成果等考核也带来了一系列的考验。

  1、企业采用VPN技术为员工建立与内部网络的链接,对企业的账号管理规范、人员管理规范带来调整,会涉及一系列的账号盗用、业务违规等安全隐患。

  2、针对企业的信息资产、数字资产通常采用远程控制维护,增加了企业核心资产的暴露面,被攻击导致数据泄露、资产破坏的风险增加,同时,远程控制也会带来企业资产被恶意远控的安全隐患。

  3、企业采用邮件、社交软件进行工作安排、沟通以及会议等,邮件和社交软件的通讯都是通过互联网,数据传输存在巨大的风险。

  针对远程办公期间面临的主要网络安全问题,逐个分析并给出安全建议。

  01 远程办公VPN账户行为异常

  问题描述:VPN账户疑似越权、提权、访问敏感数据等。

  场景分析及建议:

  VPN账户行为建模的三大要素为用户、资产和行为特征。提取VPN系统的账号日志、结合网络全流量信息,构建用户异常行为模型,让企业具备对最可能影响系统的各种异常用户行为进行系统性识别和评价。为企业提供VPN账户异常行为监测能力:

  1)确认用户的类型和权限,及时发现越权和提权账户行为;

  2)确认资产的类型和应用以及数据承载等,及时监测是否存在异常VPN账户访问敏感数据等;

  3)VPN账户关联分析研究,将各类安全威胁和安全事件,与用户异常行为特征库和用户画像等进行关联分析,从中监测出具备明显的异常行为溯源。

  02 核心业务系统出现异常访问

  问题描述:核心业务系统、数据库出现非法访问和链接。

  场景分析及建议:

  检测思路1:基于访问特征学习的异常行为检测

  用户对业务应用的正常访问,应该沿着应用现有的逻辑结构进行,访问路线必然同应用的逻辑结构相吻合。通过构造用户访问模型,即可获得用户访问图,则用户每次的正常访问路径必定是大图内的子图。通过用户画像平台的数据,分析用户的访问特征,可以快速的发现用户的异常访问行为。

  检测思路2:基于统计特征的异常行为检测

  由于正常的访问请求占绝大部分,且彼此之间具有明显的相似性,而异常的查询请求日志则有明显的差异,因此非常适合采用相似性分析的方法进行区分。在分析应用日志时,可以把发送查询请求的主机IP地址作为对象,也可以把应用异常文件作为对象。可以针对某个属性进行分析,也可以针对一组属性进行分析。因此不同的对象和属性组合在一起可以得到很多种描述性矩阵。通过对比跟踪分析,发现异常的用户的访问行为。

  03 企业内部数据泄露行为

  问题描述:远程办公期间,企业的内部数据通过各类远程渠道对外暴露,造成较大的安全隐患。攻击者会挑选大家不注意的时刻进行数据窃取。

  场景分析及建议:

  统计局域网内每台服务器的网络流量变化,就可以检测流量异常行为。统计正常用户的流量变化规律,统计流量上行和下行的规律,分别统计工作时间和休息时间的规律。

  利用线性回归分析预测一个用户在某个时刻的下行流量,如果实际流量比预测流量大太多,则认为这个用户出现异常,进一步分析该用户的当前行为。如果出现IP(用户)的流量规律明显异常,则跟踪分析这些IP(用户)的当前行为,判断这些IP(用户)是否在窃取网络数据。

  04 钓鱼邮件和诈骗邮件

  问题描述:企业常常会通过电子邮件群发重要通知文件,员工也需要电子邮件传递交流工作内容,此时如防御松懈,易发生攻击者破解入侵员工邮箱,或者有攻击者发送钓鱼邮件,非常时期容易诱使企业或员工上当受骗,造成各类信息泄密或财产损失事件。

  场景分析及建议:

  可对企业邮箱的账号登录时间、邮件数、敏感词的进行监测分析。

  1)通过登录时间、频率、周期等指标监测,发现阻止暴力破解行为或潜伏破解行为;

  2)通过收发邮件的数量分析、发送对象分析、附件大小审计,发现异常的收发邮件行为,检测账户失陷、数据泄露、邮箱炸弹等事件;

  3)通过邮箱基线分析、内容敏感词识别等,检测诈骗邮件。

  05 内网资产出现横向渗透常

  问题描述:企业在远程办公期间容易懈怠内部安全问题,给攻击者可乘之机,内部网络中出现大量的横向异常链接。

  场景分析和建议:

  利用全流量分析设备对内网网络的流量进行分析。

  1)监测主机/用户的高危端口连接情况,及时发现连接异常连接高危端口的主机或用户;

  2)监测主机/用户的地址、端口连接数量情况,及时发现有扫描路径、端口行为的主机或用户;

  3)监测主机/用户的流量分布情况,及时发现异常上传或下载行为的主机或用户。

  06 内部核心服务器性能异常

  问题描述:远程办公期间,内部核心服务器,如VPN服务器、堡垒机以及办公平台接收大量的外部请求,可能会造成性能瓶颈,影响远程办公。

  场景分析和建议:

  通过主机日志接入,基于时间序列监控,进行核心服务器状态监测,及时发现性能异常。

  1)主机CPU使用情况、主机内存使用情况、主机进程情况,及时发现因挖矿病毒等导致的计算资源异常情况;

  2)分析企业内部VPN、单点登录设备等服务器的性能情况,对远程办公期间带来的大量请求进行及时性能预警,保障远程服务的可用性。

  07 社交通讯软件互联网传输

  问题描述:远程办公期间,大量的工作通讯信息通过社交软件如钉钉、企业微信、QQ等进行传输,面临巨大隐患。

  场景分析和建议:

  采用第三方加密产品或方案,解决信息传输安全隐患。

  解决方案推荐

  1、端到端加密,保障社交通讯安全

  基于钉钉入口提供第三方加密解决方案。采用国密标准算法,对信息(包括文字、图片、语音、视频等)全面加密;让信息在传输、存储过程中都是加密状态;离职人员无法解密在职期间任何信息;除了信息所有者,任何第三方均无法查看,确保数据的安全性及私密性。

  2、点对点/面行为分析,及时监测异常行为

  UEBA技术提供端到端的分析,从数据获取到数据分析,从数据梳理到数据模型构建,从得出结论到还原场景,自成整套体系,提供用户行为跟踪分析的最佳实践,记录了人产生和操作的数据,并且能够进行实际场景还原,从用户分析的角度来说非常完整并且直接有效。帮助用户防范账户异常操作,避免数据泄露,在远程办公期间提高新型安全事件的检测能力,增强服务质量,提高工作效率。

  来源:安恒信息

联系我们

CONTACT US

在线留言
公司位置