为了使COVID-19大流行期间的劳动力分配, IT团队不得不做出艰难的妥协来保持他们的业务运行。不幸的是,为了实现业务连续性,他们的一些善意行为导致了错误配置和安全权衡。
随着灰尘和世界调整到大型遥控器,IT团队需要确保这些漏洞不会持续超过必要的环境。为此,让我们来看看一些最常见的权衡,即它队伍被迫制作,并分享如何重建强大的安全姿势的一些建议。
启用远程劳动力
路线一:购买硬件
购买新硬件是最简单和最安全的选择。然而,根据a民意调查由电子贸易集团IPC主持,计算机制造和供应链在全球范围内正经历重大延误。
如果您有幸获得了新的硬件,那么一定要记住,通过安装正确的应用程序和防火墙来为这些设备配备公司形象。如果你正在使用翻新过的硬件,首先进行一次审计以确保它是一个干净和安全的设备是至关重要的。
方法二:使用员工的个人电脑
在这一转变过程中,许多企业允许员工使用个人设备。虽然这可能是保持运行的关键,个人设备带来了一系列的安全挑战,包括可能存在的恶意软件和没有安装最新的更新。当这些设备连接到企业网络时——下文将详细介绍——整个组织将面临看不见的风险。
边注- - - - - -这就是网络通信可见性如此重要的原因之一。通过使用网络水龙头获得100%的流量访问权限和实时监控网络检测和响应(NDR)解决方案允许您跟踪从资产到资产的可疑行为,从而更好地减轻威胁并了解攻击向量。
旋转了vpn
无论员工是通过公司电脑还是个人设备进行连接,许多人都使用虚拟专用网(VPN)访问关键系统和资产。虽然许多组织已经配置了vpn,但很少有组织为每个突然需要vpn的人提供足够的许可证,这迫使IT团队迅速行动。在这种情况下,错误的配置是引起担忧的合理原因。对于这些团队来说,回去审核这些连接以确保安全性是至关重要的。
计划重新开放办公室
虽然尚未确定返回办公室的时间框架,但IT团队应考虑在员工返回时与企业形象一起考虑擦拭机器并将其重叠。这包括员工从办公室到家庭物理上移动的任何桌面电脑。
协议和软件的误用和错误配置
互联网上的RDP
IT团队和员工可能会试图使用远程桌面协议(RDP)访问他们办公室的机器。事实上,许多人已经这样做了。根据Shodan在美国,RDP活动显著上升。ZDNET报道从2020年1月到3月,开放给互联网的RDP端口从300万个跃升到450万个,在ExtraHop,我们看到我们的客户群中RDP的使用量有所增加。一般的经验法则是,你不应该长期使用RDP。
如果您必须在这些情况下使用RDP,我们建议以下一些关键最佳实践。最重要的是,必须通过一个安全的VPN访问RDP,以确保您的关键资产和系统不会通过internet的开放门户暴露出来,并保持RDP的简短使用。坏人正在寻找突破口,并准备利用他们发现的任何漏洞。为了了解更多,阅读Extrahop关于RDP的安全建议。
>>现在阅读:如何克服云中的数据包捕捞挑战[免费白皮书]
虚拟网络计算(VNC)
与RDP类似,虚拟网络计算(VNC)是员工在家中访问桌面计算机的另一种方式。虽然IT团队不太可能推荐使用这个系统,但我们已经听到了员工擅自使用VNC工具(如TeamViewer)的报告。
同样,VNC软件在使用时是可以的:故障排除。不建议持续使用,而且在使用大量带宽的同时会带来很大的安全风险。与必须在内部启用的RDP不同,VNC是由第三方供应商管理的。让托管服务访问员工的计算机和关键资产是一个额外的风险。对于企业来说,通过第三方进行路由身份验证不是一个安全的选择。简单地说,您永远不应该让您作为一个组织的安全态势被第三方控制。
那么,你公司的员工是否参与了可能危及公司业务的危险行为?
不幸的是,你不知道你不知道。好消息是,通过将网络抽头与网络检测和响应(NDR)解决方案相结合,可以轻松地在网络中获得完全可见性。如果员工正在使用VNC工具,则Garland技术网络轻拍和PacketMax与e乐动体育菠菜xtrahop leows(x)相结合,您将获得警报风险。
全隧道VPN与分离隧道VPN
在大多数情况下,IT团队会希望员工通过分离隧道VPN(而不是全隧道)访问VPN,这样就不会给网络造成负担。如果不这样做,就会给性能和安全性带来挑战。
像Zoom和netflix这样的大容量应用程序——自从在家工作开始生效以来,它们的使用越来越多——不需要通过VPN路由,如果不加以监控,可能会影响性能。
太多的流量可以在VPN上提示,使您暴露于拒绝服务(DOS)攻击。全隧道VPN访问还会增加您通过数据中心路由良好流量的风险。
顺便说一句,通过Garland的全包可见性和ExtraHop Reveal(x)的实时检测,您总是知道谁通过一个完整的隧道访问VPN。
Secure Shell (SSH)
随着越来越多的人需要在企业环境之外执行命令和配置,各组织可能会看到安全Shell协议(SSH)的使用增加。SSH允许安全连接到其他不安全网络中的系统。它的目的是提供额外的安全性。然而,如果被没有权限的人访问,就有可能造成很大的损害。
在正常情况下,安全团队将限制凭据访问,但是向远程工作的转移增加了需要访问SSH的人数。由于急于提供访问权限和使用SSH的员工数量的增加,不良行为者有机会潜入而不被发现。
安全团队应该关注哪些ip正在访问SSH,利用Garland的可见性解决方案。Garland解决方案允许用户了解基线流量,以不断发现偏离标准。ExtraHop Reveal(x)可以扫描SSH,以发现任何暴露关键资产的开放端口,并立即调查任何可疑活动。
扫描和侦察
安全团队可以并应该扫描他们的环境以暴露任何开放式门户。但他们也应该注意谁在做扫描。正在进行资产扫描的监控可能会使正在寻找对环境的接入点的潜在不需要的入侵者。如果您看到扫描的增加,那么由于恶意软件在开始攻击之前需要扫描恶意软件,因此应该提示您可能会恶意行为。如果您可以解释扫描的增加,那就太好了。但如果它是可疑的,那么挖掘更深。
花环和索引如何提供帮助
使分布式劳动力推动它的队伍迅速移动并制作权衡,以确保业务连续性,但现在是时候回去并整理混乱了。在您(现在分布式)网络上没有完全可见性,上面概述的问题可能会持续很长时间没有检测。
增加停留时间让糟糕的演员在挖洞进入你的基础设施时。攻击的平均停留时间仍然存在大约三个月,这意味着这一新现实的安全影响将不会出现一些时间。IDC数据显示ExtraHop帮助安全团队将驻留时间减少60%,而确保工具完整可见性的唯一方法是实现网络监控。
使用本地云解决方案花环虚拟开发和Extrahop揭示(x),组织获得了保护其分布式业务所需的视角。
利用了Garland“TAP to Tool”的理念Extrahop Reveal(x)可以将先进的机器学习应用于所有云和网络流量,提供完整的可视性、实时威胁检测和跨混合和多云环境的智能响应。要了解如何从(新)分布式网络中消除任何盲点,请参阅extrahop和花环解决方案。
