发头条

fatoutiao.com 互联网运营专业指南

Home /
從駭客思維切入,資安公司 DEVCORE 解析遠距工作的資安風險與防範措施

從駭客思維切入,資安公司 DEVCORE 解析遠距工作的資安風險與防範措施

【為什麼我們&#35201 […]

【為什麼我們要挑選這篇文章】新冠肺炎疫情迫使企業採取遠端工作措施,此舉卻讓企業陷入資安的不確定性,不僅難以掌控員工所使用的設備、VPN 帳號,更無法掌握員工操作設備的環境,讓有心人士有更多機會竊取公司機密。

哪些情境會讓企業陷入資安險境?企業、員工又該如何防範?資安公司 DEVCORE 分享「遠距工作的資安注意事項」,從駭客思維切入,解析遠距工作的資安風險與防範措施。(責任編輯:郭家宏)

近期因新型冠狀病毒(COVID-19,武漢肺炎)影響,不少企業開放同仁遠距工作(Telework)、在家上班(Work from home, WFH)。在疫情加速時,如果沒有準備周全就貿然全面開放,恐怕會遭遇尚未考慮到的資安議題。這篇文章提供一個簡單的指引,到底遠端在家上班有哪些注意事項?我們會從公司管理、使用者兩個面向來討論。

如果你只想看重點,請跳到最後一段 TL;DR。

企業系統遭攻擊的 3 個情境

我們先來聊聊攻擊的手段。試想以下幾個攻擊情境,這些情境都曾被我們利用在紅隊演練的過程中,同樣也可能是企業的盲點。

情境一、VPN 撞庫攻擊:同仁 A 使用 VPN 連線企業內部網路,但 VPN 帳號使用的是自己慣用的帳號密碼,並且將這組帳號密碼重複使用在外其他非公司的服務上(如 Facebook、Adobe),而這組密碼在幾次外洩事件中早已外洩。攻擊團隊透過鎖定同仁 A,使用這組密碼登入企業內部。而很遺憾的,VPN 在企業內部網路並沒有嚴謹的隔離,因此在內部網路的直接找到內網員工 Portal,取得各種機敏資料。

情境二、VPN 漏洞:VPN 漏洞已經成為攻擊者的主要攻略目標,公司 B 使用的 VPN 伺服器含有漏洞,攻擊團隊透過漏洞取得 VPN 伺服器的控制權後,從管理後台配置客戶端 logon script,在同仁登入時執行惡意程式,獲得其電腦控制權,並取得公司機密文件。可以參考之前 Orange & Meh 的研究:

情境三、中間人攻擊:同仁 C 在家透過 PPTP VPN 工作。不幸的是 C 小孩的電腦中安裝了含有惡意程式的盜版軟體。攻擊者透該電腦腦進行內網中間人攻擊(MITM),劫持 C 的流量並破解取得 VPN 帳號密碼,成功進入企業內網。

以上只是幾個比較常見的情境,攻擊團隊的面向非常廣,而企業的防禦卻不容易做到滴水不漏。這也是為什麼我們要撰寫這篇文章,希望能幫助一些企業在遠距工作的時期也能達到基本的安全。

遠端工作環境、設備讓企業資料暴露在風險中

風險指的是發生某個事件對於該主體可能造成的危害。透過前面介紹的攻擊手段要達成危害,對攻擊者來說並不困難,接著我們盤點出一些在企業的資安規範下,因應遠距工作可能大幅增加攻擊者達成機率的因子:

▌環境複雜:公司無法管控家中、遠距的工作環境,這些環境也比較複雜危險。一些公司內部的管理監控機制都難以施展,也較難要求同仁在家中私人設備安裝監控機制。

▌公司資料外洩或不當使用:若公司的資料遭到外洩或不當使用,將會有嚴重的損失。

▌設備遺失、遭竊:不管是筆電或者是手機等裝置,遺失或者遭竊時,都會有資料外洩的風險。

▌授權或存取控制不易實作:在短時間內提供大量員工的外部存取,勢必會在「可用性」和「安全性」間做出取捨。

若公司允許同仁使用私人的設備連上公司內部 VPN,這樣的議題就等同 BYOD(Bring Your Own Device),這些安全性的顧慮有不少文章可以參考。例如:

NIST SP800-46 Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) 

公司面向:藉由工作流程規劃與網路管理,降低資料外洩的風險

接下來我們來看看公司方面在遠距工作上面有哪些資安上面的作為。

工作流程及原則規劃

▌工作流程調整:遠距工作時,每個流程該如何作對應的調整,例如如何在不同地點協同作業、彙整工作資料、確認工作成果及品質等。

▌資料盤點:哪些資料放在雲端、伺服器、個人電腦,當遠距工作時哪些資料將無法被取用,或該將資料轉移到哪邊。

▌會議流程:會議時視訊設備、軟體選擇及測試,並注意會議軟體通訊是否有加密。狀況如會議時間延長、同時發言、遠距品質影響等。

▌事件處理團隊及流程:因遠距工作時發生的資安事件,該由誰負責處理、如何處理、盤點損失。

▌僅知、最小權限原則:僅知原則(Need-to-know Basis)以及最小權限原則(Principle of Least Privilege, PoLP),僅給予每個同仁最小限度需要的資料以及權限,避免額外的安全問題。

網路管理

▌VPN 帳號申請及盤點:哪些同仁需要使用 VPN,屬於哪些群組,每個群組的權限及連線範圍皆不同。

▌VPN 帳號權限範圍及內網分區:VPN 連線進來後,不應存取整個公司內網所有主機,因為 VPN 視同外部連線,風險等級應該更高,更應該做連線的分區管控。

▌監控確認 VPN 流量及行為:透過內部網路的網路流量監控機制,確認 VPN 使用有無異常行為。

▌只允許白名單設備取得 IP 位址:已申請的設備才能取得內網 IP 位址,避免可疑設備出現在內部網路。

▌開啟帳號多因子認證:將雲端服務、VPN、內部網路服務開啟多因子認證。

▌確認 VPN 伺服器是否為新版:在我們過去的研究發現 VPN 伺服器也會是攻擊的對象,因此密切注意是否有更新或者修補程式。

Palo Alto GlobalProtect 資安通報
FortiGate SSL VPN 資安通報
Pulse Secure SSL VPN 資安通報

其中值得特別點出的是 VPN 的設定與開放。近期聽聞到不少公司的管理階層談論到,因應疫情原本不開放 VPN 權限的同仁現在全開放了。而問到 VPN 連線進公司內部網路之後的監控跟阻隔為何,卻較少有企業具備這樣的規劃。內部網路是企業的一大資安戰場,開放 VPN 的同時,必定要思考資安對應的措施。

使用者面向:確實保護設備、帳密、網路、資料的安全

公司準備好了,接下來就是使用者的安全性了。除了公司提供的 VPN 線路、架構、機制之外,使用者本身的資安意識、規範、安全性設定也一樣重要。

保密

▌專機專用:用來存取公司網路或資料的電腦,應嚴格遵守此原則,禁止將該設備作為非公務用途。也應避免非公司人士使用或操作該裝置。

設備相關

▌開啟裝置協尋、鎖定、清除功能:設備若可攜帶移動,設備的遺失對應方案就必須要考慮完整。例如如何尋找裝置、如何鎖定裝置、如何遠端清除已遺失的裝置避免資料外洩。現在主流作業系統多半都會提供這些機制。

▌設備登入密碼:裝置登入時必須設定密碼,避免外人直接操作。

▌設備全機加密:設備若遺失遭到分析,全機加密可以降低資料被破解遺失的風險。

▌(選擇性)MDM(Mobile Device Management):若公司有導入 MDM,可以協助以上的管理。

帳號密碼安全

▌使用密碼管理工具並設定「強密碼」:可以考慮使用密碼管理工具並將密碼設為全隨機產生包含英文、數字、符號的密碼串。

▌不同系統帳號使用不同密碼:這個在很多次演講中都有提到,建議每個系統皆使用不同密碼,防止撞庫攻擊。

▌帳號開啟 2FA / MFA:若系統具備 2FA / MFA 機制,務必開啟,為帳號多一層保護。

網路使用

▌避免使用公用 Wi-Fi 連接公司網路:公眾公用網路是相當危險的,恐被側錄或竄改。若必要時可使用手機熱點或透過 VPN 連接網際網路。

▌禁止使用公用電腦登入公司系統:外面的公用電腦難確保沒有後門、Keylogger 之類的惡意程式,一定要禁止使用公用電腦來登入任何系統。

▌確認連線裝置是否可取得內網 IP 位址:確認內網 IP 位址是否無誤,是否能夠正常存取公司內部系統。

▌確認連線的對外 IP 位址:確認連線至網際網路的 IP 位址是否為預期,尤其是資安服務公司,對客戶連線的 IP 位址若有錯誤,可能釀成非常嚴重的損害。

▌(選擇性)安裝個人電腦防火牆:個人防火牆可以基本監控有無可疑程式想對外連線。

▌(選擇性)採用 E2EE 通訊工具:目前企業都會使用雲端通訊軟體,通訊軟體建議採用有 E2EE(End-to-End Encryption),如此可以確保公司內的機敏通訊內容只有內部人員才能解密,就連平台商也無法存取。

▌(選擇性)工作時關閉不必要的連線(如藍牙等):部分資安專家表示,建議在工作時將電腦的非必要連線管道全數關閉,如藍牙等,在外部公眾環境或許有心人士可以透過藍牙 exploit 攻擊個人裝置。

資料管理

▌只留存在公司設備:公司的機敏資料、文件等,必須只留存在公司設備中,避免資料外洩以及管理問題。

▌稽核記錄:記錄機敏資料的存放、修改、擁有人等資訊。

▌重要文件加密:重要的文件必須加密,且密碼不得存放在同一目錄。

▌信件附件加密,密碼透過另一管道傳遞:郵件的附件除了要加密之外,密碼必須使用另一管道傳遞。例如當面告知、事前約定、透過 E2EE 加密通道、或者是透過非網路方式給予。

▌備份資料:機敏資料一定要備份,可以遵循「3-2-1 Backup Strategy」:三份備份、兩種媒體、一個放置異地。

實體安全

▌離開電腦時立刻鎖定螢幕:離開電腦的習慣是馬上進入螢幕保護程式並且鎖定,不少朋友是放著讓他等他自己進入鎖定,但這個時間差有心人士已經可以完成攻擊。

▌禁止插入來路不明的隨身碟或裝置:社交工程的手法之一,就是讓同仁插入惡意的 USB,甚至有可能摧毀電腦(Bad USB, USB Killer)。

▌注意外人偷窺螢幕或碰觸設備:若常在外工作處於公共空間,可以考慮採購螢幕防窺片。

▌不放置電腦設備在車上:雖然台灣治安不錯,但也是不少筆電在車上遭竊,重要資產記得隨身攜帶,或者放置在隱密處。

▌將工作區域關門或鎖上:若在自己的工作區域,為了爭取更多時間應變突發狀況,建議將工作區域的門關閉或者上鎖。

TL;DR 從攻擊者的面向思考資安防禦策略,防疫同時也別忽視資訊安全

網路的攻防就是一場戰爭,如果不從攻擊者的面向去思考防禦策略,不但無法有效的減緩攻擊,更可能在全世界疫情逐漸失控的當下,讓惡意人士透過這樣的時機攻擊遠距工作的企業。期望我們的經驗分享能夠給企業一些基本的指引,也希望天災人禍能夠儘速消彌。台灣加油!

▌開放 VPN 服務前,注意帳號管理以及內網切割隔離,避免透過 VPN 存取內網任意主機。

▌雲端、網路服務務必使用獨一無二長密碼,並開啟 MFA / 2FA 多因子認證。

▌使用雲端服務時務必盤點存取權限,避免文件連結可被任意人存取。

▌注意設備遺失、竊取、社交工程等實體安全議題。

▌網路是危險的,請使用可信賴的網路,並在通訊、傳輸時採用加密方式進行。

(本文經 DEVCORE 授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為 〈 遠距工作的資安注意事項 〉。首圖來源:Piqsels CC Licensed

更多關於資安的資訊

再掀資安爭議!Zoom iOS App 版用戶曾在不知情狀況下「被分享」資訊給臉書
視訊會議軟體 Zoom 曾爆資安危機,會偷偷自動開啟 Mac 用戶鏡頭
英特爾 CPU 發現難以修復的硬體漏洞,大量電腦陷於資安險境!


IT x OT 資安攻防戰!

工廠轉型最常碰到的「系統整合難題」怎麼迎刃而解?

馬上破解

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注

youtube abone hilesi