由于远程办公模式越来越普遍,人们可以使用各种设备在世界各地办公。不过这种便利的办公方式,同时也带来了很多风险,如果连接到不安全的公共Wi-Fi网络(例如咖啡店或水吧等),就会导致数据泄漏的风险增加。
假设一位远程员工使用他的个人智能手机访问公司的云服务,他可以查看、共享和更改机密文档,如财务电子表格、演示文稿和营销材料等。除此之外,他还通过自己的设备登录公司电子邮件,并将一些重要文件的副本直接下载到他的手机上。这时,万一他的设备突然丢失,而他的设备没有设置密码锁,那么这些数据就不会得到保护,这是一件非常危险的事情。
根据最近Ponemon Institute的一项研究显示,从2016年到2018年,涉及员工或外包公司疏忽的网络事件数量平均增加了26%。由此看来,这些情景不仅仅是假设,而是真实存在的风险。
为了更好地了解那些有远程员工的企业所面临的挑战和最佳方案,Malwarebytes与IDG Connect合作制作了白皮书“ Lattes,Lunch和VPN:确保远程工作人员的安全。”在该白皮书中,我们展示了现代化企业需要现代网络安全的协助,以及现代网络安全不仅仅意味着执行最新技术,并且要有良好的管理方法。
以下是我们提供的一些操作方法,详细说明了应如何保护公司提供设备的和个人设备,以及保护公司网络和云服务器的访问。
如果您想深入了解分段网络、VPN、安全意识培训以及如何选择正确的防病毒解决方案,可以点击此处阅读完整报告。
1.为员工提供实际所需设备和数据访问权限
设备越多意味着接入点越多,接入点越多则意味着漏洞越多。即使给每位新员工提供最新智能手机,诱使他们用新设备远程办公,但我们也应该知道,不是每个员工都需要最新的设备才能成功完成工作。
例如,如果一个公司客户支持团队经常与国外的客户有合作,那他们可能需要具有国际呼叫的设备。如果一个销售代表在外面见客户,那他们可能需要具有GPS服务和地图应用的智能设备。又比如,一些前台工作人员可能根本不需要智能设备。
因此,为确保公司的敏感数据不会被其他设备无意访问,请为员工提供他们实际所需的设备。
同理,并不是每个员工都需要最新的设备,也不是每个员工都需要批量访问公司的数据和云账户。
例如,公司的营销团队可能不需要全面了解财务状况,客服团队可能也不需要完全了解技术平台。
正是这样,我们要通过“基于角色的访问控制”(RBAC)模型,来评估哪些员工需要访问哪些相关数据。只有在需要知道的情况下才能访问最敏感的数据。如果员工不使用该数据或共享该数据的平台,则他们不需要登录凭据来访问该数据。
要知道,提供的设备越多,员工获得的访问权限越多,第三方或居心不良的员工就越容易非法地获取数据。因此,通过为员工提供实际所需的设备和访问权限,降低设备丢失错放和被盗数据的风险。
2.所有公司提供的设备上都要设置密码和验证码。
平时我们自己使用的笔记本电脑、智能手机和平板电脑,都会设置密码和验证码来作为保护,同样,公司提供的各种设备,也必须设置密码和验证码。
如果忽略了这个简单的安全步骤,就会产生一个巨大的漏洞。一旦没有设置密码和验证码的设备丢失或被盗,则该设备上存储的每条机密信息(包括人力资源信息、客户详细信息、演示文稿和论文),都可以由公司外部的人员访问。
如果您的员工也使用让他们自动登录的在线平台,那么所有这些信息也会有危险。公司电子邮件、工作时的闲聊、在Dropbox上创建和共享的文档,甚至是员工福利信息都可能被错误地访问。
我们强烈建议公司使用具有双因素身份验证(2FA)的密码管理器。这样员工可以不必记住数十个密码,还可以更安全地访问公司数据。
3.使用单点登录(SSO)和2FA进行公司服务。
正如上面所说,公司设备的丢失有时不仅仅会导致本地存储数据的泄漏,甚至还会导致设备可以访问基于网络和/或云的数据。
要限制此漏洞,请在员工希望访问各种可用平台时实施SSO解决方案。
单点登录有两个直接的好处。其一,从公司的差旅申请服务到其内部网主页,员工无需记住每个应用程序的一系列密码。第二,您可以设置一个SSO服务来要求第二种形式的身份验证,通常是在员工登录时,向设备发送一个具有唯一代码的文本消息。
通过利用这两个功能,即使员工的公司设备被盗,窃贼也无法登录任何存储敏感公司数据的重要在线帐户。
最受中小型企业欢迎的两个单点登录提供商是Okta和OneLogin。
4.在公司提供的设备上安装远程擦除功能。
别高兴的太早,即使把公司提供的设备设置了密码和验证码,并且公司的在线资源也启用了双因素身份验证,也不能保证绝对安全。问题来了,如果一名员工叛变了会怎么样呢?上述安全措施仅限于设备被盗或丢失,但是当威胁来自企业内部,并且他们已经拥有掠夺公司文件的所有必要资格时,我们该怎么办?
虽说这是一个极端的情况,但你可以Google一下 “员工窃取公司数据”的搜索结果,看看这种情况发生的频率。
要限制此威胁,应在公司提供的设备上安装远程擦除功能。这种类型的软件通常使公司不仅可以擦除设备,还可以找到它并锁定当前用户。
有些手机制造商提供了相关功能,比如在Apple设备上查找我的iPhone,在三星设备上查找我的手机,这可以让设备所有者找到设备,锁定屏幕,并擦除本地存储的所有数据。
5.如何保护自带设备(BYOD)
对于远程工作人员来说,实现自带设备策略是有道理的。员工通常更喜欢使用他们非常了解如何使用的移动设备和笔记本电脑,而不是学习使用一个新设备和新操作系统。此外,公司的硬件成本明显较低。
但同时,让员工只在个人设备上完成工作仍然具有一定的风险。
如上所述,如果员工丢失了用于存储和访问敏感公司数据的个人设备,则该数据就存在被盗和非法使用的风险。此外,当员工信任其个人设备连接到不安全的公共Wi-Fi网络时,他们就可能容易遭受中间人攻击,在这种攻击中,一些隐藏的威胁者就可以窥视他们的信息。
虽然使用BYOD的硬件成本较低,但有时公司还是会花更多时间来确保员工的个人设备可以运行所需的软件,因为这可能会降低IT支持团队的工作效率。
除此之外,如果个人设备被多人使用(如关系较好的朋友或者家庭成员),这就属于非恶意的第三方访问,也可能会意外地传播和删除公司数据。
为了解决这些风险,请对员工用于工作的个人设备实施以下的最佳做法:
· 要求加密个人设备上的所有本地数据。
· 所有个人设备上都需要密码。
· 在个人设备上启用“查找我的iPhone”、“查找我的手机”或类似功能。
· 禁止越狱个人设备。
· 为员工创建批准的设备列表。
你想实施哪些方法完全取决于你自己,因此你应该在保护员工安全和维护BYOD政策带来的信任之间找到平衡点。
By the way,保护公司的远程员工需要采取多管齐下的方法,综合了所有考虑,我们希望通过使用上述某些方法,可以更安全地保护您的业务、员工和数据。