在家中安全可靠地工作


首席技术官Mark Webb-Johnson 网络盒

鉴于这种流行病的波动性,我们想强调远程工作的安全性问题以及解决这些问题的方法。

网络级威胁

为了提供有效的访问控制,我们需要区分办公室外工作,通过Internet连接的员工和其他Internet连接(恶意和合法)。我们还需要保护纯文本应用程序协议在通过公共Internet传输时不被窃听和篡改。典型的源IP地址或网段防火墙限制可以’t do this.

解决这些问题的明显方法是虚拟专用网(VPN)技术。在可用选项中,SSL(安全套接字层)VPN无疑是此类应用程序的赢家。与IPsec(互联网协议安全性)等更复杂的协议不同,SSL 虚拟专用网通过仅需打开一个TCP(传输控制协议)或UDP(用户数据报协议)端口的NAT(网络地址转换)连接进行操作。

它们使用与您的网上银行相同的加密技术。最好在几个级别上实施身份验证:

基本网络数据包级别

使用TLS密钥并提供在所有用户之间共享的非常简单的身份验证密钥,可以有效地将US与THEM区分开来,并防止拒绝服务和其他样式攻击。

SSL证书,对机器进行身份验证

通常,使用客户端证书和服务器端证书,因此连接的两端可以相互识别和认证。

用户认证

使用传统 用户名+密码 通过这种方法,用户身份验证可以安全地标识连接客户端的用户(在家中的工作人员)。通常,您可以将其连接到中央身份验证系统,以避免维护和控制单独的密码。

双因素认证

在用户身份验证之上运行可以补充‘我知道的东西‘用户名+密码的‘我有的东西‘双因素身份验证令牌。此过程可以极大地提高用户身份验证机制的安全性。与很少更改的密码不同,双因子令牌通常每次使用或每30秒更改一次。

建立VPN连接后,用户,用户’的工作站,以及用户连接到的VPN网关均已通过身份验证。通过VPN的任何流量都经过安全加密,以防止窃听,并受到保护,免受篡改和重播样式攻击。与Web网关样式的SSL系统不同,真正的SSL 虚拟专用网在第3层网络级别进行连接–启用基于源IP和基于网段的访问控制。

分割隧道

尽管可以使用分隧道技术(发往办公系统的流量通过VPN定向,但其他常规流量直接进出Internet)可用,但Network Box安全响应中心不建议使用此方法。

与今天’由于具有高速Internet连接,因此引导所有流量通过VPN隧道通常更安全。这样,可以将适用于办公室工作人员的基于网关的相同保护系统和策略应用于在家中或路上连接的工作人员:

  • 相同的反恶意软件
  • 相同的URL内容过滤策略
  • 相同的防火墙策略和控件

受感染的工作站威胁

优良作法是对远程工作站施加与办公室中的那些工作站相同的策略和限制。这通常意味着为远程工作者提供专用的笔记本电脑来连接办公室。通常,所涉及的额外成本远远低于受保护程度较低的工作站造成的安全漏洞/事件所产生的成本,并且工作人员的满意度更高。

通过在网络级别建立VPN连接,可以应用与办公室工作站相同的工具和过程来进行自动管理,应用程序部署和更新。请注意,网络带宽可能会受到限制并且延迟会更大。将应用程序保留在本地或使用基于Web的瘦客户端应用程序可以帮助实现这一点。

面对面验证

在办公室工作时,我们习惯于面对面开会。说明通常是口头的,容易验证。内在也有一些东西‘human’关于见某人’面对他们并直接与他们交谈,这是永远无法通过电子邮件或短信复制的。考虑一下您多久看到一次在线交流背后的粗鲁或不可接受的评论/行为’匿名与上次某人对您的脸无礼/不可接受相比。

但是,我们确实需要关注面对面接触的缺乏如何影响我们的安全。在线模拟某人比面对面要容易得多。

一种解决方案是使用经过身份验证的通信(特别是对于财务消息或其他敏感消息)。众所周知,电子邮件不安全且微不足道,无法冒充他人,但可以使用数字签名来增强安全性。 PGP / GnuPG(非常好的隐私/ GNU隐私卫士)和SSL证书虽然设置起来很复杂,并且常常使用户难以理解,但它为更老练的用户提供了两种方法。

一种替代方法是使用本机安全的消息传递系统(例如电话呼叫,即时消息传递(WhatsApp,线路等)或视频呼叫)来实现替代验证机制。确保采用适当的程序,通过与首次接收该指令不同的机制来验证所有可能损坏指令。这样,您可以保护自己免受网上诱骗和其他欺诈性金融攻击的侵害。

在SSL 虚拟专用网上构建’作为核心技术,您可以将远程工作站和工作人员安全可靠地集成到办公室和数据中心系统中。计划最糟糕的情况,并确保您拥有灾难恢复系统,以促进业务连续性和在家工作,即使您的工人目前在办公室也是如此。

视频会议系统现在易于部署,具有成本效益且广泛可用–Skype,GoToMeeting,Zoom,Microsoft Teams,WhatsApp等。无论采用哪种技术,都应鼓励并促进其在组织中的使用。他们可以帮助将本地和偏远地区的工人聚集在一起,改善他们的社交互动并提高安全性。

带宽便宜,而组织妥协的成本却高。

马克·韦伯·约翰逊(Mark Webb-Johnson)是该公司的联合创始人兼首席技术官 网络盒。是Mark的技术天才推动Network Box的网络安全创新。他和他的团队不断提出解决方案,使Network Box领先于其他公司。多年来,Mark承担了许多项目和极其棘手的技术问题,并始终提出一个优雅的解决方案。难怪他赢得了哈尔舍姆勋爵计算机科学奖。


Follow 华晨安全杂志on 推特, 脸书领英 以确保您收到有关最新安全和网络安全新闻和信息的警报。