远程办公没那么简单，天地和兴送上网络安全警示与最佳实践

当前新型冠状病毒全球传播形势严峻复杂，越来越多的公司采取了远程办公模式。尽管远程办公措施可平衡业务生产力与员工的安全健康，但是却很容易忽略公司网络及数据的安全性。对许多公司而言，这是他们第一次启用远程办公模式，这意味着多数企业很可能没有适当的协议或指南来帮助确保其信息和设备避免遭受网络威胁。与此同时，各种威胁行为者已开始利用对新型冠状病毒的恐慌，大量投递Emotet、AZORult、AgentTesla Keylogger和NanoCore等木马，通过新型冠状病毒为主题的钓鱼攻击活动窃取用户凭据，控制受害网络，传播勒索软件。

近日，信安标委已发布《网络安全标准实践指南 -- 远程办公安全防护》，国内网络安全厂商（安天、奇安信等）也相继发布相关远程办公网络安全防护方案与实践。对此，美国国土安全部下属CISA发布有关当前特殊形势下网络安全警示与最佳实践，涵盖口令管理器、双因素认证、端点保护软件、设备物理安全、公共或不安全Wi-Fi、VPN应用、安全礼仪、网络钓鱼攻击等诸多方面，具备较强的可操作性和指导性。为此，天地和兴送上此网络安全提示，为远程办公网络安全拉响警钟。

使用口令管理器

口令管理器是确保公司团队所有在线帐户和口令安全的好方法。LastPass、1Password、Keepass、Keeper、Dashlane、mSecure、Passwordsafe等为最流行且口碑较好的口令管理系统，用于在线存储加密口令。使用口令管理器可安全地共享口令，还可以用于生成口令，以便团队中的每个人都可以轻松、安全地访问完成工作所需的任何内容。

使双因素认证成为标准

许多流行的商业软件平台都是通过云来访问的，这为远程协作提供了如无缝协作和共享等诸多优势。但是，不利的一面是，使用远程协作更容易使不是其真实员工的人来冒充用户并访问相同数据。当使用弱口令时，通常会发生这种情况，且比想象的要普遍得多。这就是使双重身份验证对于使用基于云的软件的远程工作者而言至关重要的原因，以及为什么应将其作为所有公司设备上的标准做法实施的原因。双因素身份验证是一种用户必须提供两种证据的方法：一种是知道的东西（如口令），另一种是拥有的东西（如生成唯一代码的硬件令牌或手机）。一旦实施，这使得未经授权的用户或攻击者很难访问账户。

使用端点保护软件

保护端点（如笔记本电脑、平板电脑和移动设备之类的最终用户设备）的安全是确保远程工作者受到保护的最重要的优先事项之一。端点充当公司网络的访问点，并创建可以被威胁行为者利用的入口点。当与远程工作人员打交道时，这一点变得尤为重要，因为端点的物理资产没有在公司的网络内维护。端点安全软件使用加密和应用程序控制来保护访问网络的设备的安全，从而控制那些访问点上的安全性以监视和阻止危险活动。加密端点和可移动存储设备上的数据有助于防止数据泄漏。应用程序控制可防止端点用户执行可能在网络中创建漏洞的未授权应用程序。

关注设备物理安全

造成安全漏洞的一个非常普遍的因素是员工将设备丢失，并到了小偷手中。无论在家中、在咖啡店中还是在旅途中，员工都必须明白，网络犯罪分子是机会主义者，会利用他们遇到的任何机会。这意味着保护访问任何工作数据的所有设备至关重要。一些设备物理安全的最佳实践包括：

1.使用最安全的方法对每台设备进行口令保护和屏幕锁定

2.永远不要让设备离开视线

3.不要让任何人使用该设备或将任何东西插入设备，如USB

4.为每个设备设置跟踪软件或“查找我的设备”选项

5.一律备份档案

6.加密敏感数据

避免使用公共或不安全的Wi-Fi网络

这主要适用于在家外工作或正准备在酒店大堂或当地咖啡厅使用免费Wi-Fi的路上的员工。但是，这可能会带来很大的风险，因为不安全的流量（包括敏感数据和登录凭据）很容易被黑客拦截。不安全的Wi-Fi网络还可以用于分发恶意软件或欺骗公共Wi-Fi网络以吸引用户并在他们不知情的情况下捕获其数据。为了保持安全，建议尽可能避免在任何公司设备上使用此类公共网络。

使用虚拟专用网络（VPN）

虚拟专用网络（VPN）通过从公共互联网连接创建专用网络来提供在线隐私和匿名性。VPN可以屏蔽IP地址，因此在线活动不再可追踪。企业应确保其员工通过VPN连接到公司网络，并且所有关键应用程序都应通过VPN访问。

美国网络安全和基础架构安全局CISA鼓励企业在进行远程办公时，采取以下建议：

1.使用最新的软件补丁和安全配置更新VPN、网络基础设施设备和用于远程进入工作环境的设备。通常软件更新可在供应商网站上下载。CISA鼓励用户和网络管理员分段和隔离网络和功能、限制不必要的横向通信、强化网络设备、安全访问基础结构设备、执行带外网络管理、验证硬件和软件的完整性来更好地保护其网络基础结构。避免之前已经暴露的VPN应用相关漏洞，如Palo Alto Networks、Fortinet、Pulse Secure和Citrix的VPN服务器存在的漏洞为：CVE-2019-1579、CVE-2018-13382、CVE-2018-13383、CVE-2018-13379、CVE-2019-11510，CVE-2019-11508，CVE-2019-11540，CVE-2019-11543，CVE-2019-11541，CVE-2019-11542，CVE-2019-11539，CVE-2019-11538，CVE-2019-11509、CVE-2019-19781。

2.确保IT安全人员准备加强以下远程访问网络安全任务：日志审查、攻击检测、事件响应和恢复。这些任务应记录在配置管理策略中。检查OpenVPN（1194）或SSL VPN（TCP/UDP 443、IPsec/IKEv2 UDP 500/4500及其相关日志。

3.在所有VPN连接上实施多因素身份验证（MFA）以提高安全性。如果未实施MFA，要求远程工作人员使用强口令。据微软数据显示，启用MFA可阻止99.9%的账户接管攻击。

4.确保IT安全人员测试VPN限制，为大规模使用做好准备，并在可能的情况下实施诸如速率限制之类的修改，优先考虑需要更高带宽的用户。

5.黑客可对VPN服务发起DDoS攻击并耗尽其资源，从而使VPN服务器崩溃并限制其可用性。微调的TCP Blend（DDoS）攻击低至1 Mbps的攻击量就可足使VPN服务器或防火墙崩溃，而且基于SSL的VPN也像Web服务器一样容易受到SSL Flood（DDoS）攻击。

对员工进行安全礼仪教育

除上述安全措施外，公司还须教育其员工在远程工作时始终遵循基本的安全礼节，如：

1.不出于工作目的使用个人电子邮件地址

2.不使用未经审查的在线消息传递应用程序或其他可能造成安全风险的软件

3.不使用个人设备连接到工作网络

了解如何检测和报告网络钓鱼攻击

网络钓鱼是一种尝试使用欺骗性电子邮件和网站收集个人信息的方法，长期以来一直是网络攻击者最常用和成功的方法之一。使用最广泛的方法之一是模仿现实生活中的业务情况，并将带有恶意链接或附件的电子邮件发送给希望访问其账户的毫无戒心的员工。通常，此类电子邮件会冒充IT团队成员或公司领导，以提供合法性。这种基于社会工程学的攻击技术可帮助网络犯罪分子欺骗员工泄露机密数据或凭据。更糟糕的是，网络钓鱼活动在危机和不确定性时期趋于增加，希望利用此热门事件和话题，目前已有确定利用此新型冠状病毒事件进行网络钓鱼活动的实例。对员工进行有关如何检测和报告潜在网络钓鱼尝试的教育非常重要。

网络钓鱼的常见指标：

可疑发件人的地址。发件人的地址可以模仿合法业务。网络罪犯经常使用电子邮件地址，该电子邮件地址通过更改或省略一些字符而与知名公司的电子邮件地址非常相似。 

通用的问候和签名。通用问候语（例如“尊敬的客户”或“先生/女士”）和签名块中缺少联系信息都是网络钓鱼电子邮件的重要标志。受信任的组织通常会通过姓名发送地址并提供其联系信息。

欺骗性超链接和网站。如果将光标悬停在电子邮件正文中的链接上，而这些链接与悬停在它们上方时出现的文本不匹配，则该链接可能是欺骗链接。恶意网站可能看起来与合法网站相同，但URL可能使用拼写形式的变化或不同的域（如.com与.net）。此外，网络罪犯可能使用URL缩短服务来隐藏真实链接。

拼写和语法。语法和句子结构不佳、拼写错误以及格式不一致是可能的网络钓鱼尝试的指标。信誉良好的机构有专门的人员来产生、验证和校对客户信件。

可疑附件。不请自来的电子邮件要求用户下载并打开附件是恶意软件的常见传递机制。网络犯罪分子可能会使用错误的紧迫感或重要性来帮助说服用户下载或打开附件，而无需先对其进行检查。

如何避免成为受害者：

怀疑来自个人的询问员工或其他内部信息的电话、拜访或电子邮件。如果未知的人声称来自合法组织，请尝试直接向公司验证其身份。

除非确定该人有权使用该信息，否则请勿提供有关的组织信息或个人信息，包括其组织结构或网络结构。

不要在电子邮件中透露个人或财务信息，也不要响应电子邮件对此类信息的请求，这包括通过电子邮件发送的链接。

在检查网站的安全性之前，请勿通过互联网发送敏感信息。请注意网站的URL，https开头的网址表示该网站安全，而不是http。

如果不确定电子邮件请求是否合法，请直接与公司联系以进行验证。不要使用与请求相关的网站上提供的联系信息。可以将电子邮件转发到公司的安全团队设置的网络钓鱼收件箱，或者通知公司的IT团队，并询问如何处理电子邮件以及如何处理这种情况。

安装并维护防病毒软件、防火墙和电子邮件过滤器，以减少部分此类流量。

利用电子邮件客户端和网络浏览器提供的任何反网络钓鱼功能。

（美通社,2020年3月23日北京）

消息来源：天地和兴