最近,大量員工開始從遠端登入公司網路和使用雲端應用程式。這樣的轉變也可能會使防護門戶大開,造成安全風險。究竟該如何做好安全防護呢?
本文分以下四個重點:
– 五個公司檢查清單
– 六個員工須知
– 五個家用網路安全基礎須知
– 四個家庭成員網路安全基本須知
隨著冠狀病毒 (COVID-19,俗稱武漢肺炎)疫情 疫情持續爆發, 全球許多公司都改採行在家工作的模式( work-from-home ,WFH), 成為目前的職場現狀。因此,最近有大量員工開始從遠端登入公司網路和使用雲端應用程式。但這樣的轉變,也可能會使防護門戶大開,造成安全風險和網路威脅。
趨勢科技在 2020 年的安全預測中,討論到公司需要謹慎防範在家工作和使用家用裝置連線所產生的風險。遠端裝置讓企業安全的分界變得模糊,其可能受到感染並成為供應鏈攻擊的發動點。
安全團隊和居家辦公使用者可設法降低遠端工作設定所伴隨的風險。以下是一些您可以採取的實用安全措施。
五個公司檢查清單
- 設定您的 2FA。許多主流網站和服務都在實施雙重認證 (2FA)。請確保登入設定不只依靠密碼 (例如:運用可驗證身分的手機應用程式或生物識別技術)。密碼很容易遭駭、外流或盜用。
- 預設在家工作的規劃。評估您的安全環境,並依照公司政策設立明確的遠端工作準則。為員工提供入侵防禦工具,以及資料遺失和盜用的保護措施,最好是由公司發放經 IT 認可的筆電。
- 記得備份資料。備份資料時,請遵循3-2-1 備份原則:要建立至少三份資料副本,使用兩種不同儲存格式,且其中一份副本要離線存放 (例如:提供外接固態硬碟或硬碟)。
- 確保有足夠的 VPN 授權。行動工作者增加,代表公司需要配合使用者數量,提供足夠的虛擬私人網路 (VPN) 授權和網路頻寬。
- 限制 VPN 的使用。管制 VPN 的存取,並要求使用者定期更新登入資料 (例如:每日允許每位使用者最多 12 小時的存取權,並自動幫使用者登出服務)。
安全團隊可以參考美國系統網路安全研究院 (SANS Institute) 改行居家辦公的指南,將更多安全考量列入公司政策。
六個員工須知
- 可能的話,遠端工作時請使用公司的筆電。
不要使用個人電腦,其安全控制不如公司的硬體完善。公司發放的筆電或機器裝置僅限員工使用,不得讓其他家庭成員存取您專屬的工作設備。 - 如果必須使用個人設備和機器裝置,應盡可能按照公司的安全標準進行設定。
請使用公司提供的安全軟體、遵守公司的資料保護措施,且不要在工作時混用私人的瀏覽和活動。 - 使用公司指定的 VPN,避免使用公共免費 Wi-Fi。
請僅在工作用的筆電或桌電使用專屬的企業 VPN 伺服器,進行您的網路與公司安全網路之間的連線。請小心提防竊取 VPN 相關帳戶登入資料的網路釣魚攻擊。如果無法提供 VPN 連線,請確保透過加密的電子郵件或 Pretty Good Privacy (PGP) 加密進行資料通訊。 - 將網路分割。
使用訪客網路隔離公司筆電或桌電。如果您擁有具備虛擬區域網路 (VLAN) 功能的路由器或交換器,請將之啟用並指定工作專用的 VLAN。 - 準備好居家備份方案。
備有備份選項 (例如:USB 硬碟),能讓您在連線中斷或伺服器故障等情況下處變不驚。對於 macOS 使用者,可以啟用時光機 (Time Machine) 來建立備份。 - 小心提防網路詐騙。
不幸的是,詐騙份子利用目前的 COVID-19 疫情製造集體恐慌和發放假消息,達到詐欺目的。這些詐騙訊息是透過電子郵件、惡意網域、虛假應用程式或社群媒體傳播,宣稱是要提供出貨通知、COVID-19 資訊,甚至是治療方法,其附件其實包含惡意軟體。詐欺訊息通常會根據收件者而因地制宜,以便顯得更真實可信。
您可以採取各種措施避免上當。首先,留意網路釣魚詐騙的跡象:未知的寄件人、明顯的文法錯誤、不相符的網址和不尋常的故事。不要提供個人資料和銀行帳戶等識別資訊。如果收到類似的詐騙郵件,請立即通知公司,以幫助他人辨識詐騙。
五個家用網路安全基礎須知
- 做好閘道防護:路由器。
路由器是通往家中所有網際網路連線裝置的閘道。攻擊者會利用使用者經常疏忽而未變更的預設登入資料,侵入家用路由器。較好的實務作法是定期變更路由器的密碼,因為您之前可能與其他使用者共享過密碼。建議使用不易遭受字典式攻擊的密碼,即使用擁有超過 12 個字元,並混用字母、數字和特殊符號的密碼。
同樣地,請務必將路由器的韌體更新至最新版本。網際網路服務供應商 (ISP) 提供的路由器通常都具備自動更新功能,但仍應善盡路由器網頁管理頁面的注意義務,該頁面可透過 IP 位址存取。 - 限制路由器只能有兩個使用者帳戶:
一個僅限用於設定和配置的管理員帳戶 (地區帳戶、不能遠端控制),以及一個能夠管理路由器的預設使用者個人帳戶 (同樣為地區帳戶、不能遠端控制)。您或是家庭中的科技達人,也可以針對 IP 位址執行埠掃描;如果不可行,您可以在 Shodan 上檢查您的 IP 位址。許多路由器為了方便而允許自動新增裝置,但您應停用這項功能,並從路由器配置移除未知的連線裝置。
您也可以考慮將支援 LTE 的路由器當作備用的網際網路連線工具,作為安全網,以防 ISP 線路發生中斷情形。智慧型手機的網路共享或個人熱點功能,也可以當作備用的連線方式。 - 如果是進階使用者:請使用代理伺服器工作。
如果您有多餘的 Raspberry Pi 或舊的 Linux 電腦,可以指定一個 Pi-hole 來保護裝置免受到廣告或非必要內容的干擾。或者,您可以設定一些網路附加儲存 (NAS) 系統來阻擋廣告。 - 強化您的密碼。
使用密碼管理程式,幫助您輕鬆管理多個網站和服務帳戶的高強度密碼。這麼做可以簡化冗長、隨機產生的獨特密碼的使用,並避免在不同網站和服務重複使用相同或相似的密碼。 - 將軟體更新至最新版本。
立即將您使用的所有軟體更新至最新版本,並安裝安全修補程式,以降低惡意軟體感染的機率。
四個家庭成員網路安全基本須知
- 保護好其他使用中的電腦。
由於孩童也可能待在家透過網路上課,其他家庭成員也有可能從遠端工作,務必建立備案並部署代理伺服器服務,做好家用網路的基礎安全措施。部署家用網路安全措施,封鎖並過濾網站,並保護網路和裝置不受到駭客和網頁威脅,能營造更安全的數位環境。啟用 Folder Shield 功能,保護資料不受到勒索軟體攻擊和盜用。您也可以考慮部署路由器安全措施,以便管理裝置 (例如:中斷非必要裝置的連線)、控制社群媒體使用、封鎖不適宜的網站,以及設定裝置使用的時間限制。 - 保護智慧型手機。
如同筆電和桌電,請確保手機已更新至最新的韌體版本。請僅透過官方商店下載合法應用程式,並在安裝前閱讀應用程式權限。 安裝行動安全應用程式,以防範惡意應用程式或程式碼在手機上運作。
提醒大家,挖礦程式習慣假冒成熱門的程式, 比如看似正常的更新程式,或是利用社交工程手法,如近期爆量的冠狀病毒(COVID-19,俗稱武漢病毒) 疫情網路釣魚事件,在家工作者下載任何軟體都要隨時提高警覺。
♦延伸閱讀: 電腦變慢了?竟是挖礦病毒跟你一起在家工作! - 節省頻寬用量。
隨著越來越多使用者在家辦公,頻寬成為一項重要資源。特別是在上班時段,請減少觀看串流影片或是進行讓頻寬變慢的其他活動,藉此確保生產力不受影響。 - 討論線上安全的重要性。
幫助您的家庭成員瞭解網際網路的公共性質及潛在危險。提醒他們在設定和使用裝置時,務必做好安全防範,以確保線上活動安全且私密。
設定安全的遠端工作環境,並非一蹴可幾,而是需要所有相關人員付出非常大的努力,對於不熟悉遠距工作的人尤其如此。以上所提出的措施,應當能夠幫助公司和員工減輕負擔,並有效保護在家工作的設定不受到網路威脅。
來源: Working From Home? Here’s What You Need for a Secure Setup
作者:Martin Roesler (趨勢科技研究)
💝▎每月7 日下午 4 點 , 趨勢科技 IG 帳號,Fun 送粉絲獨享禮 ▎💝
) 快進來看看 🙂
