新冠肺炎疫情迫使企业采取远程工作措施,此举却让企业陷入安全的不确定性,不仅难以掌控员工所使用的设备、VPN账号,更无法掌握员工操作设备的环境,让有心人有更多机会窃取公司机密。
哪些场景会让企业陷入安全险境?企业、员工又该如何防范?安全公司DEVCORE分享“远程工作的安全注意事项”,从黑客思维切入,解析远程工作的安全风险与防范措施。
近期因新型冠状病毒(COVID-19,新冠肺炎)影响,不少企业开放同仁远程工作(Telework)、在家上班(Work from home, WFH)。在疫情加速时,如果没有准备周全就贸然全面开放,恐怕会遭遇尚未考虑到的安全议题。这篇文章提供一个简单的指引,到底远程在家上班有哪些注意事项?我们会从公司管理、用户两个方面来讨论。
如果你只想看重点,请跳到最后一段TL;DR。
企业系统遭攻击的3个场景
我们先来聊聊攻击的手段。试想以下几个攻击场景,这些场景都曾被我们利用在红队演练的过程中,同样也可能是企业的盲点。
场景一、VPN撞库攻击:同仁A使用VPN连接企业内部网络,但VPN账号使用的是自己惯用的账号密码,并且将这组账号密码重复使用在外其他非公司的服务上(如Facebook、Adobe),而这组密码在几次外泄事件中早已外泄。攻击团队通过锁定同仁A,使用这组密码登录企业内部。而很遗憾的,VPN在企业内部网络并没有严谨的隔离,因此在内部网络的直接找到内网员工Portal,取得各种机密敏感资料。
场景二、VPN漏洞:VPN漏洞已经成为攻击者的主要攻略目标,公司B使用的VPN服务器含有漏洞,攻击团队通过漏洞取得VPN服务器的控制权后,从管理后台配置客户端logon script,在同仁登录时执行恶意程序,获得其计算机控制权,并取得公司机密文件。可以参考之前Orange & Meh的研究:
场景三、中间人攻击:同仁C在家通过PPTP VPN工作。不幸的是C小孩的计算机中安装了含有恶意程序的盗版软件。攻击者透该计算机脑进行内网中间人攻击(MITM),劫持C的流量并破解取得VPN账号密码,成功进入企业内网。
以上只是几个比较常见的场景,攻击团队的面向非常广,而企业的防御却不容易做到滴水不漏。这也是为什么我们要撰写这篇文章,希望能帮助一些企业在远程工作的时期也能达到基本的安全。
远程工作环境、设备让企业资料暴露在风险中
风险指的是发生某个事件对于该主体可能造成的危害。通过前面介绍的攻击手段要完成危害,对攻击者来说并不困难,接着我们盘点出一些在企业的安全规范下,因应远程工作可能大幅增加攻击者完成几率的因素:
环境复杂:公司无法管控家中、远程的工作环境,这些环境也比较复杂危险。一些公司内部的管理监控机制都难以施展,也较难要求同仁在家中私人设备安装监控机制。
公司资料外泄或不当使用:若公司的资料遭到外泄或不当使用,将会有严重的损失。
设备遗失、遭窃:不管是笔记本或者是手机等设备,遗失或者遭窃时,都会有资料外泄的风险。
授权或访问控制不易实例:在短时间内提供大量员工的外部访问,势必会在“可用性”和“安全性”间做出取舍。
若公司允许同仁使用私人的设备连上公司内部VPN,这样的议题就等同BYOD(Bring Your Own Device),这些安全性的顾虑有不少文章可以参考。例如:
NIST SP800-46 Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD)
公司面向:借由工作流程规划与网络管理,降低资料外泄的风险
接下来我们来看看公司方面在远程工作上面有哪些安全上面的作为。
工作流程及原则规划
工作流程调整:远程工作时,每个流程该如何作对应的调整,例如如何在不同地点协同作业、汇集整理工作资料、确认工作成果及品质等。
资料盘点:哪些资料放在云计算、服务器、个人计算机,当远程工作时哪些资料将无法被取用,或该将资料转移到哪边。
会议流程:会议时视频设备、软件选择及测试,并注意会议软件通信是否有加密。状况如会议时间延长、同时发言、远程品质影响等。
事件处理团队及流程:因远程工作时发生的安全事件,该由谁负责处理、如何处理、盘点损失。
仅知、最小权限原则:仅知原则(Need-to-know Basis)以及最小权限原则(Principle of Least Privilege, PoLP),仅给予每个同仁最小限度需要的资料以及权限,避免额外的安全问题。
网络管理
VPN账号申请及盘点:哪些同仁需要使用VPN,属于哪些群组,每个群组的权限及连接范围皆不同。
VPN账号权限范围及内网分区:VPN连接进来后,不应访问整个公司内网所有主机,因为VPN视同外部连接,风险等级应该更高,更应该做连接的分区管控。
监控确认VPN流量及行为:通过内部网络的网络流量监控机制,确认VPN使用有无异常行为。
只允许白名单设备取得IP地址:已申请的设备才能取得内网IP地址,避免可疑设备出现在内部网络。
打开账号多因素认证:将云计算服务、VPN、内部网络服务打开多因素认证。
确认VPN服务器是否为新版:在我们过去的研究发现VPN服务器也会是攻击的对象,因此密切注意是否有更新或者修补程序。
其中值得特别点出的是VPN的设置与开放。近期听闻到不少公司的管理阶层谈论到,因应疫情原本不开放VPN权限的同仁现在全开放了。而问到VPN连接进公司内部网络之后的监控跟阻隔为何,却较少有企业具备这样的规划。内部网络是企业的一大安全战场,开放VPN的同时,必定要思考安全对应的措施。
用户面向:确实保护设备、帐密、网络、资料的安全
公司准备好了,接下来就是用户的安全性了。除了公司提供的VPN线路、架构、机制之外,用户本身的安全意识、规范、安全性设置也一样重要。
保密
专机专用:用来访问公司网络或资料的计算机,应严格遵守此原则,禁止将该设备作为非公务用途。也应避免非公司人士使用或操作该设备。
设备相关
打开设备协寻、锁定、清除功能:设备若可携带移动,设备的遗失对应方案就必需要考虑完整。例如如何寻找设备、如何锁定设备、如何远程清除已遗失的设备避免资料外泄。现在主流操作系统多半都会提供这些机制。
设备登录密码:设备登录时必须设置密码,避免外人直接操作。
设备全机加密:设备若遗失遭到分析,全机加密可以降低资料被破解遗失的风险。
(选择性)MDM(Mobile Device Management):若公司有导入MDM,可以协助以上的管理。
账号密码安全
使用密码管理工具并设置“强密码”:可以考虑使用密码管理工具并将密码设为全随机产生包含英文、数字、符号的密码串。
不同系统账号使用不同密码:这个在很多次演讲中都有提到,建议每个系统皆使用不同密码,防止撞库攻击。
账号打开2FA / MFA:若系统具备2FA / MFA机制,务必打开,为账号多一层保护。
网络使用
避免使用公用Wi-Fi连接公司网络:公众公用网络是相当危险的,恐被侧录或篡改。若必要时可使用手机热点或通过VPN连接互联网。
禁止使用公用计算机登录公司系统:外面的公用计算机难确保没有后门、Keylogger之类的恶意程序,一定要禁止使用公用计算机来登录任何系统。
确认连接设备是否可取得内网IP地址:确认内网IP地址是否无误,是否能够正常访问公司内部系统。
确认连接的对外IP地址:确认连接至互联网的IP地址是否为预期,尤其是安全服务公司,对客户连接的IP地址若有错误,可能酿成非常严重的损害。
(选择性)安装个人计算机防火墙:个人防火墙可以基本监控有无可疑程序想对外连接。
(选择性)采用E2EE通信工具:目前企业都会使用云计算通信软件,通信软件建议采用有E2EE(End-to-End Encryption),如此可以确保公司内的机密敏感通信内容只有内部人员才能解密,就连平台商也无法访问。
(选择性)工作时关闭不必要的连接(如蓝牙等):部分安全专家表示,建议在工作时将计算机的非必要连接渠道全部关闭,如蓝牙等,在外部公众环境或许有心人可以通过蓝牙exploit攻击个人设备。
资料管理
只留存在公司设备:公司的机密敏感资料、文件等,必须只留存在公司设备中,避免资料外泄以及管理问题。
审核记录:记录机密敏感资料的存放、修改、拥有人等信息。
重要文件加密:重要的文件必须加密,且密码不得存放在同一目录。
信件附件加密,密码通过另一渠道传递:邮件的附件除了要加密之外,密码必须使用另一渠道传递。例如当面告知、事前约定、通过E2EE加密信道、或者是通过非网络方式给予。
备份资料:机密敏感资料一定要备份,可以遵循“3-2-1 Backup Strategy”:三份备份、两种媒体、一个放置异地。
实体安全
离开计算机时立刻锁定屏幕:离开计算机的习惯是马上进入屏幕保护程序并且锁定,不少朋友是放着让他等他自己进入锁定,但这个时间差有心人已经可以完成攻击。
禁止插入来路不明的U盘或设备:社交工程的手法之一,就是让同仁插入恶意的USB,甚至有可能摧毁计算机(Bad USB, USB Killer)。
注意外人偷窥屏幕或碰触设备:若常在外工作处于公共空间,可以考虑采购屏幕防窥片。
不放置计算机设备在车上:虽然台湾治安不错,但也是不少笔记本在车上遭窃,重要资产记得随身携带,或者放置在隐秘处。
将工作区域关门或锁上:若在自己的工作区域,为了争取更多时间应变突发状况,建议将工作区域的门关闭或者上锁。
TL;DR从攻击者的面向思考安全防御策略,防疫同时也别忽视信息安全
网络的攻防就是一场战争,如果不从攻击者的面向去思考防御策略,不但无法有效的减缓攻击,更可能在全世界疫情逐渐失控的当下,让恶意人士通过这样的时机攻击远程工作的企业。期望我们的经验分享能够给企业一些基本的指引,也希望天灾人祸能够尽快消弥。台湾加油!
开放VPN服务前,注意账号管理以及内网切割隔离,避免通过VPN访问内网任意主机。
云计算、网络服务务必使用独一无二长密码,并打开MFA / 2FA多因素认证。
使用云计算服务时务必盘点访问权限,避免文件连接可被任意人访问。
注意设备遗失、窃取、社交工程等实体安全议题。
网络是危险的,请使用可信赖的网络,并在通信、传输时采用加密方式进行。