远程办公安全指南:如何加固网络边界防护

本文详细探讨了在远程办公环境下如何加强网络边界安全,包括多因素认证实施、VPN配置优化、无线网络安全及家庭网络隔离等关键技术措施,帮助企业降低安全风险。

检查您的网络边界

随着众多组织为遏制COVID-19传播而转向远程办公,我们希望探讨一些配置要素,以确保您的网络边界得到适当保护。员工的远程访问通常是攻击者寻求初始进入组织网络的目标。通过经过身份验证的远程访问,攻击者可能在极短时间内肆意破坏您的环境。

多因素认证

随着员工转为居家办公,确保组织在所有面向互联网的企业信息门户上使用多因素认证(MFA)至关重要。根据2019年Verizon数据泄露调查报告(DBIR),使用被盗凭证是观察到的头号黑客技术。

攻击者常使用工具收集员工姓名,将其转换为用户名,并对暴露的门户执行密码喷洒等攻击以获取访问权限。没有MFA,攻击者只需猜对密码即可获得访问权限。由于COVID-19传播导致远程工作者数量增加,攻击面也在扩大,这可能增加不使用MFA的整体风险。

此外,您不应只关注明显的门户。深入查看漏洞扫描结果,调查任何请求外部身份验证的内容,尤其是那些通过HTTP认证请求NTLM的主机和应用程序。我们经常成功使用除Webmail和VPN之外的应用获取访问权限。

MFA并非万能药,因为存在许多透明代理(如CredSniper和Evilginx)。但它会增加攻击者访问您环境的工作量。通过在连接设备上要求客户端证书可以提高安全性。然而,如果尚未实施,可能难以快速安全地部署。

安全卫生

外部安全卫生是每个人的关注点。但VPN和其他远程访问技术中发现了一系列漏洞,需要检查。

许多最近发现的漏洞利用起来几乎不需要复杂技术,且无需凭证。更糟糕的是,暴露的设备通常缺少部署到所有工作站的安全控制(如防病毒和端点威胁检测)。此外,使用量增加可能使通过设备生成的日志文件进行检测变得困难。

扫描这些设备时,确保启用适当的检查以检测已知缺陷。您还可以使用公开发布的漏洞扫描或利用脚本来执行有针对性的脆弱性检查。只需确保从信誉良好的来源获取脚本,并了解脚本的作用。通常,脚本只是对设备暴露的资源发出HTTP请求。

VPN配置

IKE激进模式

VPN集中器的配置是安全的另一个重要方面。我们在外部渗透测试中经常看到古老的“使用预共享密钥(PSK)的IKE激进模式”漏洞。激进模式IKE握手暴露了足够的信息,以尝试恢复用于保护VPN隧道的预共享密钥(PSK)。为避免这种情况,可以将VPN设备配置为仅接受主模式握手。主模式握手不会披露可用于恢复PSK的相同细节。

实际上,这可能是一个难以利用的条件,因为攻击者通常需要知道连接的组名。一旦PSK被破解,攻击者可能还必须处理内部身份验证。这可能为密码攻击提供额外机会。无论如何,解决此配置要素是一个好主意。

拆分隧道

另一个可能带来问题的VPN配置项是允许拆分隧道。当员工在连接到VPN的同时被允许公开浏览互联网,绕过VPN连接时,就会形成拆分隧道。只有对企业资源的请求才会通过VPN本身。

这对节省带宽非常有利,但完全绕过了用于执行企业IT策略的基础设施(如Web代理、执行沙箱、SSL/TLS检查设备、全包捕获设备等)。允许拆分隧道可能使入侵调查更加困难,甚至不可能。现在响应者必须考虑不通过企业网络的流量,并且可能降低对员工网络的可见性。

组织在允许拆分隧道之前,应认真考虑其安全状况、固有成本以及配置的影响。

好在,如果您是订阅用户,有多种基于云的保护措施可以帮助减轻此风险。像Cisco Umbrella和Zscaler这样的技术提供了内部基础设施所提供的一些功能,无论设备通过何种路径访问互联网。

企业无线配置

您的企业无线配置与远程安全有何关系?如上所述,使用被盗凭证是黑客活动列表中的第一名。您的企业无线配置可能是获取员工凭证的另一种方式。

您的无线网络基础设施在办公室内至少提供了一些保护。一些设备还可能具有主动保护以防止各种攻击。攻击者通常需要传输比合法接入点更强大的信号才能执行邪恶双子攻击。

在邪恶双子攻击中,攻击者广告相同的SSID,希望诱使设备连接到它。当这些设备使用Active Directory域身份验证时,攻击者AP挑战凭证,计算机自动发送这些凭证。连接通常不需要用户交互,因为攻击者广告的似乎是已知网络。受影响的设备在观察到SSID时简单地连接。

当企业设备(以及其他使用域身份验证的设备)远离企业基础设施时,问题就出现了。现在,攻击者具有优势,因为没有合法信号竞争或主动阻止客户端连接。

因此,组织应确保无线网络配置为在客户端和基础设施之间执行相互身份验证。这意味着客户端应验证AP的证书,反之亦然。

此外,密切关注那些移动设备。在我们测试过的几个组织中,组织有一个移动网络段,但使用Active Directory身份验证以最小化用户必须记住的凭证数量。如果不向这些设备部署客户端证书,攻击者也可以拦截它们的凭证。

一旦攻击者获得凭证,他们可以尝试在面向互联网的门户上使用它们,或者物理窃取可以合法身份验证的设备。

家庭网络保护

最后一个需要考虑的问题是员工家庭和工作生活的分离。现代家庭网络通常充满IoT设备、智能手机和游戏机。组织通常无法证明这些设备或网络本身的安全性。

最佳选择可能最难实施,即组织应确保企业设备在员工网络上与个人设备分段。我们将在即将发布的博客文章中详细讨论此主题。

一个更易接受的替代方案可能是向企业设备部署始终在线的VPN配置。员工将允许使用缓存凭证进行身份验证,然后加入无线网络,并且VPN客户端在访问网络时自动连接。

这限制了设备连接到员工家庭网络时的暴露,并在通过隧道连接时防止本地交互。

结论

随着组织采取措施应对COVID-19,以不增加业务暴露的方式这样做非常重要。在允许大规模远程操作之前,确保远程访问安全配置是一个重要的考虑因素。希望本文能帮助您在业务更加分布式时确定需要检查的领域。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次