Strangenet博士-或者说,我是如何不再担心而拥抱WFH IT启示录的

2020-11-02 22:26:06

我们现在已经踏入了我们新的在家工作的怪异世界的两个季度。许多公司发现自己陷入了困境,因为员工从偶尔或一直局限于每个人,竭尽全力提供远程访问和持续的生产力(或至少是表面上的)。

各位,我们已经过了紧急阶段了。对于我们中的许多人来说,这将是持续的,而且可能是永久性的。我们开展业务的方式将不得不改变,包括我们如何构建我们的IT运营。

在与一位朋友交谈后,这一点变得非常清楚。这位朋友是一位业务主管,过去几个月一直在家中工作。他的公司已经为远程工作做好了半准备,不久前已经将许多员工转移到Windows终端进行桌面工作。但他个人并没有过渡,因为他的大部分工作涉及在他的公司台式机上运行的数据库-在Microsoft Access上。

因此,他通过微软远程桌面协议连接到自己的工作桌面,而不是托管其他所有人的远程桌面的终端服务器。幸运的是,有一个虚拟专用网络守卫着他与公司网络的连接。但这么说吧,他在公司隔间的桌面上进行的远程桌面协议会话的性能并不理想。

他的经历并不是独一无二的。还有许多家庭工作者使用更不稳定的方式继续在家工作-漏洞搜索引擎Shodan记录了在全球开始封锁后的几周内,直接暴露在互联网上的RDP服务器数量激增。

事实上,最近的一次检查发现有400多万台RDP主机直接暴露在互联网上-其中100多万台在美国。这是一个巨大的潜在漏洞池,因为勒索软件运营商在今年的重大攻击中一直以面向互联网的RDP为目标。总的来说,这些不是在公司网络中运行的系统;超过四分之一的系统在云环境中运行。但许多云实例可能是访问企业系统的网关。

我们很早以前就已经过了组织只需关注网络边界就可以完全保护自己的日子。但是,为了适应真正的分布式运营(人们通常远程工作),必须改变一些情况。IT资源必须配置为在应用程序性能、可用性和安全性方面至少与办公室内网络相当的级别支持远程工作。我们需要彻底改变IT架构。

组织将不得不弄清楚如何在完全不信任网络的情况下运营,而不是从拥有可信网络的假设开始-这就是所谓的零信任模型。对于已经在运营大型分布式IT运营的大公司来说,这可能意味着一些重大但不是压倒性的变化。对于较小的组织来说,这将使他们以前是如何做到这一点的情况发生翻天覆地的变化。

在家办公的兴起加速了重新定义组织如何保护其应用程序和数据的需要。忘了网络吧;现在整个互联网就是网络,每个端点都是潜在的安全风险。仅靠台式机上的杀毒软件就不可能阻止防火墙上的所有东西,也不再可能防御攻击。因此,这不仅仅是一个假设,即攻击者一直在网络内部。“任何设备(或用户)都不应该仅仅基于位置而受到信任,这包括那些通过VPN进入网络的设备。”

当您有一小部分人在家中或远程工作时,虚拟专用网络连接为他们提供了一种访问公司系统上资源的方法。但是VPN--至少目前大多数公司都在使用VPN--不是分布式工作场所的长期解决方案。让每个人都必须连接到物理办公室网络才能完成工作,这需要全新的网络基础设施。

正如过去一年反复证明的那样,得不到及时和适当的软件维护的VPN可能是一件非常危险的事情--Pulse Secure和Citrix漏洞持续了几个月(不幸的是,一些公司的网络仍然存在),甚至在大规模的在家办公推广开始之前,就已经成为针对许多不幸公司的勒索软件攻击的欢迎垫子。

可以采取一些基本步骤来降低VPN的脆弱性,其中大多数都是您应该已经在做的事情-多因素身份验证是其中的首要步骤。但采用多因素身份验证还有一个更重要的原因:作为零信任友好身份系统的一部分,该系统将企业领域内的内容与越来越多的非企业领域的内容联系在一起。