FreeBuf甲方群话题讨论 | 聊聊疫情期间企业网络安全
2022-3-31 19:19:2 Author: www.freebuf.com(查看原文) 阅读量:10 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

近来全国疫情出现反弹,众多企业被迫开启居家办公模式。对于非常依赖内网办公的企业而言,这种远程的办公模式会将大量的身份验证信息、操作权限暴露于并不安全的外部互联网络中。无论是公司网络还是个人网络,安全边界的扩大或消失无疑给企业数据信息安全构成了潜在威胁。本期话题就围绕疫情期间如何保障企业网络安全展开:

1.在居家远程办公条件下,相比纯粹使用个人电脑,利用公司派发的装有相关安全工具的电脑,能够起到多大的安全防护作用?
2.在远程接入的情况下,企业的应该如何构建身份验证机制来确保安全?
3.针对远程使用的软件,是否会部署本地化远程类服务器?如何最大程度确保安全性?

(本文所有ID已做匿名处理)

1.在居家远程办公条件下,相比纯粹使用个人电脑,利用公司派发的装有相关安全工具的电脑,能够起到多大的安全防护作用?

@浅蓝

我已经在家1个月,这个月我经历了从上家离职,和远程入职下家。公司派发的电脑,除了特制的工作软件和VPN,不如家里的好用,比如企业版杀毒软件,脱离了公司内网,也就脱离了公司的杀软服务器,难以第一时间更新 ,有些公司电脑有准入,在家里有时候还无法上B站等。

@蝉夏

公司发的从来不接入办公网络。

@晚街听风

如果员工自带个人电脑,然后接受安装相关安全软件,那么如果员工离职的情况下,格式化电脑之后,还有风险吗?

@God

肯定有啊,建议消磁。

@淡色

建议电脑用公司配的硬盘,离职就理所当然回收硬盘。

@柚子味的诗

电脑BitLocker加密外加AD+TPM托管密钥,不要说离职了,在职拆走硬盘也没有用。

@蝉夏

只要文件脱离了公司环境,就有可能泄漏。

@星海之中

搞个沙盒或者云桌面办公,只进不出那种。

@淡色

个人电脑拿来公司用,一律按办公电脑规范要求,比如加密封USB。

@大白

安全管理角度,cope比byod管起来方便太多,型号固定,甚至可以定制固件,该装的终端管理软件都预先装上了,设备直接绑定使用人,资产登记也方便。

2.在远程接入的情况下,企业的应该如何构建身份验证机制来确保安全?

@浅蓝

用双因素认证,有条件的话上零信任,比如citrix workspace。

@淡色

VPN+双因素认证+准入规则。

@安之若素

有活儿了VPN进去,干完了麻溜的下线,只要我的速度快,谁也别想黑到我。

@强颜欢笑

远程办公,有条件的可以参考外企的处理方式, Chromebook或者深度定制的软硬件设备。

我只知道Amazon国区部分员工用的是HP定制的小本,从软件到硬件深度定制,只能访问与工作有关的内容,而Chromebook其实本地几乎没有数据。这两种方式,除非拆机或者拍照,理论上不会出现大规模泄露事件。

@心境

终端电脑各种安全管控,只能访问指定的网络,公司VPN有准入机制,外部电脑连接不能访问生产系统。

3.针对远程使用的软件,是否会部署本地化远程类服务器?如何最大程度确保安全性?

@浅蓝

可以考虑堡垒机。

@晚街听风

堡垒机之前有讨论过,管理方面的话如果是VPN+堡垒机+虚拟桌面,这个有没有什么问题呀?

@浅蓝

VPN很卡,堡垒机很卡,虚拟桌面很卡,三个加起来非常卡, VPN+堡垒机 ,鼠标已经像放幻灯片了。

普通办公,尤其是文档类,其实用家里电脑的WPS处理下 ,上传到公司OA或者企业微信文档都行,除非公司服务器某些端口开放,家里VPN就能连,不然很卡,reboot命令过去没反应等。

@温存记忆

还加个DLP,防止电脑的敏感业务数据外泄。

@风之乐

DLP还行,有那么点作用,我们每天都会审计网盘下载日志。

@浅蓝

DLP,或者杀毒软件本身的限制,在家办公,会有一定的局限性比如财务同事带着电脑回家,报税的时候插U盾, DLP或者杀软拦截,这个时候申请开通白名单,也必须在公司的网络,在家隔离根本不出来,所以完全没法工作,恶行循环。

@星火

我今天跟同事商量了一下我的蜜罐搭建方案,没蜜罐,想钓点poc都没有办法。

@最爱鱼的喵

可以做集群,部署一些真实的测试服务,然后联动防火墙,通过API接口自动阻断。

@温存记忆

蜜罐可以抵挡hvv的大批量自动扫描,发现而封禁攻击IP。

@最爱鱼的喵

是的,起码这点还是可以保证的自动扫描这些收集资产操作。如果你们足够有钱,在内外网搭建n个节点集群,其实也很安全的。

本期精彩观点到此结束啦~此外,FreeBuf会定期开展不同的精彩话题讨论,想了解更多话题和观点,快来扫码免费申请加入FreeBuf甲方群吧!

加入即可获得FreeBuf月刊专辑,还有更多精彩内容尽在FreeBuf甲方会员专属社群,小助手周周送福利,社群周周有惊喜,还不赶快行动?

申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入会员俱乐部

如有疑问,也可扫码添加小助手微信哦!


文章来源: https://www.freebuf.com/articles/326923.html
如有侵权请联系:admin#unsafe.sh