Fjern- og hybridarbejde er kommet for at blive. Fjernarbejdere nyder godt af kvantificerbart højere produktivitet og større balance mellem arbejde og privatliv – den stærkere autonomi og følelsen af tillid mellem medarbejdere og ledere baner yderligere vej for større fastholdelsesprocenter.
Det har dog vist sig at være en væsentlig udfordring at låse op for fordelene ved sikker fjernadgang. For mange blev fjernadgang til enheder først introduceret i pandemiens tidlige dage, og mens hodgepodge-løsninger hjalp i den efterfølgende kamp, er alt for mange organisationer stadig afhængige af mangelfulde fjernadgangsmetoder. En traditionel VPN blev for eksempel epicentret for det russisk-støttede Colonial Pipeline-angreb, som standsede gasforsyninger i hele det østlige USA og så præsident Biden udstedte en national undtagelsestilstand.
Dataadgang er et paradoks: På den ene side, produktiviteten af fjernarbejde afhænger af brugernes adgang til filer og systemressourcer. Disse data skal samtidig være tilgængelige for brugere – og utilgængelige for angribere.
Sikker fjernadgangsteknologi og koncepter
Processen med at forbinde godkendte brugere til følsomme interne netværk kan være fuld af farer. Uanset om omhyggelig digital hygiejne ser, at medarbejdere genbruger adgangskoder, eller visse medarbejdere ønsker at bruge deres egne personlige enheder, kan standardiseret fjernadgang være svær at holde sikker. Her er nogle af de mest almindelige softwareteknologier til sikker fjernadgang.
VPN
Virtual Private Networks (VPN)'er tilbød en af de første sikre fjernadgangssoftware. Traditionelt ruter en VPN medarbejderens forbindelse via en netværksadgangsserver. Dette giver medarbejderen mulighed for at oprette forbindelse til et virksomhedsnetværk over det offentlige internet; alle data, der rejser til eller fra virksomhedens netværk, er krypteret. Før der oprettes forbindelse til netværksadgangsserveren, fungerer legitimationsbaseret godkendelse for at bekræfte den person, der bruger enheden. Autentificeringsprocessen kan enten være unik for serveren – eller en separat autentificeringsserver, der kører på netværket.
Selvom det er nyttigt, giver VPN'er adgang til hele virksomhedens netværk som standard, hvilket betyder, at en kompromitteret konto kan nyde alle fordelene ved bred adgang. Dette forværres af det faktum, at legitimationstyveri fortsat er et særligt vanskeligt emne for VPN'er, da medarbejdere jævnligt genbruger adgangskoder på tværs af interne og fjernadgangsenheder. En enkelt genbrugt VPN-adgangskode menes nu at være den underliggende metode til at komme ind i Colonial Pipeline ransomware-angrebet.
Multi-Factor Authentication
Brugt som en måde at omgå problemet med kompromitterede legitimationsoplysninger, er Multi Factor Authentication (MFA) oven på den legitimationsbaserede autentificeringsproces. Målet med MFA er at verificere identiteten af en tilsluttende bruger via en anden faktor, såsom en telefon, før de kan få adgang til følsomme virksomhedsdata. Implementeringen af MFA tilbydes af mange VPN-udbydere og hjælper med at strømline adgangssikkerhedsprotokoller. Dette bringer fjernadgang på linje med at logge på e-mail- og fildelingsapplikationer.
Nul tillid til netværksadgang
Zero Trust Network Access (ZTNA) har til formål at bekæmpe en af VPN's største fejl. I stedet for at tillade fuld adgang til målnetværket forbinder ZTNA-platforme kun brugere til de specifikke applikationer og systemer, de har brug for. Dette opnås via en klynge af løsninger. For det første kræver brugerens forbindelsesanmodning godkendelse; en tillidsmægler vil ideelt set integrere med organisationens eksisterende identitetsudbyder til dette. Når det er lykkedes, refererer ZTNA tilbage til en politikmotor, som definerer adgangsniveauet for hver bruger. Endelig forbinder brugeren direkte til den applikation, de har brug for. Denne detaljerede tilgang til netværksadgang nægter trusselsaktører - selv dem, der har fuldt kompromitterede konti - chancen for at bevæge sig sideværts.
Secure Access Service Edge (SASE) er en ny model for fjernsikkerhed, der tager ZTNA's definerede softwareomkreds og kombinerer det med andre cloud-baserede sikkerhedsløsninger. For eksempel, mens ZTNA giver applikationsspecifik adgang, en integreret cloud-adgangssikkerhedsmægler (CASB) evaluerer sikkerheden ved hver applikations datahåndtering. Virksomhedsdata overvåges med identifikation af ondsindet applikationsadfærd. Samtidig flytter SASE firewall-beskyttelsen til skyen i stedet for den gamle skole-netværksperimeter. Sikkerhedsteams drager fordel af en realtidsvisning af overtrædelser af overholdelse, mens en ekstern og meget mobil arbejdsstyrke kan sende og modtage data fra virksomhedens netværk. Konsistente sikkerhedspolitikker håndhæves i hele organisationen.
Hvorfor er sikker fjernadgang vigtig?
Mens fjernarbejde allerede var etableret før 2020, var Covid-19-pandemien katalysatoren for fjernarbejde ved at blive mainstream. Dette accelererede efterspørgslen efter brugere til at få adgang til organisatoriske netværk efter behov; organisatoriske netværk skulle pludselig lette adgangen fra flere forskellige lokationer på samme tid. Langt de fleste forbindelser stammede nu fra medarbejderens hjemmenetværk – og mange medarbejdere brugte også personlige enheder. Dette forstærkede de risici, som virksomheds- og personlige netværk står over for, og ofte ugyldiggøre ældre sikkerhedsforanstaltninger.
I starten var dette en teknisk hovedpine. Men mange organisationer har opdaget de kulturelle og økonomiske fordele ved fjernarbejde: mange virksomheder er nu frie til at ansætte baseret på kvalifikationer frem for placering. På bagsiden har udviklende angrebsgrupper pålideligt gjort ofre for de organisationer, der ikke kan følge med de øgede krav til data- og netværkshygiejne. Desuden forbliver sårbarheder på alle tiders højder; dette har tvunget sikker fjernadgang til toppen af prioritetslister for IT- og sikkerhedsafdelinger over hele kloden. På tværs af alle brancher letter en ny sikkerhedsbaseline fjernsystemadgang for hver bruger, fra ethvert netværk, de ringer ind fra, på hver enhed, de vælger.
Hvad er risikoen ved sikker fjernadgang?
Risikoen omkring fjernadgang varierer afhængigt af smagen af fjernadgangsløsningen. Nedenfor er nogle af de sikkerheds- og brugerproblemer, der pålægges nogle af de mest populære tilgange til fjernadgang.
Tilladende fjernadgangspolitikker
Et problem, der oftest ses blandt VPN-løsninger, definerer tilladende adgangspolitikker adgang via hele netværk. Mens firewallregler ofte tillader adgang til næsten alt på virksomhedens netværk, kræver selv moderne fjernadgangssoftware omhyggelig adgangsforsyning. Brugerrettigheder skal omhyggeligt opdeles, ellers bliver eksplosionsradius for kontokompromis langt større, end den ellers ville have haft.
Fjernenheder
Da fjernarbejde pludselig blev mainstream, stod mange organisationer over for valget mellem at købe udstyr derhjemme (mens de slugte tabet af omfattende forstyrrelser), eller at tillade medarbejderne at bruge deres egne bærbare computere. Dette åbnede døren til betydelige stigninger i hardwarebårne forsyningskædesårbarheder. Svagheder i ASUS wifi-routere til hjemmet har for eksempel for nylig banet vejen for russisk-støttede Sandworm-angreb.
En statistisk mere vedrørende aspekt til BYOD er den manglende kryptering, der tilbydes til dataene indeni. Dette åbner op for risikoen for udsatte virksomhedsaktiver, især når enheden bliver stjålet eller på anden måde fjernet fra brugerens hjem.
Arbejdskrævende opsætning
Mens VPN'er historisk ikke har tilbudt den største beskyttelse for fjernadgang, de er betydeligt nemmere at sætte op end nogle nymodens løsninger. For eksempel kræver implementeringen af SASE en fuldstændig revision af autentificeringspolitikker. Da netværket skal fortsætte med at fungere under denne proces, er det ofte nemmere at opbygge et nyt netværk fra bunden. Dette udgør også et alvorligt problem for ældre og ældre maskiner – hvis disse er uforenelige med Zero Trusts sikre fjernadgangsprotokoller, oplever mange organisationer at skulle starte næsten fra bunden.
Manglende brugersynlighed
Når du arbejder eksternt, bliver det særligt vigtigt for sikkerhedsteams at overvåge status for hver endepunktsenhed. At vide dette kan hjælpe med proaktivt at stoppe spredningen af malware i en fjerntliggende organisation. Men selv i mange moderne løsninger er trafikgennemstrømningen på lokale netværk utrolig uigennemsigtig. Manglende evne til at overvåge denne trafik gør det meget sværere at identificere avancerede trusler, hvilket øger muligheden for kompromittering af ekstern enhed. Det komplicerede er, at sikkerhedsanalytikere nu ofte også arbejder hjemmefra – manglen på synlighed bliver dobbelt og risikerer, at blinde fører blinde. Denne kombination kan tillade angribere at rykke dybt ind i virksomhedens netværk.
Ondsindet adgang
Fjernadgang gør det muligt for brugere at få adgang til følsomme data og systemer uden for organisationen. Som følge heraf kan angribere, der er i stand til at udnytte usikre teknologier og få uautoriseret adgang til netværket eller fjerntilsluttede enheder, være i stand til at stjæle fortrolige oplysninger, introducere malware eller ransomware eller forstyrre forretningsdriften.
Uautoriseret adgang kan opnås ved at udnytte sårbarheder i selve fjernadgangsteknologien, såsom svage adgangskoder, upatchet software, fejlkonfigurerede sikkerhedsindstillinger eller browseren. De kan også bruge sociale ingeniørteknikker, ligesom phishing, for at narre fjernbrugere til at videregive deres loginoplysninger eller andre følsomme oplysninger.
Kontoovertagelsesangreb
En undergruppe af ondsindet adgang er kontoovertagelse, dvs. at hackeren får adgang til den legitime brugers legitimationsoplysninger og udfører identitetstyveri. For en organisation betyder det, at angriberen kan forklæde sig som en legitim bruger og gøre fremskridt sideværts i systemet i henhold til brugerens tilladelser.
Brugerlegitimationsoplysninger kan kompromitteres gennem en række forskellige metoder, herunder social engineering (som phishing-angreb), brute-force-angreb og gætte adgangskoder. Angribere kan også være i stand til at opsnappe fjernadgangssessioner eller udnytte sårbarheder i fjernadgangsværktøjerne selv for at få adgang til systemet eller ressourcen.
Hvad er fordelene ved sikker fjernadgang?
Fordelene ved sikker fjernadgang for medarbejderne er centreret omkring en styrket og fleksibel sikkerhedsposition. En proaktiv tilgang til sikker fjernadgang giver mulighed for angrebsreduktionsprocesser, der afspejles i alle facetter af en organisation, og beskytter både kunder og slutbrugere.
Sikker webadgang
Det store antal webbaserede applikationer, som hvert team kræver, vokser hvert år. Brugere kræver beskyttelse på tværs af alle komponenter i internetforbindelse; med den rigtige tilgang til sikker fjernadgang er brugere beskyttet, når de opretter forbindelse til internettet, ikke kun når de er direkte involveret i virksomhedens ressourcer. Med altid-på-beskyttelse fra det offentlige internet kan nutidens hyperaggressive trusler såsom ransomware og drive-by-downloads praktisk talt elimineres.
Robust endepunktsbeskyttelse
Dagene med ringhegn-databaser er for længst forbi. Med moderne sikker fjernadgang tilbydes endepunkter fuld beskyttelse. Da brugere i stigende grad er afhængige af flere enheder – fra bærbare computere til smartphones – skal sikre fjernadgangsløsninger afspejle dette fokus på flere endepunkter. Sideløbende med dette kan teams stole på sikkerhed, der beskytter medarbejderejede enheder – tilbud den samme slutpunktsikkerhed, som dem, der er leveret af organisationen.
Øget bevidsthed om sikkerhedsproblemer
Via et solidt fundament af slutpunktssikkerhed – uanset medarbejdernes geografiske placering – hjælper organisationer med at opbygge en kultur af cybersikkerhedsbevidsthed. Med vedligeholdelsen og håndhævelsen af solide sikkerhedspolitikker bliver regulatorisk bedste praksis et springbræt for organisationens sikkerhedsposition i forhold til skiftende trusler.
Fleksibilitet til at arbejde på afstand
Takket være muligheden for at oprette forbindelse sikkert fra hvor som helst, behøver medarbejdere ikke at være fysisk til stede på kontoret for at udføre deres opgaver. I stedet kan de arbejde hjemmefra, på farten eller endda fra stranden. Dette sætter dem i stand til at integrere arbejdet i andre daglige krav og forpligtelser, som de har, som at passe børn eller at rejse. Derudover udvider fjernarbejde talentmassen for virksomheder, da de kan ansætte medarbejdere fra hvor som helst, uden at begrænse sig til medarbejdere, der er villige til at pendle til murstens- og mørtelkontorerne.
Bedste praksis for sikker fjernadgang
At følge bedste praksis giver en organisation mulighed for at fortsætte med at foretage justeringer på sin vej mod ægte fjernbeskyttelse. Det er vigtigt at udvikle en dybdegående sikkerhedspolitik for alle fjernbrugere: dette vil hjælpe med at specificere, hvilke protokoller der definerer fjernadgang, hvilke enheder der kan tillades at oprette forbindelse, hvilke anvendelser disse enheder er tilladt til, og endelig en politik til at neutralisere truslen om tabt og stjålne enheder.
Bedste praksis kan opdeles i tre hovedområder. Først og fremmest er evnen til at beskytte og administrere endepunkter. En proxy-tjeneste i skyen er alt for fjern til at tilbyde en sådan slutpunktssynlighed; det er grunden til, at bedste praksis understøtter endpoint-first-synlighed. For det andet er kryptering. Alle data skal være krypteret under enhver transmissionsprocedure og også mens de hviler på hver medarbejders enhed. Dette krypteringsniveau fungerer som et beskyttelseslag. På dette fundament sidder autentificeringsmekanismer og omfattende antivirusløsninger, som sikrer, at de – selv hvis en angriber formår at kompromittere en enhed – ikke er i stand til at gøre brug af følsomme data. Endelig skal sikkerheden love trusselsforebyggelse. De eksisterende løsninger skal identificere, afbøde og blokere potentielle cybertrusler, før de kan forårsage skade på organisationens systemer eller data. Denne afbødning kan (og bør) finde sted gennem sikkerhedskontroller og organisationsprocesser, der adresserer de relevante sikkerhedsrisici Med disse bedste praksisser på plads, er en organisation bedst rustet til at give hjemmehold de fulde fordele ved fjernarbejde.
Gør fjernadgang mere sikker med LayerX
LayerX er en browsersikkerhedsløsning, der sidder på lag 7 i applikationslaget og giver omfattende sikker adgangsbeskyttelse og synlighed. Dette opnås ved at tilbyde en kraftfuld godkendelses- og autorisationsproces, der muliggør blokering af handlinger i og uden for netværket (såsom kopier/indsæt, downloads, adgang til bestemte websider, visning af applikationer i skrivebeskyttet tilstand osv.) og elegant integration med ZTNA, SASE, IdP'er (Google, Okta, Azure-forthcoming osv.) og andre løsninger. Derudover giver LayerX synlighed i brugerhandlinger i netværket og på nettet.
LayerX kan integreres med fjernadgangsløsninger som VPN'er og MFA, men det gør dem overflødige ved at levere stærk multi-faktor autentificering. Derudover er LayerX 'altid tændt', hvilket sikrer beskyttelse og angrebsblokering til enhver tid. Dette er i modsætning til VPN'er, som brugeren skal have forbindelse til, for at den kan fungere.
LayerX er den eneste løsning, der giver fuldstændig sikker adgang, samtidig med at den integreres med andre netværkssikkerhedsløsninger.