Werken op afstand en hybride werken zijn niet meer weg te denken. Externe werknemers genieten van een kwantificeerbaar hogere productiviteit en een beter evenwicht tussen werk en privéleven. De sterkere autonomie en het gevoel van vertrouwen tussen werknemers en managers maken de weg nog verder vrij voor een hoger retentiepercentage.
Het veilig ontsluiten van de voordelen van veilige toegang op afstand blijkt echter een aanzienlijke uitdaging. Voor velen werd de toegang tot apparaten op afstand voor het eerst geïntroduceerd tijdens de begindagen van de pandemie, en hoewel mengelmoesoplossingen hielpen in de daaropvolgende strijd, zijn te veel organisaties nog steeds afhankelijk van gebrekkige methoden voor externe toegang. Een traditionele VPN werd bijvoorbeeld het epicentrum van de door Rusland gesteunde aanval op de Koloniale Pijpleiding, die de gasleveringen in het oosten van de VS stopzette en president Biden de nationale noodtoestand uitriep.
Toegang tot data is een paradox: aan de ene kant de productiviteit van werken op afstand hangt af van de toegang van gebruikers tot bestanden en systeembronnen. Deze gegevens moeten tegelijkertijd toegankelijk zijn voor gebruikers – en ontoegankelijk voor aanvallers.
Veilige technologieën en concepten voor externe toegang
Het proces van het verbinden van geauthenticeerde gebruikers met gevoelige interne netwerken kan vol gevaren zijn. Of het nu gaat om nauwgezette digitale hygiëne waarbij werknemers wachtwoorden hergebruiken, of bepaalde werknemers hun eigen persoonlijke apparaten willen gebruiken, gestandaardiseerde toegang op afstand kan moeilijk veilig te houden zijn. Hier zijn enkele van de meest voorkomende softwaretechnologieën voor veilige toegang op afstand.
VPN
Virtual Private Networks (VPN) boden een van de eerste veilige software voor externe toegang. Traditioneel routeert een VPN de verbinding van de werknemer via een netwerktoegangsserver. Hierdoor kan de medewerker via het publieke internet verbinding maken met een bedrijfsnetwerk; alle gegevens die van of naar het bedrijfsnetwerk reizen, zijn gecodeerd. Voordat verbinding wordt gemaakt met de netwerktoegangsserver, wordt op basis van inloggegevens geverifieerd wie het apparaat gebruikt. Het authenticatieproces kan uniek zijn voor de server, of voor een afzonderlijke authenticatieserver die op het netwerk draait.
Hoewel nuttig, bieden VPN's standaard toegang tot het gehele bedrijfsnetwerk, wat betekent dat een gecompromitteerd account kan profiteren van alle voordelen van brede toegang. Dit wordt nog verergerd door het feit dat diefstal van inloggegevens een bijzonder netelig onderwerp blijft voor VPN’s. omdat medewerkers regelmatig wachtwoorden hergebruiken via interne apparaten en apparaten voor externe toegang. Eén hergebruikt VPN-wachtwoord Er wordt nu aangenomen dat dit de onderliggende toegangsmethode is bij de Colonial Pipeline-ransomware-aanval.
Multi-factor authenticatie
Multi Factor Authenticatie (MFA) wordt gebruikt als een manier om het probleem van gecompromitteerde inloggegevens te omzeilen en staat bovenop het op inloggegevens gebaseerde authenticatieproces. Het doel van MFA is om de identiteit van een verbindende gebruiker te verifiëren via een tweede factor, zoals een telefoon, voordat deze toegang krijgt tot gevoelige bedrijfsgegevens. De implementatie van MFA wordt door veel VPN-providers aangeboden en helpt bij het stroomlijnen van toegangsbeveiligingsprotocollen. Dit brengt toegang op afstand in lijn met inloggen bij e-mail- en bestandsuitwisselingsapplicaties.
Nul vertrouwen netwerktoegang
Zero Trust Network Access (ZTNA) heeft tot doel een van de grootste tekortkomingen van VPN te bestrijden. In plaats van volledige toegang tot het doelnetwerk toe te staan, verbinden ZTNA-platforms gebruikers alleen met de specifieke applicaties en systemen die ze nodig hebben. Dit wordt bereikt via een cluster van oplossingen. Ten eerste vereist het verbindingsverzoek van de gebruiker authenticatie; hiervoor zal een trust broker idealiter integreren met de bestaande identiteitsprovider van de organisatie. Eenmaal succesvol verwijst ZTNA terug naar een beleidsengine, die het toegangsniveau voor elke gebruiker definieert. Ten slotte maakt de gebruiker rechtstreeks verbinding met de applicatie die hij nodig heeft. Deze gedetailleerde benadering van netwerktoegang ontneemt bedreigingsactoren – zelfs degenen die volledig gecompromitteerde accounts bezitten – de kans om zich lateraal te verplaatsen.
Secure Access Service Edge (SASE) is een nieuw model voor beveiliging op afstand dat de gedefinieerde softwareperimeters van ZTNA overneemt en combineert met andere cloudgebaseerde beveiligingsoplossingen. Terwijl ZTNA bijvoorbeeld applicatiespecifieke toegang biedt, een geïntegreerde cloudtoegangsbeveiligingsmakelaar (CASB) evalueert de veiligheid van de gegevensverwerking van elke applicatie. Bedrijfsgegevens worden gemonitord, waarbij kwaadaardig applicatiegedrag wordt geïdentificeerd. Tegelijkertijd verplaatst SASE de firewallbescherming naar de cloud, in plaats van naar de ouderwetse netwerkperimeter. Beveiligingsteams profiteren van een realtime beeld van overtredingen van de naleving, terwijl een extern en zeer mobiel personeelsbestand gegevens kan verzenden en ontvangen van het bedrijfsnetwerk. Er wordt in de hele organisatie een consistent beveiligingsbeleid gehandhaafd.
Waarom is veilige toegang op afstand belangrijk?
Terwijl werken op afstand al vóór 2020 ingeburgerd was, was de Covid-19-pandemie de katalysator voor het mainstream worden van werken op afstand. Dit versnelde de vraag naar gebruikers om indien nodig toegang te krijgen tot organisatienetwerken; Organisatienetwerken moesten opeens de toegang vanaf meerdere verschillende locaties tegelijk faciliteren. De overgrote meerderheid van de verbindingen was nu afkomstig van de thuisnetwerken van werknemers – en veel werknemers gebruikten ook persoonlijke apparaten. Dit versterkte de risico's waarmee bedrijfs- en persoonlijke netwerken te maken hebben, en maakte vaak verouderde beveiligingsmaatregelen ongeldig.
Aanvankelijk was dit een technische hoofdpijn. Veel organisaties hebben echter de culturele en financiële voordelen van werken op afstand ontdekt: veel bedrijven zijn nu vrij om medewerkers aan te nemen op basis van kwalificatie in plaats van op locatie. Aan de andere kant hebben evoluerende aanvalsgroepen op betrouwbare wijze slachtoffers gemaakt van organisaties die er niet in slagen gelijke tred te houden met de toegenomen eisen op het gebied van data- en netwerkhygiëne. Bovendien blijven de kwetsbaarheden ongekend hoog; Hierdoor is veilige toegang op afstand bovenaan de prioriteitenlijst van IT- en beveiligingsafdelingen over de hele wereld komen te staan. In elke sector vergemakkelijkt een nieuwe beveiligingsbasislijn externe systeemtoegang voor elke gebruiker, vanaf elk netwerk waarvandaan zij inbellen, op elk apparaat dat zij kiezen.
Wat zijn de risico's van veilige toegang op afstand?
Het risico rond toegang op afstand varieert afhankelijk van de smaak van de oplossing voor toegang op afstand. Hieronder staan enkele van de beveiligings- en gebruikersproblemen die zich voordoen bij enkele van de meest populaire benaderingen van externe toegang.
Toegeeflijk beleid voor externe toegang
Een probleem dat het meest voorkomt bij VPN-oplossingen: een tolerant toegangsbeleid definieert de toegang via hele netwerken. Hoewel firewallregels vaak toegang tot bijna alles op bedrijfsnetwerken toestaan, vereist zelfs moderne software voor externe toegang een zorgvuldige toegangsvoorziening. Gebruikersprivileges moeten zorgvuldig worden verdeeld, anders wordt de straal van accountcompromis veel groter dan anders het geval zou zijn geweest.
Externe apparaten
Toen werken op afstand plotseling mainstream werd, werden veel organisaties geconfronteerd met de keuze tussen het aanschaffen van apparatuur voor thuisgebruik (terwijl ze de verliezen van wijdverbreide verstoringen moesten slikken) of het toestaan dat werknemers hun eigen laptops gebruikten. Dit opende de deur voor aanzienlijke pieken in de door hardware veroorzaakte kwetsbaarheden in de toeleveringsketen. Zwakke punten in ASUS-thuis-wifi-routers hebben bijvoorbeeld onlangs de weg vrijgemaakt voor door Rusland gesteunde Sandworm-aanvallen.
Een statistisch meer zorgwekkend aspect van BYOD is het gebrek aan encryptie voor de gegevens binnenin. Dit brengt het risico met zich mee dat bedrijfseigendommen worden blootgesteld, vooral wanneer het apparaat wordt gestolen of op een andere manier uit het huis van de gebruiker wordt verwijderd.
Arbeidsintensieve installatie
Hoewel VPN's historisch gezien niet zijn aangeboden de beste bescherming voor toegang op afstandzijn ze aanzienlijk eenvoudiger in te stellen dan sommige nieuwerwetse oplossingen. De implementatie van SASE vereist bijvoorbeeld een volledige herziening van het authenticatiebeleid. Omdat het netwerk tijdens dit proces moet blijven functioneren, is het vaak eenvoudiger om een nieuw netwerk vanaf de grond af aan op te bouwen. Dit vormt ook een ernstig probleem voor oudere en oudere machines. Als deze onverenigbaar zijn met de veilige protocollen voor externe toegang van Zero Trust, moeten veel organisaties bijna helemaal opnieuw beginnen.
Gebrek aan zichtbaarheid van de gebruiker
Bij het op afstand werken wordt het voor beveiligingsteams bijzonder belangrijk om de status van elk eindpuntapparaat te controleren. Als u dit weet, kunt u de verspreiding van malware binnen een op afstand gerichte organisatie proactief stoppen. Maar zelfs bij veel moderne oplossingen is de verkeersdoorvoer op lokale netwerken ongelooflijk ondoorzichtig. Het onvermogen om dit verkeer te monitoren maakt het veel moeilijker om geavanceerde bedreigingen te identificeren, waardoor de kans groter wordt dat apparaten op afstand worden gecompromitteerd. Complicerende zaken zijn het feit dat beveiligingsanalisten nu vaak ook vanuit huis werken – het gebrek aan zichtbaarheid wordt tweeledig en het risico bestaat dat de blinden de blinden leiden. Door deze combinatie kunnen aanvallers diep in bedrijfsnetwerken doordringen.
Schadelijke toegang
Met externe toegang hebben gebruikers, door hun ontwerp, toegang tot gevoelige gegevens en systemen van buiten de organisatie. Het gevolg is dat aanvallers die onveilige technologieën kunnen misbruiken en ongeoorloofde toegang kunnen krijgen tot het netwerk of apparaten op afstand kunnen verbinden, vertrouwelijke informatie kunnen stelen, malware of ransomware kunnen introduceren of de bedrijfsactiviteiten kunnen verstoren.
Ongeautoriseerde toegang kan worden verkregen door misbruik te maken van kwetsbaarheden in de technologie voor externe toegang zelf, zoals zwakke wachtwoorden, niet-gepatchte software, verkeerd geconfigureerde beveiligingsinstellingen of de browser. Ze mogen ook gebruiken social engineering technieken, zoals phishing, om externe gebruikers te misleiden zodat ze hun inloggegevens of andere gevoelige informatie prijsgeven.
Accountovername-aanvallen
Een onderdeel van kwaadwillige toegang is accountovername, dat wil zeggen dat de aanvaller toegang krijgt tot de inloggegevens van de legitieme gebruiker en identiteitsdiefstal uitvoert. Voor een organisatie betekent dit dat de aanvaller zichzelf kan vermommen als een legitieme gebruiker en lateraal binnen het systeem kan komen op basis van de machtigingen van de gebruiker.
Gebruikersreferenties kunnen op verschillende manieren worden gehackt, waaronder social engineering (zoals phishing-aanvallen), brute-force-aanvallen en het raden van wachtwoorden. Aanvallers kunnen mogelijk ook sessies voor externe toegang onderscheppen of kwetsbaarheden in de tools voor externe toegang zelf misbruiken om toegang te krijgen tot het systeem of de bron.
Wat zijn de voordelen van veilige toegang op afstand?
De voordelen van veilige toegang op afstand voor werknemers zijn geconcentreerd rond een versterkte en flexibele beveiligingshouding. Een proactieve aanpak om toegang op afstand te beveiligen maakt processen voor het beperken van aanvallen mogelijk die in elk facet van een organisatie worden weerspiegeld, waardoor zowel klanten als eindgebruikers worden beschermd.
Veilige webtoegang
Het enorme aantal webgebaseerde applicaties dat elk team nodig heeft, groeit elk jaar. Gebruikers hebben bescherming nodig voor elk onderdeel van de internetconnectiviteit; Met de juiste aanpak om toegang op afstand te beveiligen, worden gebruikers beschermd wanneer ze verbinding maken met internet, en niet alleen wanneer ze rechtstreeks met bedrijfsbronnen bezig zijn. Met de permanente bescherming van het openbare internet kunnen de hyperagressieve bedreigingen van vandaag, zoals ransomware en drive-by downloads, vrijwel worden geëlimineerd.
Robuuste eindpuntbescherming
De dagen van ring-fencing-databases zijn al lang voorbij. Met moderne, veilige toegang op afstand worden eindpunten volledige bescherming geboden. Omdat gebruikers steeds afhankelijker worden van meerdere apparaten – van laptops tot smartphones – moeten veilige oplossingen voor externe toegang deze focus op meerdere eindpunten weerspiegelen. Daarnaast kunnen teams vertrouwen op beveiliging die apparaten die eigendom zijn van werknemers beschermt dezelfde eindpuntbeveiliging als die van door de organisatie geleverde eindpuntbeveiliging.
Verhoogd bewustzijn van veiligheidsproblemen
Via een solide basis van eindpuntbeveiliging – ongeacht de geografische locatie van werknemers – helpen organisaties een cultuur van cybersecuritybewustzijn op te bouwen. Met het in stand houden en afdwingen van een solide beveiligingsbeleid worden best practices op regelgevingsgebied een springplank voor het beveiligingsbeleid van de organisatie in het licht van evoluerende dreigingen.
Flexibiliteit om op afstand te werken
Dankzij de mogelijkheid om overal veilig verbinding te maken, hoeven medewerkers niet fysiek op kantoor aanwezig te zijn om hun taken uit te voeren. In plaats daarvan kunnen ze thuis, onderweg of zelfs vanaf het strand werken. Hierdoor kunnen ze hun werk integreren met andere dagelijkse behoeften en verplichtingen die ze hebben, zoals de zorg voor kinderen of reizen. Bovendien breidt werken op afstand de talentenpool voor bedrijven uit, omdat ze overal werknemers kunnen inhuren, zonder zich te beperken tot werknemers die bereid zijn te pendelen naar de fysieke kantoren.
Best practices voor veilige toegang op afstand
Door best practices te volgen, kan een organisatie doorgaan met het doorvoeren van aanpassingen op weg naar echte bescherming op afstand. Het ontwikkelen van een diepgaand beveiligingsbeleid voor alle externe gebruikers is van cruciaal belang: dit zal helpen specificeren welke protocollen toegang op afstand definiëren, welke apparaten verbinding mogen maken, waarvoor deze apparaten mogen worden gebruikt, en uiteindelijk een beleid voor het neutraliseren van de dreiging van verlies en gestolen apparaten.
Best practices kunnen in drie hoofdgebieden worden opgesplitst. Eerst en vooral is er de mogelijkheid om eindpunten te beschermen en te beheren. Een proxyservice in de cloud is veel te afgelegen om een dergelijke zichtbaarheid van eindpunten te bieden; Daarom ondersteunen best practices de endpoint-first zichtbaarheid. Ten tweede is encryptie. Alle gegevens moeten tijdens elke overdrachtsprocedure worden gecodeerd, ook als ze op het apparaat van elke medewerker staan. Dit coderingsniveau fungeert als een beschermingslaag. Op deze basis bevinden zich authenticatiemechanismen en uitgebreide antivirusoplossingen, die ervoor zorgen dat – zelfs als een aanvaller erin slaagt een apparaat te compromitteren – hij of zij geen gebruik kan maken van gevoelige gegevens. Ten slotte moet de beveiliging het voorkomen van bedreigingen beloven. De bestaande oplossingen moeten potentiële cyberdreigingen identificeren, beperken en blokkeren voordat ze schade aan de systemen of gegevens van de organisatie kunnen veroorzaken. Deze beperking kan (en moet) plaatsvinden via beveiligingscontroles en organisatieprocessen die de relevante beveiligingsrisico's aanpakken. Met deze best practices is een organisatie het best uitgerust om thuisteams alle voordelen van werken op afstand te bieden.
Maak externe toegang veiliger met LayerX
LayerX is een browserbeveiligingsoplossing die zich op laag 7 van de applicatielaag bevindt en uitgebreide veilige toegangsbescherming en zichtbaarheid biedt. Dit wordt bereikt door een krachtig authenticatie- en autorisatieproces te bieden, waardoor acties binnen en buiten het netwerk kunnen worden geblokkeerd (zoals kopiëren/plakken, downloaden, toegang krijgen tot specifieke webpagina's, applicaties in alleen-lezen-modus worden weergegeven, enz.) en op elegante wijze kunnen worden geïntegreerd met ZTNA, SASE, IdPs (Google, Okta, Azure binnenkort beschikbaar, etc.) en andere oplossingen. Bovendien biedt LayerX inzicht in gebruikersacties in het netwerk en op internet.
LayerX kan worden geïntegreerd met oplossingen voor externe toegang, zoals VPN's en MFA, maar maakt ze overbodig door sterke multi-factor authenticatie te bieden. Bovendien is LayerX 'altijd aan', waardoor te allen tijde bescherming en aanvalsblokkering wordt gegarandeerd. Dit in tegenstelling tot VPN's, waarmee de gebruiker verbonden moet zijn om te kunnen werken.
LayerX is de enige oplossing die volledig beveiligde toegang biedt en tegelijkertijd kan worden geïntegreerd met andere netwerkbeveiligingsoplossingen.