Fjern- og hybridarbeid er kommet for å bli. Fjernarbeidere nyter kvantifiserbart høyere produktivitet og større balanse mellom arbeid og privatliv – den sterkere autonomien og følelsen av tillit mellom ansatte og ledere baner vei for høyere oppbevaringsrater.
Å låse opp fordelene med sikker fjerntilgang på en trygg måte viser seg imidlertid å være en betydelig utfordring. For mange ble ekstern enhetstilgang først introdusert i løpet av de tidlige dagene av pandemien, og selv om hodgepodge-løsninger hjalp til i den påfølgende krangelen, er for mange organisasjoner fortsatt avhengige av feilaktige fjerntilgangsmetoder. En tradisjonell VPN, for eksempel, ble episenteret for det russisk-støttede Colonial Pipeline-angrepet, som stoppet gassforsyninger over hele det østlige USA og fikk president Biden til å utstede en nasjonal unntakstilstand.
Datatilgang er et paradoks: på den ene siden, produktiviteten til fjernarbeid avhenger av at brukere får tilgang til filer og systemressurser. Disse dataene må være tilgjengelige for brukere samtidig – og utilgjengelige for angripere.
Sikker fjerntilgangsteknologi og konsepter
Prosessen med å koble autentiserte brukere til sensitive interne nettverk kan være full av farer. Enten nøye digital hygiene ser at ansatte gjenbruker passord, eller enkelte ansatte ønsker å bruke sine egne personlige enheter, kan standardisert fjerntilgang være vanskelig å holde sikker. Her er noen av de vanligste programvareteknologiene for sikker fjerntilgang.
VPN
Virtual Private Networks (VPN) tilbød en av de første sikre fjerntilgangsprogramvarene. Tradisjonelt ruter en VPN den ansattes tilkobling via en nettverkstilgangsserver. Dette lar den ansatte koble seg til et bedriftsnettverk over det offentlige internett; all data som reiser til eller fra bedriftens nettverk er kryptert. Før du kobler til nettverkstilgangsserveren, fungerer legitimasjonsbasert autentisering for å bekrefte personen som bruker enheten. Autentiseringsprosessen kan enten være unik for serveren – eller en separat autentiseringsserver som kjører på nettverket.
Selv om det er nyttig, gir VPN-er tilgang til hele bedriftsnettverket som standard, noe som betyr at en kompromittert konto kan nyte alle fordelene med bred tilgang. Dette blir verre av det faktum at legitimasjonstyveri fortsetter å være et spesielt vanskelig tema for VPN-er, som ansatte regelmessig gjenbruker passord på tvers av interne og eksterne enheter. Et enkelt gjenbrukt VPN-passord antas nå å være den underliggende metoden for inntreden i Colonial Pipeline løsepengevare-angrepet.
Multifaktorautentisering
Brukt som en måte å omgå problemet med kompromittert legitimasjon, sitter Multi Factor Authentication (MFA) på toppen av den legitimasjonsbaserte autentiseringsprosessen. Målet med MFA er å verifisere identiteten til en koblende bruker via en annen faktor, for eksempel en telefon, før de får tilgang til sensitive bedriftsdata. Implementeringen av MFA tilbys av mange VPN-leverandører, og bidrar til å strømlinjeforme tilgangssikkerhetsprotokoller. Dette bringer ekstern tilgang i tråd med pålogging til e-post- og fildelingsapplikasjoner.
Null tillitsnettverkstilgang
Zero Trust Network Access (ZTNA) har som mål å bekjempe en av VPNs største feil. I stedet for å tillate full tilgang til målnettverket, kobler ZTNA-plattformer brukere kun til de spesifikke applikasjonene og systemene de trenger. Dette oppnås via en klynge av løsninger. For det første krever brukerens tilkoblingsforespørsel autentisering; en tillitsmegler vil ideelt sett integreres med organisasjonens eksisterende identitetsleverandør for dette. Når den er vellykket, refererer ZTNA tilbake til en policymotor, som definerer tilgangsnivået for hver bruker. Til slutt kobler brukeren seg direkte til applikasjonen de trenger. Denne detaljerte tilnærmingen til nettverkstilgang nekter trusselaktører – selv de som har fullstendig kompromitterte kontoer – muligheten til å bevege seg sideveis.
Secure Access Service Edge (SASE) er en ny modell for ekstern sikkerhet som tar de definerte programvareomkretsene til ZTNA og kombinerer den med andre skybaserte sikkerhetsløsninger. For eksempel, mens ZTNA gir applikasjonsspesifikk tilgang, en integrert sikkerhetsmegler for skytilgang (CASB) evaluerer sikkerheten til hver applikasjons datahåndtering. Bedriftsdata overvåkes, med identifisering av ondsinnet applikasjonsatferd. Samtidig flytter SASE brannmurbeskyttelsen til skyen, i stedet for den gamle skolens nettverksomkrets. Sikkerhetsteam drar nytte av en sanntidsvisning av brudd på samsvar, mens en ekstern og svært mobil arbeidsstyrke kan sende og motta data fra bedriftens nettverk. Konsekvente sikkerhetspolicyer håndheves i hele organisasjonen.
Hvorfor er sikker fjerntilgang viktig?
Mens fjernarbeid allerede var etablert før 2020, var Covid-19-pandemien katalysatoren for at fjernarbeid ble mainstream. Dette akselererte etterspørselen etter brukere for å få tilgang til organisasjonsnettverk etter behov; organisasjonsnettverk måtte plutselig legge til rette for tilgang fra flere forskjellige steder samtidig. De aller fleste forbindelsene kom nå fra ansattes hjemmenettverk – og mange ansatte brukte også personlige enheter. Dette forsterket risikoen for bedrifts- og personlige nettverk, og ofte ugyldiggjort eldre sikkerhetstiltak.
I utgangspunktet var dette en teknisk hodepine. Imidlertid har mange organisasjoner oppdaget de kulturelle og økonomiske fordelene ved fjernarbeid: mange bedrifter kan nå ansettes fritt basert på kvalifikasjoner i stedet for beliggenhet. På baksiden har utviklende angrepsgrupper på en pålitelig måte gjort ofre for organisasjoner som ikke klarer å holde tritt med de økte kravene til data- og nettverkshygiene. Videre forblir sårbarhetene på alle tiders høyder; dette har tvunget sikker ekstern tilgang til toppen av prioriteringslistene for IT- og sikkerhetsavdelinger over hele verden. På tvers av alle bransjer tilrettelegger en ny sikkerhetsgrunnlinje for ekstern systemtilgang for hver bruker, fra hvilket som helst nettverk de ringer inn fra, på hver enhet de velger.
Hva er risikoen ved sikker fjerntilgang?
Risikoen rundt ekstern tilgang varierer avhengig av smaken på fjerntilgangsløsningen. Nedenfor er noen av sikkerhets- og brukerbekymringene som kreves for noen av de mest populære tilnærmingene til ekstern tilgang.
Retningslinjer for tillatelse for fjerntilgang
Et problem som oftest sees blant VPN-løsninger, tillater tilgangspolicyer definerer tilgang via hele nettverk. Mens brannmurregler ofte tillater tilgang til nesten alt på bedriftsnettverk, krever selv moderne fjerntilgangsprogramvare nøye tilgangsklargjøring. Brukerrettigheter må deles forsiktig ut, ellers blir eksplosjonsradiusen for kontokompromittering langt større enn den ellers ville ha gjort.
Eksterne enheter
Da fjernarbeid plutselig ble mainstream, sto mange organisasjoner overfor valget mellom å kjøpe hjemmeutstyr (mens de svelger tapene av omfattende forstyrrelser), eller å la ansatte bruke sine egne bærbare datamaskiner. Dette åpnet døren for betydelige topper i maskinvarebårne forsyningskjedesårbarheter. Svakheter i ASUS hjemme-wifi-rutere, for eksempel, har nylig banet vei for russisk-støttede Sandworm-angrep.
A statistisk sett mer angående aspekt til BYOD er mangelen på kryptering som tilbys til dataene innenfor. Dette åpner for risikoen for eksponerte bedriftsmidler, spesielt når enheten blir stjålet eller på annen måte fjernet fra brukerens hjem.
Arbeidsintensiv oppsett
Mens VPN-er historisk sett ikke har tilbudt den beste beskyttelsen for ekstern tilgang, de er betydelig enklere å sette opp enn noen nymotens løsninger. For eksempel krever implementeringen av SASE en fullstendig overhaling av autentiseringspolicyer. Gitt at nettverket må fortsette å fungere under denne prosessen, er det ofte lettere å bygge et nytt nettverk fra grunnen av. Dette utgjør et alvorlig problem for eldre og eldre maskiner også – hvis disse er uforenlige med Zero Trusts sikre fjerntilgangsprotokoller, finner mange organisasjoner seg nødt til å starte nesten fra bunnen av.
Mangel på brukersynlighet
Når du arbeider eksternt, blir det spesielt viktig for sikkerhetsteam å overvåke statusen til hver endepunktenhet. Å vite dette kan bidra til proaktivt å stoppe spredningen av skadelig programvare i en fjernsinnet organisasjon. Selv i mange moderne løsninger er imidlertid trafikkgjennomstrømningen på lokale nettverk utrolig ugjennomsiktig. Manglende evne til å overvåke denne trafikken gjør det mye vanskeligere å identifisere avanserte trusler, noe som øker muligheten for kompromittering av ekstern enhet. Det kompliserende er det faktum at sikkerhetsanalytikere nå ofte også jobber hjemmefra – mangelen på synlighet blir todelt, og risikerer at blinde leder blinde. Denne kombinasjonen kan tillate angripere å gå dypt inn i bedriftsnettverk.
Skadelig tilgang
Fjerntilgang gjør det mulig for brukere å få tilgang til sensitive data og systemer fra utenfor organisasjonen, etter design. Følgelig kan angripere som er i stand til å utnytte usikre teknologier og få uautorisert tilgang til nettverket eller eksternt koblede enheter, være i stand til å stjele konfidensiell informasjon, introdusere skadelig programvare eller løsepengeprogramvare eller forstyrre forretningsdriften.
Uautorisert tilgang kan oppnås ved å utnytte sårbarheter i selve fjerntilgangsteknologien, som svake passord, uoppdatert programvare, feilkonfigurerte sikkerhetsinnstillinger eller nettleseren. De kan også bruke sosiale ingeniørteknikker, som phishing, for å lure eksterne brukere til å røpe deres påloggingsinformasjon eller annen sensitiv informasjon.
Kontoovertakelsesangrep
En undergruppe av ondsinnet tilgang er kontoovertakelse, dvs. at angriperen får tilgang til den legitime brukerens legitimasjon og utfører identitetstyveri. For en organisasjon betyr dette at angriperen kan forkle seg som en legitim bruker og gå videre sideveis i systemet i henhold til brukerens tillatelser.
Brukerlegitimasjon kan kompromitteres gjennom en rekke metoder, inkludert sosial teknikk (som phishing-angrep), brute-force-angrep og passordgjetting. Angripere kan også være i stand til å avskjære fjerntilgangsøkter eller utnytte sårbarheter i fjerntilgangsverktøyene selv for å få tilgang til systemet eller ressursen.
Hva er fordelene med sikker fjerntilgang?
Fordelene med sikker fjerntilgang for ansatte dreier seg om en styrket og fleksibel sikkerhetsholdning. En proaktiv tilnærming til sikker ekstern tilgang tillater angrepsreduksjonsprosesser som gjenspeiles i alle aspekter av en organisasjon, og beskytter både kunder og sluttbrukere.
Sikker nettilgang
Det store antallet nettbaserte applikasjoner som hvert team trenger, vokser hvert år. Brukere krever beskyttelse på tvers av alle komponenter av internett-tilkobling; med den riktige tilnærmingen til sikker fjerntilgang, er brukere beskyttet når de kobler seg til internett, ikke bare når de er direkte engasjert med bedriftens ressurser. Med alltid-på-beskyttelse fra det offentlige internett, kan dagens hyperaggressive trusler som løsepengevare og drive-by-nedlastinger praktisk talt elimineres.
Robust endepunktbeskyttelse
Dagene med ringgjerdedatabaser er for lengst forbi. Med moderne sikker fjerntilgang tilbys endepunkter full beskyttelse. Siden brukere i økende grad er avhengige av flere enheter – fra bærbare datamaskiner til smarttelefoner – må sikre fjerntilgangsløsninger reflektere dette multi-endepunktfokuset. I tillegg til dette kan team stole på sikkerhet som beskytter medarbeidereide enheter – tilbud samme endepunktsikkerhet som organisasjonsleverte.
Økt bevissthet om sikkerhetsproblemer
Via et solid fundament for endepunktsikkerhet – uansett geografisk plassering av ansatte – hjelper organisasjoner med å bygge en kultur med bevissthet om cybersikkerhet. Med vedlikehold og håndhevelse av solide sikkerhetspolicyer, blir beste praksis for regulering et springbrett for organisasjonens sikkerhetsholdning i møte med stadige trusler.
Fleksibilitet til å jobbe eksternt
Takket være muligheten til å koble seg sikkert opp fra hvor som helst, trenger ikke ansatte å være fysisk tilstede på kontoret for å utføre oppgavene sine. I stedet kan de jobbe hjemmefra, på veien eller til og med fra stranden. Dette gjør dem i stand til å integrere arbeid i andre daglige krav og forpliktelser de har, som å ta vare på barn eller å reise. I tillegg utvider fjernarbeid talentmassen for bedrifter siden de kan ansette ansatte fra hvor som helst, uten å begrense seg til ansatte som er villige til å pendle til mur- og mørtelkontorene.
Beste praksis for sikker fjerntilgang
Å følge beste praksis lar en organisasjon fortsette å gjøre justeringer på veien mot ekte fjernbeskyttelse. Det er viktig å utvikle en grundig sikkerhetspolicy for alle eksterne brukere: dette vil bidra til å spesifisere hvilke protokoller som definerer ekstern tilgang, hvilke enheter som kan tillates å koble til, hvilke bruksområder disse enhetene er tillatt for, og til slutt en policy for å nøytralisere trusselen om tapt og stjålne enheter.
Beste praksis kan deles inn i tre hovedområder. Først og fremst er evnen til å beskytte og administrere endepunkter. En proxy-tjeneste i skyen er altfor fjern til å tilby slik endepunktsynlighet; det er derfor beste fremgangsmåter underbygger synlighet med endepunkt først. For det andre er kryptering. Alle data må være kryptert gjennom enhver overføringsprosedyre og også mens den hviler på hver ansatts enhet. Dette krypteringsnivået fungerer som et beskyttelseslag. På dette grunnlaget sitter autentiseringsmekanismer og omfattende antivirusløsninger, som sikrer at – selv om en angriper klarer å kompromittere en enhet – ikke er i stand til å bruke noen sensitive data. Til slutt må sikkerheten love trusselforebygging. Løsningene på plass må identifisere, redusere og blokkere potensielle cybertrusler før de kan forårsake skade på organisasjonens systemer eller data. Denne begrensningen kan (og bør) skje gjennom sikkerhetskontroller og organisasjonsprosesser som adresserer relevante sikkerhetsrisikoer. Med disse beste praksisene på plass, er en organisasjon best rustet til å gi hjemmeteam de fulle fordelene ved fjernarbeid.
Gjør ekstern tilgang sikrere med LayerX
LayerX er en nettlesersikkerhetsløsning som sitter på lag 7 i applikasjonslaget og gir omfattende sikker tilgangsbeskyttelse og synlighet. Dette oppnås ved å tilby en kraftig autentiserings- og autorisasjonsprosess som muliggjør blokkering av handlinger i og utenfor nettverket (som kopier/lim inn, nedlastinger, tilgang til bestemte nettsider, visning av applikasjoner i skrivebeskyttet modus, etc.) og elegant integrering med ZTNA, SASE, IdPs (Google, Okta, Azure-kommende, etc.) og andre løsninger. I tillegg gir LayerX innsyn i brukerhandlinger i nettverket og på nettet.
LayerX kan integreres med fjerntilgangsløsninger som VPN og MFA, men det gjør dem overflødige ved å tilby sterk multifaktorautentisering. I tillegg er LayerX "alltid på", og sikrer beskyttelse og angrepsblokkering til enhver tid. Dette er i motsetning til VPN-er, som brukeren må være koblet til for at den skal fungere.
LayerX er den eneste løsningen som gir fullstendig sikker tilgang samtidig som den integreres med andre sikkerhetsløsninger for nettverk.