Fjärr- och hybridarbete är här för att stanna. Distansarbetare åtnjuter kvantifierbart högre produktivitet och bättre balans mellan arbete och privatliv – den starkare självständigheten och känslan av förtroende mellan anställda och chefer banar vägen ytterligare för högre behållningsgrad.
Att säkert låsa upp fördelarna med säker fjärråtkomst visar sig dock vara en stor utmaning. För många introducerades fjärråtkomst till enheter först under pandemins tidiga dagar, och även om hodgepodge-lösningar hjälpte till i den efterföljande förvirringen, är alltför många organisationer fortfarande beroende av felaktiga metoder för fjärråtkomst. En traditionell VPN blev till exempel epicentrum för den ryskstödda Colonial Pipeline-attacken, som stoppade gasförsörjningen i hela östra USA och såg president Biden utfärda ett nationellt undantagstillstånd.
Dataåtkomst är en paradox: å ena sidan, produktiviteten av distansarbete är beroende av att användarna kommer åt filer och systemresurser. Denna data måste samtidigt vara tillgänglig för användare – och oåtkomlig för angripare.
Säkra fjärråtkomstteknologier och koncept
Processen att ansluta autentiserade användare till känsliga interna nätverk kan vara full av faror. Oavsett om noggrann digital hygien ser att anställda återanvänder lösenord, eller vissa anställda vill använda sina egna personliga enheter, kan standardiserad fjärråtkomst vara svår att hålla säker. Här är några av de vanligaste teknikerna för säker fjärråtkomst.
VPN
Virtual Private Networks (VPN) erbjöd en av de första säkra fjärråtkomstprogramvaran. Traditionellt dirigerar ett VPN den anställdes anslutning via en nätverksåtkomstserver. Detta gör att den anställde kan ansluta till ett företagsnätverk över det offentliga internet; all data som färdas till eller från företagets nätverk är krypterad. Innan du ansluter till nätverksåtkomstservern fungerar autentiseringsbaserad autentisering för att verifiera personen som använder enheten. Autentiseringsprocessen kan antingen vara unik för servern – eller en separat autentiseringsserver som körs på nätverket.
Även om det är användbart ger VPN åtkomst till hela företagets nätverk som standard, vilket innebär att ett inträngt konto kan dra nytta av alla fördelar med bred åtkomst. Detta förvärras av det faktum att identitetsstöld fortsätter att vara ett särskilt svårt ämne för VPN, eftersom anställda regelbundet återanvänder lösenord över interna och fjärråtkomstenheter. Ett enda återanvänt VPN-lösenord tros nu vara den underliggande metoden för inträde i Colonial Pipeline ransomware-attacken.
Multi-Factor Authentication
Används som ett sätt att kringgå problemet med komprometterade autentiseringsuppgifter, Multi Factor Authentication (MFA) ligger ovanpå den autentiseringsbaserade autentiseringsprocessen. Målet med MFA är att verifiera identiteten för en anslutande användare via en andra faktor, till exempel en telefon, innan de kan komma åt känslig företagsdata. Implementeringen av MFA erbjuds av många VPN-leverantörer och hjälper till att effektivisera åtkomstsäkerhetsprotokoll. Detta ger fjärråtkomst i linje med inloggning i e-post- och fildelningsprogram.
Noll Trust Network Access
Zero Trust Network Access (ZTNA) syftar till att bekämpa en av VPN:s största brister. Istället för att tillåta full åtkomst till målnätverket ansluter ZTNA-plattformar endast användare till de specifika applikationer och system som de behöver. Detta uppnås via ett kluster av lösningar. För det första kräver användarens anslutningsbegäran autentisering; en förtroendemäklare kommer idealiskt att integrera med organisationens befintliga identitetsleverantör för detta. När den väl har lyckats hänvisar ZTNA tillbaka till en policymotor, som definierar åtkomstnivån för varje användare. Slutligen ansluter användaren direkt till den applikation de behöver. Detta detaljerade tillvägagångssätt för nätverksåtkomst nekar hotaktörer – även de som har helt komprometterade konton – chansen att flytta i sidled.
Secure Access Service Edge (SASE) är en ny modell för fjärrsäkerhet som tar ZTNAs definierade mjukvaruperimetrar och kombinerar den med andra molnbaserade säkerhetslösningar. Till exempel, medan ZTNA tillhandahåller applikationsspecifik åtkomst, en integrerad säkerhetsmäklare för molnåtkomst (CASB) utvärderar säkerheten för varje applikations datahantering. Företagsdata övervakas, med identifiering av skadligt programbeteende. Samtidigt flyttar SASE brandväggsskyddet till molnet, snarare än den gamla skolans nätverksomkrets. Säkerhetsteam drar nytta av en realtidsvy av överträdelser av efterlevnad, medan en avlägsen och mycket mobil arbetsstyrka kan skicka och ta emot data från företagets nätverk. Konsekventa säkerhetspolicyer tillämpas i hela organisationen.
Varför är säker fjärråtkomst viktigt?
Även om distansarbete redan etablerades före 2020, var covid-19-pandemin katalysatorn för att distansarbete blev mainstream. Detta accelererade efterfrågan på användare att få tillgång till organisatoriska nätverk efter behov; organisatoriska nätverk var plötsligt tvungna att underlätta åtkomst från flera olika platser samtidigt. De allra flesta anslutningar kom nu från anställdas hemnätverk – och många anställda använde också personliga enheter. Detta förstärkte riskerna för företags- och personliga nätverk och ogiltigförklarade ofta äldre säkerhetsåtgärder.
Till en början var detta en teknisk huvudvärk. Men många organisationer har upptäckt de kulturella och ekonomiska fördelarna med distansarbete: många företag är nu fria att anställa baserat på kvalifikationer snarare än plats. Å andra sidan har utvecklande attackgrupper på ett tillförlitligt sätt gjort offer för organisationer som misslyckas med att hålla jämna steg med de ökade kraven på data- och nätverkshygien. Dessutom förblir sårbarheter på rekordnivåer; detta har tvingat till säker fjärråtkomst till toppen av prioritetslistorna för IT- och säkerhetsavdelningar runt om i världen. I alla branscher underlättar en ny säkerhetsbaslinje åtkomst till fjärrsystem för varje användare, från alla nätverk som de ringer in från, på varje enhet de väljer.
Vilka är riskerna med säker fjärråtkomst?
Risken kring fjärråtkomst varierar beroende på smaken på fjärråtkomstlösningen. Nedan är några av de säkerhets- och användarproblem som tas ut av några av de mest populära metoderna för fjärråtkomst.
Tillåtande fjärråtkomstpolicyer
Ett problem som är vanligast bland VPN-lösningar, policyer för tillåten åtkomst definierar åtkomst via hela nätverk. Även om brandväggsregler ofta tillåter åtkomst till nästan allt på företagsnätverk, kräver även modern fjärråtkomstprogram noggrann åtkomst. Användarbehörighet måste delas upp försiktigt, annars blir explosionsradien för kontokompromiss mycket större än den annars skulle ha gjort.
Fjärrenheter
När distansarbete plötsligt blev mainstream ställdes många organisationer inför valet mellan att köpa utrustning hemma (samtidigt som de sväljer förlusterna av omfattande störningar) eller att låta anställda använda sina egna bärbara datorer. Detta öppnade dörren till betydande toppar i hårdvaruburna sårbarheter i försörjningskedjan. Svagheter i ASUS hem wifi-routrar, till exempel, har nyligen banat väg för ryskstödda Sandworm-attacker.
A statistiskt sett mer angående aspekt till BYOD är bristen på kryptering som erbjuds data inom. Detta öppnar upp för risken för exponerade företagstillgångar, särskilt när enheten stjäls eller på annat sätt tas bort från användarens hem.
Arbetsintensiv installation
Medan VPN historiskt sett inte har erbjudit det bästa skyddet för fjärråtkomst, de är betydligt enklare att installera än vissa nymodiga lösningar. Till exempel kräver implementeringen av SASE en fullständig översyn av autentiseringspolicyer. Med tanke på att nätverket måste fortsätta att fungera under denna process är det ofta lättare att bygga ett nytt nätverk från grunden. Detta utgör ett allvarligt problem för äldre och äldre maskiner också – om dessa är oförenliga med Zero Trusts säkra fjärråtkomstprotokoll, finner många organisationer att de måste börja nästan från början.
Brist på användarsynlighet
När du arbetar på distans blir det särskilt viktigt för säkerhetsteam att övervaka statusen för varje endpoint-enhet. Att veta detta kan hjälpa till att proaktivt stoppa spridningen av skadlig programvara i en avlägsen organisation. Men även i många moderna lösningar är trafikgenomströmningen på lokala nätverk otroligt ogenomskinlig. Oförmågan att övervaka denna trafik gör det mycket svårare att identifiera avancerade hot, vilket ökar risken för kompromisser med fjärrenheter. Det som komplicerar saken är att säkerhetsanalytiker nu ofta också jobbar hemifrån – bristen på synlighet blir dubbelt så stor och riskerar att blinda leder blinda. Denna kombination kan tillåta angripare att ta sig djupt in i företagsnätverk.
Skadlig åtkomst
Fjärråtkomst gör det möjligt för användare att komma åt känsliga data och system utifrån organisationen, genom design. Följaktligen kan angripare som kan utnyttja osäkra tekniker och få obehörig åtkomst till nätverket eller fjärranslutna enheter, kunna stjäla konfidentiell information, introducera skadlig programvara eller ransomware eller störa affärsverksamheten.
Obehörig åtkomst kan erhållas genom att utnyttja sårbarheter i själva fjärråtkomsttekniken, som svaga lösenord, oparpad programvara, felkonfigurerade säkerhetsinställningar eller webbläsaren. De kan också använda social ingenjörsteknik, som nätfiske, för att lura fjärranvändare att avslöja sina inloggningsuppgifter eller annan känslig information.
Kontoövervakningsattacker
En delmängd av skadlig åtkomst är kontoövertagande, det vill säga att angriparen får tillgång till den legitima användarens referenser och utför identitetsstöld. För en organisation innebär detta att angriparen kan maskera sig som en legitim användare och gå vidare i sidled i systemet enligt användarens behörighet.
Användaruppgifter kan äventyras genom en mängd olika metoder, inklusive social ingenjörskonst (som nätfiskeattacker), brute-force-attacker och lösenordsgissning. Angripare kanske också kan fånga upp fjärråtkomstsessioner eller utnyttja sårbarheter i fjärråtkomstverktygen själva för att få tillgång till systemet eller resursen.
Vilka är fördelarna med säker fjärråtkomst?
Fördelarna med säker fjärråtkomst för anställda kretsar kring en stärkt och flexibel säkerhetsinställning. Ett proaktivt tillvägagångssätt för säker fjärråtkomst möjliggör attackreducerande processer som återspeglas i alla aspekter av en organisation och skyddar både kunder och slutanvändare.
Säker webbåtkomst
Det stora antalet webbaserade applikationer som varje team behöver växer för varje år. Användare kräver skydd över alla komponenter i internetanslutning; med rätt tillvägagångssätt för säker fjärråtkomst är användare skyddade när de ansluter till internet, inte bara när de är direkt engagerade i företagets resurser. Med alltid-på-skydd från det offentliga internet kan dagens hyperaggressiva hot som ransomware och drive-by-nedladdningar praktiskt taget elimineras.
Robust ändpunktsskydd
Dagarna med ringfäktningsdatabaser är sedan länge förbi. Med modern säker fjärråtkomst erbjuds slutpunkter fullt skydd. Eftersom användare i allt högre grad är beroende av flera enheter – från bärbara datorer till smartphones – måste säkra fjärråtkomstlösningar spegla detta fokus på flera ändpunkter. Utöver detta kan teamen lita på säkerhet som skyddar personalägda enheter – erbjudande samma slutpunktssäkerhet som de som tillhandahålls av organisationen.
Ökad medvetenhet om säkerhetsproblem
Via en solid grund för slutpunktssäkerhet – oavsett medarbetarnas geografiska placering – hjälper organisationer till att bygga en kultur av cybersäkerhetsmedvetenhet. Med underhållet och upprätthållandet av solida säkerhetspolicyer blir bästa regleringspraxis en språngbräda för organisationens säkerhetsställning inför föränderliga hot.
Flexibilitet att arbeta på distans
Tack vare möjligheten att ansluta säkert från var som helst behöver anställda inte vara fysiskt närvarande på kontoret för att utföra sina uppgifter. Istället kan de arbeta hemifrån, på resande fot eller till och med från stranden. Detta gör det möjligt för dem att integrera arbetet i andra dagliga krav och skyldigheter de har, som att ta hand om barn eller att resa. Dessutom utökar distansarbete talangpoolen för företag eftersom de kan anställa anställda var som helst, utan att begränsa sig till anställda som är villiga att pendla till tegel- och murbrukskontoren.
Bästa metoder för säker fjärråtkomst
Genom att följa bästa praxis kan en organisation fortsätta att göra justeringar på vägen mot verkligt fjärrskydd. Det är viktigt att utveckla en djupgående säkerhetspolicy för alla fjärranvändare: detta kommer att hjälpa till att specificera vilka protokoll som definierar fjärråtkomst, vilka enheter som kan tillåtas ansluta, vilka användningsområden dessa enheter är tillåtna för, och slutligen en policy för att neutralisera hotet om förlorade och stulna enheter.
Bästa praxis kan delas upp i tre huvudområden. Först och främst är förmågan att skydda och hantera endpoints. En proxytjänst i molnet är alldeles för avlägsen för att erbjuda sådan synlighet för slutpunkter; det är därför bästa praxis underbygger synlighet för slutpunkten först. För det andra är kryptering. All data måste krypteras under alla överföringsförfaranden och även i vila på varje anställds enhet. Denna krypteringsnivå fungerar som ett skyddslager. På denna grund sitter autentiseringsmekanismer och omfattande antiviruslösningar, som säkerställer att – även om en angripare lyckas äventyra en enhet – de inte kan använda någon känslig data. Slutligen måste säkerheten lova förebyggande av hot. Lösningarna på plats måste identifiera, mildra och blockera potentiella cyberhot innan de kan orsaka skada på organisationens system eller data. Denna begränsning kan (och bör) ske genom säkerhetskontroller och organisationsprocesser som tar itu med relevanta säkerhetsrisker Med dessa bästa praxis på plats är en organisation bäst rustad att ge hemmateam de fulla fördelarna med distansarbete.
Gör fjärråtkomst säkrare med LayerX
LayerX är en webbläsarsäkerhetslösning som sitter på lager 7 i applikationslagret och ger ett omfattande säkert åtkomstskydd och synlighet. Detta uppnås genom att tillhandahålla en kraftfull autentiserings- och auktoriseringsprocess, som möjliggör blockering av åtgärder inom och utanför nätverket (som kopiera/klistra in, nedladdningar, komma åt specifika webbsidor, visa applikationer i skrivskyddat läge, etc.) och elegant integrera med ZTNA, SASE, IdPs (Google, Okta, Azure-kommande, etc.) och andra lösningar. Dessutom ger LayerX insyn i användaråtgärder i nätverket och på webben.
LayerX kan integreras med fjärråtkomstlösningar som VPN och MFA, men det gör dem överflödiga genom att tillhandahålla stark multifaktorautentisering. Dessutom är LayerX "alltid på", vilket säkerställer skydd och attackblockering hela tiden. Detta är till skillnad från VPN, som användaren måste vara ansluten till för att den ska fungera.
LayerX är den enda lösningen som ger fullständig säker åtkomst samtidigt som den integreras med andra nätverkssäkerhetslösningar.