受疫情影响,各单位纷纷推迟开工日期,并开启远程办公模式。而进行远程办公、远程运维工作的同时,也可能会带来一些网络安全隐患:
1. 疫情期间因防控需要紧急上线的互联网业务系统、因工作需要临时映射到互联网的业务系统,由于安全防护措施缺失,更容易遭受黑客攻击;
2. 开启服务器3389、22等端口用于远程运维,将服务关键端口暴露在互联网上,服务器将成为黑客组织、勒索软件、蠕虫病毒攻击的重点;
3. 部分单位因保障业务运行,不得不开启内部业务网络的对外访问权限,缺少对权限的管理及动态回收机制将会带来安全隐患。
4. 多数单位无可靠的安全接入平台,无VPN、堡垒机等基础安全手段,接入安全和传输安全存在风险。远程运维时无法限定运维人员及其运维动作,无法审计运维人员的运维操作;
5. 疫情期间对网络安全态势关注度下降,无法做到安全事件的及时发现、及时处置。
近日某些安全团队监测到国外APT组织针对国内卫生医疗机构发起定向攻击,其他行业用户也因开放互联网接入正遭受不同程度的攻击。疫情期间各安全运营团队应加强安全运营值守和应急处置工作,同时提出以下网络安全建议,全力保障疫情期间的网络安全:
1. 如有条件应采用可靠认证方式、加密通讯过程进行远程办公和运维工作。某些单位采用临时跳转服务器进行运维,应对该类服务器做好安全加固工作,做好访问策略并及时回收不必要的访问权限。
2. 尽量使用VPN、堡垒机等安全手段开展远程办公和远程运维工作;如无法紧急部署VPN、堡垒机,可采用云部署模式的类似服务。
3. 疫情期间的网络调整(业务系统映射到互联网、开放相关的业务和运维端口、紧急上线的业务系统等)应做好安全防护,并第一时间通知自身安全服务团队,让安全团队将其纳入重点安全监测范围。
4. 重点监测远程接入入口,应采用更积极的安全分析手段,发现疑似网络安全事件,及时联系安全运营团队对安全事件进行分析处置。
5. 疫情期间建议加强员工远程办公安全意识教育并选择具备远程安全服务能力的团队,为各单位的重要业务系统提供更为全面的远程安全监测服务,确保业务系统的网络安全。
本文作者
崔晓鑫,18年网络安全一线从业人员,现专注于MSS/MDR托管式安全服务业务实践。现任山东星维九州安全技术有限公司总经理。
声明:本文来自数说安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。