针对员工远程工作和旅行的网络安全建议

安全
无论员工是居家办公、开会还是度假,安全隐患都无处不在。事实是,每增加一个远程工作者,企业的攻击面就会随之变大。一些员工在家办公时容易放松警惕,让攻击者有机可乘。

随着假期的临近,许多远程工作人员(本就面临着日趋严峻的网络攻击风险)或将外出旅行,或将利用假期走亲访友。这可能会进一步加剧IT团队对网络安全的焦虑,同时,疫情及其后果加剧了他们的焦虑。波耐蒙研究所的一项调查显示,65%的IT和安全专业人士表示,当员工在办公室工作时,他们发现保护企业的机密信息更容易。

无论员工是居家办公、开会还是度假,安全隐患都无处不在。事实是,每增加一个远程工作者,企业的攻击面就会随之变大。一些员工在家办公时容易放松警惕,让攻击者有机可乘。对其他人来说,旅行会导致疲劳和决策失误,包括走安全捷径。这确实是个值得关注的现实问题,因为76%的CEO承认他们会绕过安全协议来更快地完成某件事。

虽然技术在保护我们免受伤害方面取得了重大进展,但如果我们不采取基本的网络安全防范措施,远程工作可能很快就会失败。本文介绍了用于远程办公和旅行的一系列安全最佳实践。但需要注意的是,并非所有的建议都适用于所有的情况。也就是说,了解你当前和未来的环境,评估它们的相对风险,并采取措施保护你的证书、设备和机密数据是至关重要的。

下述建议可以帮助你在远程办公或旅行时改善安全态势。

第一步:锁定你的SIM卡

不管旅行与否,请务必锁定你的SIM卡。SIM交换诈骗(又称port-out诈骗、SIM拆分,以及SIM-jacking、SIM交换),是一种真实存在的账户接管诈骗。一般针对双因素认证和两步验证的弱点,其中第二因素是向移动电话发送短信或拨打电话。

这种欺诈利用移动电话服务提供商,可以将电话号码无缝移植到包含不同用户身份模块的设备上。这种功能通常是在客户丢失或被盗电话,或转换服务到新电话时使用。

SIM交换诈骗日益猖獗,涉及贿赂、黑客或劫持手机,让社交媒体公司的员工提供目标账户的访问权限。

想象一下,有人窃取了你的整个网络生活,包括你的社交媒体账户。换句话说,你的电话号码现在就是他们的了。你所有的重置密码都要通过威胁者。考虑到你的手机号上有如此多的工作证书、社交媒体账号和应用程序,这种犯罪的可怕性也就显而易见了。为了最大限度地避免这种威胁,请务必用无线服务供应商锁定你的SIM卡。

针对远程和出差员工的网络安全建议

每天都要备份所有的东西。如果外出旅行,请将备份放在家里或云端。

使用受密码保护且支持WPA(最好是WPA3)的Wi-Fi网络。

创建一个强大的密码(使用大写字母和小写字母、不同的字符和多个字符)。永远不要把密码存储在你的身上或手机上。理想情况下,你的雇主应该使用密码管理器,但他们很可能没有。SpecOps发布的《2022年弱密码报告》显示,54%的企业并未使用密码管理器。更令人不安的是,48%的企业没有对IT服务台的电话进行用户验证。

给你使用的所有设备打补丁并更新,包括应用程序。对在这些设备上运行的浏览器和其他所有东西也进行同样的操作。2022年8月,苹果发布消息称,未打补丁的iPad、iPhone和Mac电脑可能会被威胁者接管。当你进入一个不熟悉的环境时,请确保一切都是最新的。

如果你没有将iPhone和iPad上的应用设置为自动更新,以下是更新它们的方法:

iPhone

去应用商店>点击“应用程序”>单击Account(右上角)>点击“全部更新”

除了更新和修补所有的东西外,还要确保浏览器运行严格的安全设置,特别是在你的家庭办公室之外。如果你不想打乱设置,可以考虑下载Mozilla Firefox Focus,让它成为你的旅行浏览器。Firefox Focus默认在每次使用后清除缓存,不留下任何可以利用的线索。

在所有地方都使用双因素身份验证。在选择如何接收身份验证码时,总是选择令牌而不是文本,因为它更安全。在2022年黑帽大会上,一个瑞典研究团队展示了文本认证的不安全程度。如果黑客有你的登录凭证和电话号码,基于文本的身份验证根本无法保护你。

更新Zoom软件。早些时候,谷歌Project Zero的安全研究员Ivan Fratric演示了Zoom(4.4)早期版本中的一个漏洞是如何通过利用Zoom聊天功能中的XMPP代码来允许远程代码执行的。一旦有效载荷被激活,Fratric就能够欺骗信息。换句话说,他能模仿任何和你共事的人。如此一来的危害可想而知!

安全旅行:离开家庭办公室

不管是去星巴克、拉斯维加斯还是海外,数字游民都应该轻装出行。把不需要的设备留在家里,只带必要的东西来完成你的工作。带一个笔记本电脑锁,把你的电脑锁在任何工作站上,就像IBM指导它的出差员工那样。另外,配置一个物理一次性密码验证器。一些公司(比如谷歌)会要求员工使用它们。员工无法访问物理设备以外的任何内容。

把敏感数据留在家里。不要携带包含个人身份信息或机密公司文件的设备。你是否使用特定的笔记本电脑登录网上银行和签署抵押贷款文件?把它留在家里!想带你的工作电脑去度假吗?建议你重新考虑!试想一下,如果公司机密落入坏人之手,你的职业生涯会怎样?当然,在商务旅行中携带笔记本电脑是理所当然的,但要确保它并不包含你的个人身份信息。

使用RFID屏蔽器来保护你的护照和信用卡免受“非接触式犯罪”的侵害。尽管非接触式支付在杂货店和收费站很方便,但在使用射频识别(RFID)扫描仪的威胁分子看来,它们可能会产生相当大的问题。如果RFID扫描仪被不法分子滥用,当从一群人身边走过时,就可以轻易地揭开可识别的银行卡信息。

防范这种情况的简单方法是使用RFID屏蔽器(卡套),保护支付卡、房间钥匙和护照免受射频攻击或skimming攻击。幸运的是,更现代的RFID芯片使这一诡计变得更加困难——但并非不可能。

考虑为你的笔记本电脑和手机使用隐私屏幕。

当你去一个安全隐患重重的地方旅行时,关掉手机、平板电脑和笔记本电脑上的Wi-Fi、蓝牙和近场通信。在酒店Wi-Fi上选择有密码保护的热点。如果你必须使用酒店Wi-Fi,请务必结合VPN使用。

要警惕你的远程鼠标、键盘和AirPods等蓝牙设备。

你可以在任何地方使用VPN。Cloudwards的数据显示,57%的受访者表示他们不需要个人用途的VPN;22%的人表示他们不需要工作目的的VPN。

通过使用Telegram、Signal或其他基于加密的通信平台,加密文本消息、聊天以及其他通信。你要知道,未知的第三方可能正在读取未加密的应用程序。

结语

如你所见,大多数旅行时的网络安全都涉及到前端准备。和其他与安全相关的事情一样,保持系统、软件和浏览器的更新和补丁是至关重要的。在国外旅行时,要明白不是每个地方都是“自由之家”。请务必提前了解你要去的地方以及当地的隐私法。

总之,在远程办公或旅行时要保持低调,不要心存侥幸或冒不必要的风险。

责任编辑:姜华 来源: 企业网D1Net
相关推荐

2022-09-23 10:31:03

网络安全混合工作威胁情报

2020-06-18 10:02:21

远程工作网络安全信息安全

2022-05-11 14:26:54

网络安全远程工作

2019-07-02 05:54:27

网络安全攻击安全威胁

2020-07-28 09:36:58

网络安全远程工作技术

2020-06-07 16:28:41

网络安全疫情远程工作

2021-09-14 17:21:12

物联网网络安全IoT

2020-06-30 08:51:20

远程工作数字鸿沟疫情

2021-04-03 23:27:13

网络安全数据安全密码

2021-03-05 13:46:56

网络安全远程线程

2021-10-14 15:03:47

网络安全谷歌攻击

2022-08-16 14:03:24

网络安全企业远程办公

2020-07-20 16:55:35

网络安全疫情技术

2020-08-23 11:57:33

网络安全疫情网络攻击

2021-10-24 08:23:28

网络安全网络攻击网络威胁

2020-08-12 10:32:12

网络安全应急响应IR

2020-03-24 10:51:30

威胁情报网络安全暗网

2020-12-04 17:50:33

人工智能网络安全

2021-05-28 14:54:54

网络安全规定网络攻击网络安全

2022-03-29 06:35:47

网络安全NetOpsSecOps
点赞
收藏

51CTO技术栈公众号