疫情期间安全事件频发,终端安全风险应如何防范?
在新型冠状病毒感染的肺炎疫情期间,企业为保障各项工作不被中断,远程协同办公的模式成为其优先选择。在开工初期全国有超过2亿人使用远程办公方式,可以预见的是,战“疫”结束后企业会重新评估和加强远程办公的能力。
远程办公带来便利的同时,也意味着大量外网不可信终端接入企业内网。在毫无安全防护的情况下,这些终端很容易成为网络犯罪组织侵入企业内网的跳板,严重威胁企业内部网络的安全。网络犯罪组织会利用社会工程学及公众的恐慌或从众心理,通过APT、钓鱼邮件、恶意链接、木马后门、勒索病毒等方式发起攻击,被攻击的受害者往往无法感知到攻击的存在,造成信息泄露等重大安全事件。
深信服通过安全云脑和已掌握的 风险预警情况了解到,虽然目前已经有利用“疫情”热点的攻击事件发生,但并未形成大规模攻击效应,并且此类网络攻击有充分可靠的方法去防御与处置,因此并不用恐慌。
如何防范远程办公存在的终端安全风险?
当前用户终端主要面临的安全风险集中于远程办公场景下的外网终端,为防止接入终端存在安全风险,深信服安全专家建议——
企业加强终端安全管理:
在员工认证后通过准入控制技术对远程终端进行终端安全及合规检查;
通过终端检测与服务器专项保护手段,检测来自远程办公的攻击或病毒,及时防范恶意攻击。
企业员工应树立上网安全意识,规范终端操作行为:
不要点击不明来源的链接;
及时给电脑打补丁,修复漏洞;
尽量关闭不必要的文件共享权限;
更改账户密码,设置强密码,避免使用简单密码;
不要点击来源不明的邮件附件,不从不明网站下载软件;
不要打开不明来源的文档,即使打开也不要启动宏功能或者在文档点击任何按钮或链接。
对于已部署深信服终端检测响应平台EDR(简称“EDR”)的用户,建议:
一键开启主动防御功能进行防御,有效防范邮件、链接中包含的恶意文件攻击;
升级至软件 新版本,接入安全云脑,使用云查服务可以即时检测防御新威胁;
如果业务上无需使用RDP的,建议关闭,通过微隔离功能一键封堵3389等风险端口;
使用深信服SSL VPN的用户可以通过与EDR的联合部署实现接入网络前的终端安全检查,威胁终端禁入内网。
▲深信服EDR成功检测并拦截相关攻击事件APT样本