远程工作者的威胁模型

威胁模型是一个经常被讨论但有时模糊的术语，经常被扔在网络安全领域. 其目的是从结构上绘制风险图, 威胁, 美高梅体育官方app体育官方app公司在之前的博客中概述过的一项特殊价值的缓解, 了解威胁建模. 

尽管远程工作在过去十年中一直稳步向前发展, COVID-19(又名冠状病毒)迫使许多组织加快计划或匆忙制定计划. 像这样, 美高梅体育官方app体育官方app为远程工作者制作了一个威胁模型, 考虑到员工在非现场工作时面临的各种风险和威胁.

威胁建模涉及的7个步骤

在接近美高梅体育官方app体育官方app的远程工作者威胁模型时, 美高梅体育官方app体育官方app走过了7个步骤，这将是本博客的其余部分的指南:

1. 目标系统资产的枚举
2. 审核数据和/或流程流程图
3. 确定最相关的威胁行为者
4. 识别最相关的威胁
5. 风险/威胁的评估和优先级排序
6. 评估现有的控制和/或对策
7. 缓解步骤的优先级和建议的安全控制.

枚举远程工作者的资产和审查流程流程图应该根据具体情况具体应用. 对于前两件事，没有“一刀切”的办法, 因为每个企业环境的构建方式都不同.

5个针对远程工作者的威胁行为者和动机

The threat actors we would expect to target remote workers are very similar to those targeting in-office employees; however, 远程工作引入了一个更大的攻击面. 像这样, 对特定系统或进程的控制可能会减少，并可能增加这些攻击成功的可能性.

美高梅体育官方app体育官方app已经确定了下列具有虐待和利用远程工作者动机的威胁行为者类别.

1. 网络/有组织犯罪:由于在家工作(wfh)的条件，网络犯罪集团有能力和技能对终端用户进行有针对性的攻击，数量不断增加. 使用较少安全措施/控制的个人设备会使用户对此类操作更有吸引力. 访问公司服务和资源, 甚至从终端用户自己的设备, 使得目标更有吸引力，因为获得未经授权访问的概率显著增加.
2. 骗子:利用2019冠状病毒病疫情，欺诈企图预计将增加. 对于不习惯在个人和/或移动设备上工作的员工来说，这些措施可能特别有效.
3. 意外或恶意的内幕:需要特别考虑的非敌对威胁行为者是用户本身. 那些不习惯远程工作的人可能会遇到意外敏感数据暴露的问题, 文件共享中的错误, 等.
4. 黑客行为主义者:常规网络钓鱼攻击将继续发展, 尤其是现在，终端用户更多地接触到互联网, 更容易被瞄准的地方.
5. 国家的演员:远程工作延伸到政府和其他关键基础设施实体, 哪些是国家行为体的首要目标. 这种操作预计会增加，因为用户将继续从家里获得有限的资源.

美高梅体育官方app体育官方app还制作了一张快速图表来帮助展示这个威胁模型. 点击这里查看:

针对远程员工的6大网络威胁

先前确定的威胁行为者所产生的威胁并不是全新的攻击技术. 然而，其中一些在远程工作环境中变得更加普遍.

以下是美高梅体育官方app体育官方app可能看到的针对远程员工的六种网络威胁:

1. 攻击的可用性:增加对远程访问美高梅体育官方app的依赖, vpn等, 可能会增加这些攻击的影响. 预计在2019冠状病毒病爆发期间，默认情况下互联网流量将大幅增加, 因此，拒绝服务攻击可能有更多的机会成功.
2. 丢失或被盗的笔记本电脑: wfh限制可能有助于减轻这种情况, 这通常指的是远程工作者使用公共场所访问互联网. 这种威胁的可能性很小.
3. 因无意泄露而导致的数据泄漏(意外共享、肩窥等):由于用户本身已被确定为威胁, 公司的敏感信息意外泄露的可能性很大. 基于云的文件共享平台可能会造成个人数据和企业数据之间的混淆.
4. 利用软件漏洞，未经授权访问公司敏感数据:因为为远程工作者访问公司资源和服务的敏感信息是业务目标, 攻击者将有更多机会利用这些条件.
5. 网络钓鱼:使用网络钓鱼的初始访问仍将是最主要的攻击载体, 但现在，由于远程用户的安全控制和措施可能更少，预计成功率会更高. (如果你对网络钓鱼保护感兴趣，请查看美高梅体育官方app体育官方app的博客 网络钓鱼的生态系统:从小鱼到马林鱼)
6. 被盗/泄露的用户凭证重用:证书仍然是攻击者获取未授权资源的头号目标.

6 .远程工作者的安全控制

最后, 在检查了潜在的威胁行为者之后, 以及他们可能使用的战术和技术, 应建议决策者实施安全控制. 对于远程工作者来说, 美高梅体育官方app体育官方app建议采用以下六种安全措施来降低组织的整体风险级别.

1. 先进的端点保护:下一代终端检测和响应(EDR)和持续监测将大大有助于检测和响应.
2. 加密通信:大量使用vpn，始终处于开机状态, 每当适用, 强烈建议减少中间人(MITM)攻击. Always-on指的是用户的设备必须连接到指定的VPN才能访问任何需要Internet连接的资源.
3. 增加了身份和访问管理:应改进访问控制，以减少凭证丢失或被盗及其重用. 多因素身份验证 强烈建议访问每一个公司资源，特别是关键的资源. 访问的持续监视和可见性对于审计和异常行为检测也非常有用. 此外，还应认真应用和审查“最少特权/需要知道”原则，以避免不必要地接触敏感信息.
4. 电子邮件、即时消息和浏览保护:应使用高级和特定的美高梅体育官方app来保护用户免受恶意电子邮件和url的攻击, 哪些是主要的威胁向量. 预计这些服务将得到广泛使用, 考虑到远程工作的性质, 因此，他们将成为威胁行动者的主要目标.
5. 端点安全卫生:端点, 无论是公司还是个人, 是否应该包括在执行最新补丁的持续资产管理计划中, 妥善管理易受攻击的软件, 有效地控制对任何公司资源的访问.
6. 用户安全意识:远程环境, 在很多情况下，可能会用到新的工具和美高梅体育官方app, 需要向用户进行良好的沟通和展示. 应该教育用户远程工作的风险和他们可能遇到的高级威胁. 需要对用户进行广泛的教育和培训，以减轻这种增加的风险，因为用户可能不熟悉为远程工作量身定制的特殊工具或美高梅体育官方app, 个人数据/资源和公司数据/资源很容易混淆.

尽管最近新冠肺炎疫情导致疫情激增, 全球劳动力越来越多地转向远程工作环境. 像这样, 组织现在应该应用安全控制并为其特定环境创建威胁模型, 等一切恢复正常之后. 美高梅体育官方app体育官方app强烈建议针对这种情况提前做好计划, 虽然可以理解，这并不总是可能的. 在这种情况下, 请随意使用这个资源，以帮助指导内部安全团队开始思考远程工作的威胁向量以及一般的威胁建模.

需要检测被员工、承包商或第三方泄露的敏感数据? 看看美高梅体育官方app体育官方app能帮上什么忙 数据泄漏检测.

要查看与冠状病毒相关的所有威胁情报更新，请访问美高梅体育官方app体育官方app下面的资源页面.

这里有一个关于这个主题的网络研讨会，是我和CISO Rick Holland做的.