مركز الفكر الأمني: يمكن الوصول إلى أي مكان وفي أي وقت
منذ الوباء، العمل عن بعد أصبح مستوطنا!
له إيجابياته وسلبياته بالنسبة للشركات وموظفيها بالفعل، ولكن لا يبدو أنه جعل ساعة الذروة الصباحية والازدحام المروري أفضل، أو زاد من فرص الحصول على مقعد في القطار في الصباح. أذهب إلى العمل بالدراجة على أية حال، ويبدو أن الكثيرين يفعلون نفس الشيء.
من وجهة نظر شخصية، يبدو أن العمل عن بعد قد ساهم في تمكين الموظفين. إذا كان بإمكانهم العمل من المنزل يومًا في الأسبوع، فلماذا لا طوال الأسبوع؟ لماذا لا يغيرون أنماط عملهم أيضًا أثناء تناول الموضوع؟ نظرًا لأن الشركات توفر الآن المال على المساحات المكتبية، فلماذا لا نحصل على رواتب أكثر، وما إلى ذلك؟
لماذا يتعين علي استخدام هذا الكمبيوتر المحمول الخاص بالعمل القمامة؟
أنا أعرف، سأستخدم فقط بلدي.
…ومن هناك تبدأ المتعة.
الشركات غير المستعدة لذلك تعرض نفسها لمخاطر إلكترونية أكبر، وما أقوله لعملائنا هو تأمين خدماتهم وبياناتهم، بحيث يمكن الوصول إليها من أي مكان وعلى أي جهاز.
إنها نقطة البداية وليست نهاية اللعبة. لكن مع انعدام الثقة، نموذج الوصول المشروط، يمكن تحقيقه.
إذا كان بإمكان الموظفين استخدام أجهزة الكمبيوتر المحمول القديمة والممتلئة بالبرامج الضارة، فلا بأس بذلك. ولكن يجب على المنظمة أن تستعد لذلك. ربما لا يريدون أن تتصل أجهزة الكمبيوتر المحمولة هذه بمشاركات الشبكة. بخير. يمكنك تقييد ذلك. ربما لا يريدون أجهزة كمبيوتر محمولة مليئة بالبرامج الضارة على شبكة شركاتهم؟ بخير. يمكنك تقييد ذلك.
ولكن في نهاية المطاف، وفي معظم الشركات، يمكن لأي شخص الوصول إلى الخدمات عبر الويب، من أي مكان.
اسأل شركتك عما إذا كانت تشعر أن هذا أمر مقبول، وماذا لو كان الوصول إلى الويب هذا من جهاز مصاب؟
حسنًا، يمكنك تعطيل التنزيلات كبداية. والتحميلات. ومرفقات الملفات على البريد الإلكتروني. يمكنك قصر البريد الإلكتروني على خدمة الرسائل النصية فقط إذا لزم الأمر.
بجنون العظمة جدا؟ ثم فقط قم بتعطيل الوصول إلى الويب.
النقطة المهمة هي أن أي شرط لأي سيناريو ممكن تمامًا.
يعود هذا إلى القول المأثور، يجب أن تعمل دائمًا كما لو كنت قد تعرضت للخطر بالفعل. لا تثق بأحد ولا بشيء. لا تمنح الأشخاص حق الوصول إلا إذا استوفوا مجموعة معينة من الشروط، بما في ذلك التحقق من الهوية، وMFA، ونظام مصحح حديث، ونشر نشط لمكافحة البرامج الضارة، وجدار حماية مضيف.
أنا أكره أن أقول ذلك، ولكن تطبيق معيار مثل المركز الوطني للأمن السيبراني (NCSC's) أساسيات السيبرانية سيوصلك إلى هناك، كما هو الحال مع التحقق من دقة التقييم الذاتي، من خلال تطبيق ضوابط Cyber Essentials Plus.
الأمر ليس صعبًا حقًا، لكن ما زال يذهلني أن الأعمال التجارية تتجاهل الأساسيات.
لقد زرت الكثير من الأماكن، بما في ذلك الحكومة، التي استثمرت في أحدث وأكبر حلول Crowdtrace أو Darkstrike، معتقدًا أن ذلك سيمنحها الحماية التي تحتاجها، دون الحاجة إلى القلق بشأن تشغيل Windows 2008 Servers.
يساعد.
مع الانتقال إلى عام 2024، وكنت أقول ذلك في عام 1994، عليك أن تقوم بالأساسيات بشكل صحيح!