在網絡保安的角度,大量轉移至遙距工作而喪失管理workstation的本地網絡是最差的情況,尤其員工家中路由器,基本上取代了原本由IT專業人士管理的網絡設施。
員工家中路由器成主要問題
即使公司的保安策略包括更新每部工作電腦的操作系統和其他相關設定,家居路由器仍然無法被管理員管理,當發生在遙距工作的環境,IT管理員無法知道有哪些裝置連接網絡、路由器的韌體有否更新、保護的密碼是否夠強力,還是用戶正在使用預設的設定。
缺乏管理是其中一個問題,大量的家居和SOHO路由器存在已知的安全漏洞,網絡犯罪份子能夠藉此取得裝置的完全控制權,從而變成像Mirai一樣的殭屍網絡,數以萬計部被騎劫的路由器被用來進行各式各樣的不當行為。
此外,用戶必需謹記路由器與一台運行Linux的小型電腦無異,網絡犯罪份子利用騎劫的路由器可以做很多事。
騎劫VPN連線
公司為平衡員工遙距工作的不可靠網絡環境,通常都會借助VPN,它能提供加密的渠道讓公司設施與電腦之間傳輸。很多公司以split tunneling模式使用VPN連接公司伺服器,例如RDP,通過VPN,而其他連線則通過無加密公共網絡,通常情況下都沒有問題。然而,網絡犯罪份子在取得路由器的控制之後,可以建立DHCP路徑把RDP傳輸導引到他們自己的伺服器,即使要解密VPN仍然有一定困難,但他們能建立假的登入畫面和攔截RDP連線登入資料,而加密勒索的騙徒最喜愛使用RDP。
讀取外置操作系統
另一個聰明地騎劫路由器的方法涉及利用PXE功能,現代網絡連接器使用PXE去通過網絡讀取電腦,一般情況下這個功能預設關閉,但部份公司會使用它,例如為了遙距復原員工操作系統上的錯誤。
網絡犯罪 在取得路由器的DHCP伺服器控制後,可以為workstation連接器提供修改為遙距控制的系統地址,員工可能不會發現,但網絡犯罪份子已取得檔案系統的完全存取。
保持安全的方法
要保護員工的電腦應對類似以上的攻擊,可以參考以下步驟:
- 選擇forced tunneling代替split,很多公司VPN方案容許具有例外的forced tunneling (預設所有流量都經過加密渠道,只有特定資源容許繞過VPN)。
- 在Bios關閉Preboot Execution Environment (PXE)
- 對電腦的硬盤完全加密 (例如Windows的BitLocker)
重點員工路由器的安全對於增加公司設施的安全等級十分重要,無論是遙距或是混合工作模式,在某些公司,技術支援員工會諮詢員工家中路由器的最佳設定,也有公司向員工發放預先設定好的路由器給遙距工作員工,並只准許透過該裝置連接公司資源。
資料來源:Kaspersky blog
