應對自由工作者為公司帶來的網絡威脅

隨著越來越多人選揀成為自由工作者(freelancer),無論公司的大小,都有機會與他們合作,但是與外部人士合作需要數碼工作流程,為公司帶來額外的數碼風險,尤其是直接與對方聯繫而非經過中介的情況下。

來自電郵的危險

從一開始首先要考慮尋找合適自由工作者的潛在風險,正常情況下在偏用某人前不會不先查看他們的個人簡歷,自由工作者可能會發送文件、過去工作的檔案或者連往第三方網站的連線等等等,大家有可能被迫打開連結或檔案,而檔案的類型和網站各色其色。

研究人員定期在瀏覽器或Office套裝中發現安全漏洞,過往曾經多過一次攻擊者成功取得公司電腦的控制權,同樣是透過在文件檔或在網站編碼加入漏洞包,從而滲入惡意腳本到受害者的電腦,但有時其實無需這種技巧,部份員工隨時都會點擊接收到的檔案,而不查看副檔名而解發了執行檔。

要時刻謹記攻擊者可以製作看似正常的個人簡歷,較後時間才發送惡意檔案,也有機會是某人借助自由工作者的電腦或電子郵箱,藉此對貴公司發動攻擊。現實是沒有人知道他們的裝置或帳號是否受到保護,因為公司的IT保安無法進行監管,因此即使是長時間合作關係的自由工作者,也不要單方面認為接收到的檔案是可信的。

對策

如果大家需要用到來自公司基礎架構以外創建的文件檔,維持數碼潔淨便變得十分重要,所有員工都應該對相關的數碼威脅有一定的警覺性,因此值得花時間提升他們的安全意識,此外,我們有以下的建議:

  • 設定嚴謹的文件交換規則,通知自由工作者,如果他們不依照規則便不打開檔案,向自動解開的加壓檔說不,加壓檔設有密碼,很可能只是用來繞過電郵的防毒偵測。
  • 準備一部另外專門的電腦,從其他公司網絡中隔離出去,或使用虛擬裝置去讀取外來的檔案,或至少對檔案進行檢查,如此一來至少可以明顯降低被感染所受的潛在傷害。
  • 確保該電腦或虛擬裝置安裝了保安方案去抵擋透過安全漏洞或點擊惡意網站連結的攻擊。

存取權限

假設大家找到需要的外部專家,在工作上需要進行協作,自由工作者需要存取公司的數碼系統,例如:檔案分享平台、項目管理系統、會議服務、內部通訊工具、雲端服務等等,在這方面要避免犯下兩個錯誤,不要給自由工作者過度的權限,以及不要忘記當工作完結去刪除存取權限。

當涉及取得權限,最佳的做法遵照最少權限的原則,自由工作者應該只能存取他們在該項目中需要的資源,無限制存取檔案儲存或聊天紀錄都有可能形成威脅,不要低估儲存在不起眼服務上的資料,根據報導,2020年黑客入侵Twitter就是攻擊者取得存取公司內部通訊的存取權,他們使用社交工程的方法,成功遊說員工給他們數十個帳號。

在項目完結去刪除權限不只是個儀式,這並非指自由工作者在完成工作後,他們便會開始入侵公司的項目管理系統,如果自由工作者的密碼構成極度薄弱,或重用其他帳號相同密碼,這就會對公司的網絡構成威脅。

對策

最重要是當僱用關係完結後,刪除或取消自由工作者的帳號,或至少更改相連的電郵和密碼,我們還建議:

  • 保留一個中央管理的記錄,誰人存取哪些服務,一方便能讓管理員在項目完結後取消權限,另一邊面事故發生後更容易進行調查。
  • 要求承辦商維持好的數碼潔淨,並使他們與公司資源連線的裝置用保安方案。
  • 盡可能強制所有雲端系統使用雙重認證
  • 如果可以,設定一個隔離的基礎設施讓自由工作者或承辦商用戶項目或檔案。
  • 掃瞄所有上載到雲端儲存或公司伺服器,查看有否惡意程式。

資料來源:Kaspersky Blog