組織は、従業員が自分のラップトップから職場のマシンにVPNソフトウェアで接続することを許可する必要がありますか?
JPモルガンのような組織が、従業員がVPN経由で職場のマシンに接続することを許可するだけで大規模な侵害に遭遇した、非常に大規模な侵害をいくつか見ました。ハッカーがJPを乗っ取ったようです。仕事で彼のマシンに接続するモーガン従業員のコンピューター。通常、従業員は会社の2FAによって開発されたVPNプログラムを介して職場のデスクトップに接続し、もちろんバックエンドでリバースプロキシのような独自の保護手段を使用します。私は、そのような会社がどのようにハッキングされる可能性があるのか、そしてそのような組織のために可能な対策は何かを理解しようとしていました。
JPへのリンク。モーガン研究: https://www.sans.org/reading-room/whitepapers/casestudies/minimizing-damage-jp-morgan-039-s-data-breach-35822
wikipedia から:
仮想プライベートネットワーク(VPN)は、プライベートネットワークをパブリックネットワークに拡張し、ユーザーが共有ネットワークまたはパブリックネットワークを介してデータを送受信できるようにしますコンピューティングデバイスはプライベートネットワークに直接接続されていました。
あなたが説明する状況は、私のゲーミングPC(間違いなくウイルスでいっぱいです)を取り、オフィスに持ってきて、イーサネットケーブルに接続するのと同じです。幸せな幸せなウイルスが企業ネットワークを通じて広がっています:)
そのため、企業はウイルススキャンなどを強制できる企業のラップトップを発行し、それらに企業ネットワーク(有線、無線、またはVPN)への接続のみを許可することを好みます。
(personal-computer-vpnを安全に実行することは可能ですが、かなり複雑です-ランディングサブネットにvpnを実行し、そこからDMZされたVDI/RDPホストにアクセスできます職場のマシンなどにアクセスできますが、パソコンでも、キーロガーが企業のパスワードやその他の入力内容を収集する場合があります。
彼らはすべきですか?答えは複雑です。
完全に管理されていないマシンでは?リスクはそれだけの価値があるとは思いません。
企業が承認したセキュリティポリシーが必要なマシンでは?はい。しかし、これも複雑で、個人用の企業用マシンではないので、なぜ[〜#〜] i [〜#〜] corpにAV、パッチ、および画面ロックを適用させる必要があるのでしょうか。 私は仕事用のネットワークに接続しています。しかし、すべての従業員がそのように見ているわけではありません。
RDPなどのツールを使用してデスクトップに接続することは安全に行うことができます。たとえば、GPOを使用してファイル転送をブロックし、最初に2FAを要求できます。