مخاطر استخدام VPN على أجهزة الكمبيوتر المنزلية للعمل وماذا تفعل بدلاً من ذلك

ما هو ال vpn

لست محترف في مجال الامن المعلوماتي و لكن يشرفني أن ابحث في مجموعة متنوعة من القرارات المتعلقة بهياكل الأمن والسياسات والتطبيقات والتكنولوجيا على مدار العقود الثلاثة الماضية. بعض القرارات التي يتخذها متخصصو تكنولوجيا المعلومات والأمن مبتكرة وآمنة وحتى متطورة ، في حين أن قرارات أخرى جديرة بالثقة ومليئة بالمخاطر المحتملة. أحد القرارات الأمنية التي رأيتها هو السماح بتثبيت برنامج الشبكة الخاصة الافتراضية (VPN) لمؤسستك على جهاز الكمبيوتر المنزلي للموظف للوصول عن بُعد.

على الرغم من أن بعض المتخصصين في مجال الأمن قد يعتبرون هذا ممارسة مقبولة ، إلا أن هذه السياسة تنطوي على مخاطر عالية فهو وسيلة هجوم غير مرغوب فيها عند السماح بالوصول إلى البيئة الخاصة بك. على سبيل المثال ، ضع في اعتبارك ما يلي:

انخفاض البرامج الضارة الدفاع

عادةً ما يكون المستخدمون المنزليون مسؤولين محليين لأجهزة الكمبيوتر الشخصية الخاصة بهم. نادراً ما يقومون بإنشاء حسابات مستخدمين قياسية ثانوية للاستخدام اليومي. هذا يجعلها أكثر عرضة للبرامج الضارة التي يمكن الاستفادة منها. تحقيقًا لهذه الغاية ، تحتاج الغالبية العظمى من البرامج الضارة إلى حقوق إدارية لإصابة النظام ، ولا يضع المستخدمون المنزليون عادة أي قيود على وصولهم لحقيقة الراحة البسيطة. كلما كان نظام تشغيل الكمبيوتر المنزلي أقدم ، كلما كان نظام التشغيل أسوأ في الدفاع ضد البرامج الضارة التي تتطلب حقوقًا إدارية لاستغلال النظام.

 مشاركة الجهاز مع العديد من المستخدمين

إذا تمت مشاركة جهاز كمبيوتر شخصي بين العديد من أفراد الأسرة ، حتى مع وجود العديد من ملفات تعريف المستخدمين ، فهناك عدد قليل جدًا من عمليات التخفيف لمنع حدوث إصابة أو سوء تقدير أحد الأفراد من إصابة الآخرين. بالإضافة إلى ذلك ، تعمل تقنيات مثل التبديل السريع بين المستخدمين على زيادة المشكلة عن طريق الاحتفاظ بملفات التعريف الأخرى في الذاكرة ، مما يجعلها عرضة لمجموعة متنوعة من الهجمات استنادًا إلى ملفات التعريف النشطة الأخرى. يمكن الاستفادة من تسوية لمستخدم واحد لا علاقة له على الإطلاق بالمؤسسة مقابل جلسة VPN نشطة متصلة بالمنظمة.

عدم وجود سلطة

لا تملك المنظمات سلطة إدارة الكمبيوتر الشخصي للفرد. على الرغم من أن حلول التحكم في الوصول إلى الشبكة يمكنها التحقق من صحة إصدارات توقيع مكافحة الفيروسات وغيرها من خصائص الأجهزة الأساسية ، إلا أنها لا تستطيع جرد جهاز كمبيوتر منزلي لضمان صلابته وصيانته مثل أصول الشركة. هذه الثغرات ، حتى عند الاتصال بمضيف المعقل ، يمكن أن تسمح بتسرب البيانات من أجهزة تسجيل ضغط المفاتيح والبرامج الضارة لالتقاط الشاشة التي يمكن أن تعرض البيانات والمؤسسة للخطر.

عدم القدرة على تأمين المضيف

تقوم حلول VPN الخاصة بالشركات عادةً بتضمين شهادة في اتصال أو ملف تعريف مستخدم من أجل التحقق من الاتصال. هذا مستقل عن المصادقة التي يجب على المستخدم تقديمها عبر بيانات الاعتماد ونأمل أن يكون هناك شكل من أشكال المصادقة ثنائية العوامل لإجراء اتصال. أمان الشهادة وبيانات اعتماد المصادقة آمنة فقط مثل صيانة الأمان المنفذة للأصل. هذه هي الهدف الرئيسي للممثل التهديد على مضيف صيانة سيئة لبدء اتصالاتهم الخاصة أو جلسات الاختطاف المستخدمة من قبل الموظفين عن بعد. إذا لم تتمكن من تأمين المضيف ، فكيف يمكنك تأمين برنامج الاتصال الذي يقوم بتشغيله؟

نقص الموارد الواقية

أخيرًا ، عادة ما يكون لدى المستخدمين المنزليين برامج مكافحة الفيروسات فقط على أجهزة الكمبيوتر الخاصة بهم. غالبًا ما لا يكون لديهم نقطة نهاية أو اكتشاف أو استجابة (EDR) أو إدارة امتياز نقطة النهاية (EPM) ، ولا لديهم حلول لإدارة الثغرات أو التصحيح لضمان أن أصولهم مضمونة بشكل صحيح ولرفع أي تهديدات للوعي. عادةً ما يعمل المستخدمون المنزليون كمحطات عمل مستقلة دون مراقبة من متخصصي الأمن للرد عندما ينفجر شيء ما.

حتى مع كل هذه العناصر ، فقد قبلت بعض المؤسسات مخاطر برنامج VPN على الموارد التي لا تحتفظ بها المؤسسة. لقد طوروا بيئات بنية سطح مكتب ظاهرية آمنة للغاية (VDI) ومضيفات معاقل الوكيل (أو البوابة) للاتصال من أجل حماية التطبيقات والبيانات الحساسة. لقد أنشأوا شبكات وموارد معزولة في السحابة لإدارة هذه الاتصالات ، وفي كثير من الحالات ، دفعوا عشرات الآلاف من الدولارات كتكاليف ترخيص لمجرد وقف الموارد في استراتيجية شبكة دفاعية للتخفيف من هذه المخاطر. في كثير من الحالات ، تكون فعالة ، لكنني أعتقد أنها كلها مصممة للسماح لبرنامج VPN الخاص بالمؤسسة على الأصول غير الموثوق بها التي يحتفظ بها المستخدمون المنزليون.

يجب إعادة النظر في القرار المبدئي بالسماح لبرنامج VPN على الأصول المنزلية ، وينبغي على الشركات النظر في طرق أخرى للسماح بالوصول عن بُعد بمخاطر أقل:

• إصدار الأصول المملوكة للشركات التي يتم تصلب وتمكنت من توفير الاتصال.

• قم بترخيص حل الوصول عن بُعد التابع لجهة خارجية والذي لا يتطلب بيئة معقدة لتوفير الاتصال ويمكنه إجراء الاتصال من خلال مستعرض ويب دون الحاجة إلى برنامج VPN أو تطبيقات مخصصة أو نفق بروتوكول.

• إذا كان الموظفون الذين يحتاجون إلى الوصول عن بُعد لديهم أجهزة كمبيوتر سطح مكتب تقليدية ، ففكر في استبدالها بأجهزة كمبيوتر محمولة مملوكة للشركة وتدار مع محطات إرساء. في المكتب ، سيعمل الكمبيوتر المحمول كسطح مكتب عادي ، بما في ذلك وجود شاشات عرض كبيرة ، ولكن عند الحاجة في المنزل ، يمكن أن يسافر كأصل مُدار ، مما يقلل المخاطر.

• لا تسمح للموظفين بالعمل عن بعد. هذا ليس بعيد المنال كما يبدو. طلبت شركات مثل Yahoo من جميع الموظفين الحضور إلى المكتب أثناء إعادة الهيكلة ، وحتى بعض الحكومات تشترط ، بموجب القانون ، ألا يتمكن الموظفون من الذهاب إلى المنزل بعد ساعات لمنع إساءة استخدام العمال. في حين أن هذا مثير للجدل ، فقد يؤدي ذلك إلى تقليل التعب لدى الموظف وتوازن العمل والحياة بشكلٍ أفضل مع توفير أمان أفضل بشكل عام عن طريق الحفاظ على المحيط محدد بشكل أفضل.

هناك العديد من العوامل التي يجب مراجعتها عند التفكير في السماح للمستخدمين المنزليين بالوصول إلى VPN من أجهزة الكمبيوتر الشخصية الخاصة بهم. من المحير بالنسبة لي أن العديد من البيئات تسمح لهذه الممارسة عندما تكون تكلفة الكمبيوتر اللوحي ، التي تديرها الشركة ، في كثير من الحالات ، توفر تجربة أكثر أمانًا مقارنة بتكاليف وقت تشغيل مضيف معقل وبيئة VDI. الخيار لك حقًا ، ولكن في رأي هذا المتخصص في مجال الأمن ، هذه ممارسة تقنية يجب ألا يُسمح بها أبدًا في المقام الأول