Wat betekent veilig thuis werken?

‘Remote work security’ (veilig werken op afstand/veilig thuis werken) is het beveiligen van de toegang tot door de organisatie beheerde applicaties, persoonlijke applicaties, recreatieve applicaties en webapplicaties. Het beveiligen van medewerkers op afstand en hun applicaties houdt in dat schaduw-IT wordt geïdentificeerd, dat risico’s worden verminderd door middel van filtering van URL’s en webcategorieën, dat bescherming tegen malware wordt geïmplementeerd en dat DLP (Data Loss Prevention) wordt geconfigureerd.

Anders gezegd: bij veilig thuiswerken worden gevoelige applicaties beschermd zonder dat de applicatieperformance hier last van heeft, wat des te belangrijker is nu medewerkers steeds vaker op afstand aan de slag gaan. Medewerkers op afstand verwachten snelle toegang en snelle prestaties, maar ondertussen moeten wel grote aantallen bedreigingen worden afgeslagen (zoals toegang door onbevoegden).

Bekijk aanvullende onderwerpen over veilig werken op afstand:

Wat zijn de drie pijlers van veilig thuis werken?

Om werken op afstand te beveiligen, werd vroeger meestal gekozen voor VPN’s en beveiliging aan de buitengrenzen van het netwerk (perimeter security). Maar doordat we steeds vaker op afstand gaan werken, neemt de behoefte aan meer geavanceerde cybersecurity en tools toe.

Dit zijn de drie belangrijkste pijlers voor de beveiliging van medewerkers op afstand:

  1. Veilige toegang tot een volledig scala aan SaaS-applicaties, zoals samenwerkingssoftware en productiviteitssuites, binnen omgevingen voor werken op afstand, ongeacht of deze applicaties worden gebruikt voor werk of privé.
  2. Bescherming tegen bedreigingen en risico’s als gevolg van webtoegang van meer algemene aard, zoals gebruik van persoonlijke e-mail, cloudopslag, YouTube, discussieforums of sportwebsites tijdens het werken op afstand.
  3. Applicatiebeheer van zakelijke software die lokaal en in clouds zoals AWS, Microsoft Azure en Google Cloud wordt gehost, bijvoorbeeld met Zero Trust Network Access (ZTNA) binnen een Secure Access Service Edge (SASE).

Wat is vereist voor veilig werken op afstand?

De sterke opkomst van hybride werken heeft ertoe geleid dat klassieke cybersecurity met toegang op afstand via een VPN (en waarbij elke daaropvolgende activiteit binnen het WAN van de organisatie als veilig wordt beschouwd) niet langer werkt. Medewerkers op afstand hebben toegang tot data en applicaties nodig vanaf vrijwel elke locatie en vaak vanaf meerdere devices.

Met de perimeter-gebaseerde benadering van remote work security is het echter niet mogelijk om het volume en de verscheidenheid aan aanvragen voor toegang op afstand te beveiligen.

naast on-premise applicaties benaderen medewerkers nu ook SaaS-apps in de public cloud. Deze apps oefenen grote druk uit op de security en het WAN. SaaS-verkeer dat via een traditioneel WAN naar VPN-gebruikers beweegt, moet eerst via een datacenter worden ‘gebackhauled’, een proces dat de performance verslechtert en er alleen maar voor zorgt dat medewerkers op afstand hun VPN compleet uitschakelen. Maar het mogelijk maken van dergelijke directe toegang tot de cloud stelt deze gebruikers wel bloot aan allerlei securityrisico’s.

Medewerkers op afstand gebruiken hun eigen devices in plaats van hardware van de werkgever, wat de endpoint security complex maakt. Het netwerk van de organisatie kan er niet zomaar van uitgaan dat een verzoek om toegang op afstand legitiem is. Het is belangrijk dat eerst diverse beveiligingsmaatregelen worden toegepast, want het verzoek kan immers afkomstig zijn van een unmanaged device. Medewerkers die een VPN gebruiken, kunnen zich vrij door het netwerk bewegen en eventueel dus ook malware verspreiden. In plaats daarvan zijn er contextafhankelijke toegangsmodellen nodig die uitgaan van het principe ‘just in time’ en ‘just enough’.

VPN’s zijn niet gemaakt om schaalbaar te zijn. Als er meer op afstand wordt gewerkt en er meer gebruikers met een VPN komen, hebben organisaties in hun datacenter meer securityhardware nodig. Het opschalen van deze hardwarematige architectuur is een complex, langzaam en kostbaar proces. De toenemende hoeveelheid versleuteld verkeer en bandbreedte-intensief applicatieverkeer naar applicaties in de cloud en het web in het algemeen, maakt dit probleem alleen maar erger.

Dit probleem onderstreept de algemene uitdaging van het mogelijk maken van moderne remote work security, namelijk hoe waterdichte applicatie- en gegevensbescherming in balans kan worden gebracht met acceptabele performance en gestroomlijnde toegang voor legitieme eindgebruikers in het netwerk van de organisatie. Vanwege de toenemende securityrisico’s, waaronder malware en bedreigingen van binnenuit, mogen de volgende zaken niet ontbreken in oplossingen voor security op afstand:

  • Ze moeten strenger zijn dan lakse VPN’s (die veronderstellen dat alles veilig is na het inloggen).
  • Hub-and-spoke WAN’s moeten worden vervangen door een SASE die een software-defined WAN (SD-WAN) combineert waarmee het naar de cloud gaande applicatieverkeer kan worden beveiligd zonder backhauling.
  • Ze moeten het gevaar dat van deze bronnen uitgaat, bestrijden (SaaS- en webtoegang buiten de directe controle van de IT-afdeling om) via SASE-mechanismen zoals Secure Web Gateways (SWG’s) en Cloud Access Security Brokers (CASB’s).
  • Ze moeten ZTNA-principes implementeren zoals netwerksegmentatie en verkeersisolatie om het aanvalsrisico te beperken en data en gebruikers te beschermen in elke app, op elke locatie en op elk device.
  • Er moet bescherming mogelijk zijn via softwareagents op beheerde endpoints van medewerkers op afstand met een gemeenschappelijk besturingssysteem zoals Microsoft Windows, macOS, Chrome OS, Linux, iOS of Android.
  • Er moet betere Single Sign-On (SSO) aanwezig zijn door SSO meer contextafhankelijk en compatibel te maken met een breder scala aan applicaties.

Samen beschermen deze maatregelen data en gebruikers tegen allerlei securityrisico’s die anders grotendeels onder de radar zouden blijven.

E-BOOK

Een veilige digitale workspace met de nieuwste oplossingen voor toegang op afstand

Lees hoe oplossingen voor toegang op afstand uw digitale workspaces veilig houden en de gebruikerservaring verbeteren

Wat zijn de grootste securityrisico’s voor medewerkers op afstand?

Gezien de enorme breedte en diepte van alle securityrisico’s is het integreren van security op afstand die verder gaat dan VPN’s en backhauling van het allergrootste belang. Enkele van de meest prominente bedreigingen zijn:

Phishing

Phishing is een botte maar effectieve manier om gevoelige data zoals inloggegevens te achterhalen. Vaak worden hiervoor e-mail en chatdiensten misbruikt. Binnen de context van veilig thuiswerken zien phishingmails er vaak uit als mailtjes die zogenaamd gaan over een aanpassing in het organisatiebeleid. Ook een zogenaamd gewonnen prijs of een ‘urgente kwestie’ zoals een belastingaangifte blijft populair.

Een medewerker ontvangt bijvoorbeeld een belangrijke mail waarin staat dat de organisatie haar beleid inzake werken op afstand aanpast vanwege de terugkeer naar kantoor na corona. Zodra de medewerker het bericht opent en op de link in het bericht klikt voor meer informatie, is zijn of haar account gehackt. Als in zo’n geval een VPN wordt gebruikt, kan de aanvaller zich vrij door het netwerk bewegen en nog meer schade veroorzaken. Dit maakt dat continue contextafhankelijke evaluatie van de securityrisico's absoluut vereist is.

Zwakke wachtwoorden

Wachtwoorden zijn onmisbaar voor de huidige vorm van cybersecurity, maar het creëren en beheren ervan is een bron van talloze problemen. Medewerkers gebruiken vaak dezelfde zwakke wachtwoorden voor verschillende accounts, waardoor ze het risico lopen dat al hun data op straat komt te liggen op het moment dat dit ene wachtwoord bekend is.

Wat nog erger is, is dat ze het wachtwoord van privéaccounts ook gebruiken voor zakelijke accounts. Een inbreuk op een persoonlijk e-mailaccount kan enorme gevolgen hebben voor de veiligheid van data op de werkplek. De enorme vlucht die het gebruik van SaaS en webapps nu neemt, maakt dat slechte wachtwoordhygiëne een enorme bedreiging vormt voor veilig werken op afstand.

Onbeheerde privédevices en externe toegang

In de oude wereld van perimeter security kon de IT-afdeling de perimeter uitbreiden naar vertrouwde devices die het zelf in beheer had (zoals de pc’s van de organisatie) en VPN-toegang vanaf die devices mogelijk maken. Nu we allemaal op afstand gaan werken, geldt dit niet meer. Medewerkers gebruiken nu een onbeheerd privédevice zoals hun eigen smartphone of laptop.

Iemand kan nu een VPN-client op een privédevice installeren en vervolgens toegang krijgen tot zijn of haar zakelijke applicaties. Maar hier zijn wel duidelijke securityrisico’s aan verbonden. Het persoonlijke device in kwestie is mogelijk niet correct gepatcht of werkt niet met de meest recente software. Op het moment dat op afstand verbinding met het netwerk wordt gemaakt, kunnen er nieuwe kwetsbaarheden in het netwerk worden gecreëerd.

Onbeveiligde directe toegang tot cloud- en SaaS-apps

Omdat de combinatie van VPN’s en hub-and-spoke WAN’s niet bevorderlijk is voor de performance en gebruikerservaring, gaan mensen die op afstand werken vaak op zoek naar beter presterende (maar minder veilige!) alternatieven. En VPN’s mogen nog zo problematisch zijn, helemaal zonder bescherming werken is nog veel gevaarlijker. Medewerkers op afstand lopen het risico op malwarebesmetting, waardoor gevoelige data in gevaar komt en de organisatie tegen hoge kosten kan aanlopen als er echt een datalek optreedt of als de organisatie wordt gegijzeld door ransomware.

Wat zijn de belangrijkste elementen voor het beveiligen van omgevingen op afstand?

Om de risico’s van devices en datasecurity voor medewerkers op afstand te beperken, moeten organisaties hun applicaties in de cloud en on-premise goed kunnen beschermen en tegelijk hun SaaS- en webtoegang beveiligen. De beste securityoplossingen voor medewerkers op afstand worden strak geïntegreerd in een single-pass architectuur die de latency vermindert en de performance maximaliseert.

SASE

SASE maakt netwerktoegang veiliger zonder dat dit ten koste gaat van de performance. SASE verbindt gebruikers met elk type applicatie, inclusief SaaS, intern beheerde apps, gevirtualiseerde apps en websystemen, door middel van diverse securitymechanismen zoals SWG’s, CASB’s en sandboxes. SASE verbindt een medewerker op afstand veilig met elke app, op elk device en elke locatie, en werkt zonder dat in elke branch allerlei firewalls moeten worden geconfigureerd.

ZTNA, als onderdeel van SASE, vertrouwt standaard echter niemand. In plaats van een gebruiker te vertrouwen, wordt gewerkt met continue monitoring en validatie van de identiteit van elke gebruiker met mechanismen zoals meervoudige authenticatie (MFA). Zero trust is ideaal voor veilig online werken om de volgende redenen:

  • Gebruikers moeten altijd expliciet geautoriseerd worden op basis van meervoudige authenticatie en hun devices worden continu gecontroleerd op basis van criteria zoals patchniveaus.
  • Een medewerker op afstand krijgt niet meer toegang dan strikt noodzakelijk is voor zijn of haar rol, in tegenstelling tot de brede toegang bij gebruik van een VPN.
  • Microsegmentatie van het verkeer zorgt ervoor dat riskante gebruikers op afstand en persoonlijke devices gescheiden worden gehouden, wat zijwaartse beweging in het netwerk beperkt.

Secure Internet Access

Organisaties moeten de pieken in het applicatieverkeer van medewerkers op afstand kunnen ondersteunen. De eenvoudigste manier om dit te doen is zeker niet met de traditionele hardwarematige benadering van veilig werken op afstand. Meer verkeer, van zowel door de organisatie goedgekeurde applicaties als SaaS- en algemene webapplicaties, betekent dat de druk op hardwarematige appliances toeneemt, wat regelmatige upgrades met zich meebrengt, met alle kosten van dien, of ten koste gaat van de performance wanneer versleuteld verkeer moet worden geïnspecteerd. Het beveiligen van internettoegang via software is een veel betere oplossing, met mogelijkheden zoals:

  • Grote aantallen feeds met informatie over gevaren zodat allerlei risico’s kunnen worden geïdentificeerd. Extra feeds kunnen eenvoudig worden geïntegreerd via een open API-gebaseerd ontwerp.
  • Een single-pass architectuur die het verkeer slechts één keer ontsleutelt en inspecteert, wat een veel betere performance oplevert dan service-chained architecturen met meerdere inspectiepunten.
  • Volledige bescherming met DLP, bescherming tegen malware, SWG’s en meer, om de verscheidenheid aan bedreigingen in het applicatieverkeer te blokkeren.

Analytics

Zichtbaarheid van het verkeer is essentieel bij het evalueren van de risico’s van en voor medewerkers op afstand. Daarom kan een oplossing voor user behavior analytics diepgaand inzicht bieden in bijvoorbeeld gebruikersnamen, tijdstempels en IP-adressen, en AI toepassen om gebruikers en activiteiten met een hoog risico te identificeren.

Meervoudige authenticatie en SSO

Meervoudige authenticatie is een van de betrouwbaarste manieren om geautomatiseerde cyberaanvallen te blokkeren en de schade als gevolg van diefstal en hergebruik van wachtwoorden te beperken. Single Sign-On (SSO) stroomlijnt de gebruikerservaring en vereenvoudigt het identiteits- en toegangsbeheer voor de IT-afdeling. Integraties met identiteitsproviders maken de setup van meervoudige authenticatie en SSO eenvoudiger.

Citrix oplossingen voor veilig werken op afstand

Citrix biedt uitgebreide en altijd up-to-date securityoplossingen voor werken op afstand, die eenvoudig door het securityteam kunnen worden geïmplementeerd:

  • Citrix Secure Internet Access is een securityservice die in de cloud wordt aangeboden en medewerkers op afstand kan beveiligen op elke locatie en elk device. Deze oplossing is in staat om hardwarematige securitysystemen volledig te vervangen en integreert meer dan tien feeds met informatie over bedreigingen, voor robuuste malwarebescherming.
  • Citrix Secure Private Access biedt meervoudige authenticatie en SSO, zodat organisaties toegang op afstand kunnen bieden aan hun medewerkers zonder de risico’s en complicaties van traditioneel wachtwoordbeheer. De oplossing maakt ook VPN-loze toegang tot cloud- en SaaS-apps mogelijk, als onderdeel van een zero-trust aanpak rond cybersecurity. Organisaties kunnen hiermee veiliger en schaalbaarder werken op afstand ondersteunen.
  • Citrix SD-WAN maakt integraal deel uit van SASE. Deze oplossing ligt aan de basis van een speciaal gebouwd applicatie-geoptimaliseerd netwerk met de performance en security die nodig zijn om omgevingen voor werken op afstand te beschermen.
  • Citrix Analytics biedt het inzicht dat nodig is om problemen met de security en performance zo snel mogelijk te identificeren en op te lossen.

Ontdek de voordelen van veilig werken op afstand met Citrix Secure Private Access