2020年伊始,新冠疫情霸道降临,将全国乃至全球远程在线办公的人数规模,推上了前所未有的高度。
近日,推特CEO 杰克·多西(Jack Dorsey)在给公司的全员信中提到,公司在九月前不会开放办公室。当疫情结束后,员工也可以选择永远在家工作。
不止是推特,包括Facebook、Google在内的硅谷巨头,最近都相继表示,允许员工在家工作到今年年底;微软也要求其员工在家办公的时间延长到今年10月。10月后,如果愿意,员工将可选择继续在家办公或进入办公室。
从这些互联网巨头的动作中不难看出,远程办公的模式已经大规模开启,并逐渐被商业社会以及个人所接受,成为新型办公方式的一环。
远程办公安全威胁频发且多样化
但是,正如道家阴阳相生的理念,远程办公也必然面临着大量层出不穷的安全问题,比如办公场景、终端设备、网络环境复杂化,远程办公中企业商业机密资料数据、关键决策事项、内部运营材料、各类审批文件均在线上发送、共享、协商、审议、确认。一旦某个环节出现疏漏,都将造成不可预估的损失。企业IT部门是否已做好充分的迎接挑战的准备呢?
当下,绝大多数企业主要是以员工在办公室办公为基础搭建的IT基础架构,通过内网、外网、开发网等网络隔离的方式,保障基本的安全。如果员工需要远程办公,就需要通过VPN连接到企业内网,如同在办公室一样,可以访问内网的所有资料和数据。
但是,远程办公的普及和大规模使用,使企业搭建的这套IT基础架构面临了很大的挑战,这些挑战主要集中在三个方面:
1. 员工通过VPN连接到企业内网,内网的所有系统都一览无余,如果这个员工的账号信息被盗取了,黑客就会通过VPN直接攻击到企业内网。即开了VPN给远程办公的员工使用的同时,也等于给黑客攻击提供了入口;
2. 资料和文件通过VPN到达了员工在家的终端后,就面临了失控的风险,企业难以对数据的流向进行管理,面临着****、公司文件泄露给竞争对手的风险;
3. 扩容困难,VPN依赖硬件设备,导致面临疫情这种突发情况时,难以采购和部署,导致企业的业务面临着随时停滞的风险。
事实上,这并不是危言耸听。今年以来,全球各地已经发生无数起因远程办公而导致的数据泄露等安全事件。
2月3日,中国疫情正值大爆发,远程办公也刚兴起,腾讯御见威胁情报中心披露了一则远程办公导致的病毒感染事件:该公司一位业务主管分享到内部工作群的远程办公工具及电子表格文件被发现感染病毒,导致部门200多名员工电脑被感染。原来,此事起因是一种名叫XRed的病毒,该病毒最先感染了某位业务主管使用的个人电脑办公,然后内部工作群分享远程办公工具之后,造成该病毒在同事间扩散。
被病毒感染的文件比原始文件要大
此外,即上文提及的,远程办公场景中,公司外网对内网的访问控制,也存在较大风险隐患。
众所周知,视频会议软件Zoom也因新冠疫情,用户规模从1000万人极速增长到2亿人,并且其身为视频会议软件,往往必然涉及更多会议机密、摄像头隐私等问题。原以为这般规模用户的企业,应该会在安全防护上做得极好。
未料,4月中旬,有媒体曝出53万Zoom账号密码被公开在暗网叫卖,而且价格特别便宜,1个账号只卖0.002美分,总共才10美元左右。这些被公开出售的账号,还有不少是来自花旗银行、佛罗里达大学等知名机构。
随后,有外媒报道,在黑客攻击了Zoom数据后,也顺手把Zoom Windows客户端零日漏洞的利用方法以50万美元的价格出售。据推测,该零日漏洞使得潜在攻击者可以在运行 Zoom Windows 客户端的系统上执行任意代码,如果再加上其他漏洞,甚至可以完全控制用户设备,并以此为跳板进一步入侵企业办公和生产网络,窃取企业机密文件等。
可想而知,如此大规模的账号密码数据,黑产拿来撞库,再利用远程办公VPN网络形成的通道,势必可以进入企业内部系统而畅通无阻。
种种网络安全威胁,时刻在与时俱进。据媒体报道,在新冠疫情肆虐的这几个月中,以新冠病毒为主题的恶意软件和网络钓鱼诈骗呈上升趋势。勒索软件团伙也并没有因疫情而放慢渗透商业网络和数据解密的步伐。
欧洲刑警组织警告称:“大量的人在家远程办公,往往使用过时的安全系统,网络罪犯抓住机会,利用这种超现实的情况,把更多注意力放在网络犯罪活动上。”
约翰霍普金斯大学高级国际研究学院战略研究教授Thomas Rid也在推特上写道:“新冠病毒创造了并将继续创造令人生畏的情报收集机会……这种病毒正迫使数量空前的领导人和经理们在家里工作,跨越了所有部门,在商业和政府部门,无处不在。敏感的会议当然不会停止,他们转向了新的平台。”
“零信任”或是破解之道
种种威胁,险象环生,企业既然避之不及,那么该如何面对这些风险呢?目前,一个比较理想的解决方案是“零信任安全”。
零信任模型最初由佛瑞斯特研究所与美国国家标准与技术局(NIST)于2010年提出,该模型摒弃了“信任但验证”的传统方法,意味着不能信任出入网络的任何内容,即“从不信任,总是验证”。零信任安全被认为是解决现阶段网络安全问题的重要解决方案。
对于“零信任”,笔者想到了几个有趣的故事。
清朝康熙初年,京官部郎郭世纯领取委任状后,出任池州四品知府。赴任途中,遭致强盗袭击,郭世纯及其家人随从共60余人全部被杀,只留妻子和一幼子,强盗首领将二人据为己有,携郭世纯的委任状,顶替其名去池州报到,参见上司。其后为官数年,竟未被揭穿,实乃奇闻。
《西游记》中记载:唐僧父亲陈光蕊高中状元,当朝丞相将女儿许配给他。在魏征荐举下,陈光蕊派往江州担任知州一职。赴任途中,陈光蕊夫妇被水贼刘洪所杀,刘洪拿着陈光蕊的官凭文书去了江州赴任,整整当官十八年才被揭穿。
2010年,鬼才导演姜文大作《让**飞》电影中,张麻子(姜文饰)是个土匪头子,无意间劫得马邦德(葛优饰)上任县长的火车,马邦德因怕死说县长已死,自己是汤师爷,张麻子遂决定冒名顶替上任捞金,随后张麻子携马邦德之妻县长夫人(刘嘉玲饰)走马鹅城,冒充县长上任。
虽然这三则故事,一是出自野史,一是出自小说,一是出自电影,但都切实说明了一个现实问题——在流动过程中,如果存在不安全因素,那么很容易发生窃取、顶替、泄露等情况。若是官员赴任过程中,实行“永不信任,始终验证”,那么冒名顶替的事件很可能便不会发生。
由此,通过零信任架构,实现“永不信任,始终验证”,例如通过SDP的思路来搭建零信任网络,无论员工身在何处,都需要通过验证,访问拥有特定权限内网资源,这样黑客就看不到所有的内网资源,极大的避免了数据泄漏。
但是,SDP面临一个很大的问题,尤其是对于数据非常敏感的客户来说,员工仍然可以将数据带到终端,并且无法控制在员工终端上的数据流向。
那么,用零信任来解决这个问题就有另外一个思路,那就是在终端也加上数据管控手段来搭建零信任网络。在用户的终端上建立一个虚拟的空间,空间中的任何数据无法离开,但空间可以和后台服务器通讯,这样就搭建了一个个虚拟的网络,这个网络可以是办公网,也可以是开发网,也可以是销售网。任何业务都可以通过软件定义的方式形成一个虚拟的安全空间。
这样就保证无论员工身处何地,数据都只在安全空间内流动,无论是通过U盘、邮件,还是微信,都无法将文件发送出去。如此一来,企业就完整地保持了数据的可控。
基于“零信任”有何创新技术?
事实上,这不只是一个纸上画饼的概念,采用这种思维的网络安全厂商还真有之。
数篷科技即采用这种思路来搭建零信任网络。通过软件搭建出一个个虚拟的网络,跨越互联网和世界各地,将员工终端上的安全空间联系起来。数据无法离开安全空间,也就一直在企业的控制之中。同时,由于是通过软件搭建的,扩容起来也非常方便,简单设置即可完成新建虚拟网络。
在笔者看来,数篷科技的理念亦如老子《道德经》中所云:至刚易折,上善若水。安全空间由钢筋水泥打造,或许固若金汤,但也会被自身所限,无法从心所欲扩张或缩小。一旦遭受大规模攻击,机械化的防御必然疏漏百出。而以软件定义构建的企业安全空间,则是“上善若水”。既可根据具体软硬件环境而自适应,也可随心所欲定义安全空间的大小。可刚可柔,知攻善守。
此外,水善利万物而不争,这又契合数篷科技DACS在终端上构建的轻量可信计算环境的功能。据悉,数篷科技的创新型产品DACS基于零信任框架、结合轻量可信计算和新一代沙盒技术,为员工构建一个虚拟化的安全工作空间,再通过SDP技术为企业构建一个个工作群组,让数据可以在其中安全地计算、流转而不能逃逸。轻量可信计算环境与终端本地环境处于深度隔离状态,既保证了数据存储、计算的安全性,又不牺牲性能,即“不争不抢硬件资源”。
事实上,数篷科技DACS,融合终端数据隔离、软件定义网络边界和AI驱动自适应安全三项关键技术,其核心思想是以数据为中心,防御机制跟随数据的流动而建,从而实现为企业数据提供基础设施级别的安全解决方案。
通过数篷DACS解决方案,企业可以控制数据的流向和使用范围,甚至还能在任意时间点把数据收回来,达到“阅后即焚”的效果。员工哪怕分布在全球各地远程办公,也均能安全接入和使用企业数据,并且可以在全球范围内享有无差别的办公体验。
远程办公全球化或将持续
如今,不但企业纷纷采取远程办公方式,就连G20领导人峰会也实现了线上远程会议的模式。俄罗斯总统普京也说他更加喜欢在网上远程办公。
美国当地时间5月21日,Facebook首席执行官马克·扎克伯格在其个人账号上宣布:未来5到10年间,半数员工可以居家办公,而经验丰富且表现优异的员工,则可永久远程办公。
虽然国内企业纷纷复工,但远程办公并未就此偃旗息鼓。很多企业意识到,远程办公已是企业互联网时代生存以及应对风险的一项能力,故而它们将此次新冠疫情当企业转型的契机,重新创建企业组织架构与管理模式,以随时随地能进行远程办公,同时也让企业数字化转型升级。如利用互联网平台开展线上办公、视频会议、远程协作,利用云平台建立灵活化的组织架构、进行高效绩效管理,以及利用大数据进行资源协调等。
据艾瑞咨询调查,2019年我国中小微企业总数在1.2亿左右,其中接入O2O平台不及10%,而拥有智能设备的中小微企业数量则再减半,中小微企业整体数字化程度较低。
清华、北大联合调研995家中小企业报告指出,29.6%的中小企业2020年营业收入下降幅度将超过50%,58.0%中小企业营业收入下降20%以上,只有4%的中小企业认为营业收入下降幅度小于10%。经历新冠疫情,很多尚未实现信息化的企业损失惨重。
由此可见,企业数字化转型尤为重要。远程办公已成为企业必不可少的能力,企业在IT基础设施搭建上,应该拥有长远风险意识与应对措施。比如企业应当如何应对业务上云,如何应对来自BYOD和家庭远程办公趋势带来的全新挑战。
至于安全厂商如何应战?那就是为企业远程办公以及数字化转型,提供更优质靠谱的安全解决方案。黑客黑产魔高一尺,安全厂商道高一丈。
来源:freebuf.com 2020-06-04 19:36:04 by: DataCloak
请登录后发表评论
注册