2020年开年,新型冠状病毒肺炎疫情让中国各行业企业陷入了两难境地:一方面,企业需要生存,生产复工不能耽误;另一方面,疫情之下,要得到有效防控,就要减少人员流动和聚集,降低疫情扩散风险。
在这一特殊时期,海量的办公需求之下,远程办公模式被推到了舞台中央。众多企事业单位选择了让员工居家办公,远程办公突破了物理空间限制,保证了企业正常运转。然而,与之对应的安全问题也紧随而至。在开放VPN,让员工远程办公之后,企业如何做到安全风险可控?在被迫远程办公之后,企业如何快速部署网络安全设备?又如何快速实现对已有安全设备扩容?市面上远程办公安全产品琳琅满目,企业如何选择呢?
近日, 51CTO记者采访了来自360、腾讯安全、安恒信息、山石网科、蓝信移动的五位安全专家,针对以上问题进入了深入沟通。
疫情之下,远程办公安全威胁升级
由于物理空间的不可控,相较于传统企业信息化办公而言,远程办公让企业面临更多的信息安全风险。
比如:因疫情防控需要紧急上线的业务系统或因工作需要临时映射到互联网的业务系统防护不当,易遭网络攻击;缺少VPN、堡垒机等基础安全手段,易产生接入安全和传输安全风险;为了方便远程运维而开启服务器管理端口,导致勒索软件、蠕虫病毒攻击风险升级等等。
甚至有一些攻击者利用新型冠状病毒肺炎疫情相关热词开展的网络攻击行为,用户一旦点击“冠状病毒”、“疫情”、“武汉” 等词汇,病毒被激活后可使电脑声音被窃听,文件被窃取,以及删除操作系统核心文件导致无法开机的严重后果。
对此,腾讯iOA技术负责人、高级安全工程师蔡东赟跟记者分析道:“从终端和链路的角度来看,远程办公中员工访问的身份、设备、网络都是不可控的。从企业服务器的角度,远程访问时,企业服务暴露在公网上,此时传统的安全边界被打破,防火墙等传统安全防护措施难以抵御,可能面临伪造终端协议注入或探测等安全风险。”
安恒信息网络安全专家也表示:“远程办公模式需要将前期内网的访问权限向互联网开放,这增加了远程安全运维的风险,可能存在权限控制不足、运维链路不安全、无审计不合规等风险。”
企业如何做到远程办公场景下的安全风险可控
面对严峻的安全风险形势,远程办公场景下,尤其为了方便员工远程登录企业内网访问业务的办公需求,在开放VPN,让员工居家远程办公之后,企业究竟该如何做到安全风险可控呢?
360企业安全高级产品经理薛欢表示,远程VPN接入办公情况下,企业仍需对员工的接入设备,接入网络,及接入业务后的操作行为等,进行全面严密的风险感知和防御响应。此外,业务自身的安全性较集中办公场景下也需要更大的提升,以防止企业数据发生泄露风险。
他跟记者打了个打比方:企业为员工开放VPN办公,好比疫情期间社区为居民发放通行证,一人一证,凭证进入,但人员的体温,旅行史这些敏感重要的信息仍需专人专职进行严格的采集和把控。”
对此,蓝信移动CTO张庭认为,首先企业应确保VPN要按需开放,并且实现动态权限的管控,避免VPN一拨通就具备所有的内网权限。其次,VPN自身也要有多因子的鉴权方式,避免单一用户名密码的接入方式。再次,建议以业务和VPN结合的方式,由业务来驱动和控制VPN的链路。
针对远程办公场景下企业的安全风险防御,山石网科营销资深总监贾彬也给出了三点建议:一是,企业应对内部员工增加安全意识引导和教育。二是,企业应对内部现有安全设备的安全能力进行升级排查(原来很多企业并不具备远程访问能力,因此这个时期的网络访问是之前未经历过的)。三是,通过技术手段对企业核心数据访问情况做实时监控。
对于以上观点,安恒信息网络安全专家也深表认同,他指出,访问通道开放后,企业建立安全的传输通道和运维通道非常关键,建议使用“SSL VPN+堡垒机”相结合,保障远程接入和远程运维安全性。另外,建议企业采用双因素认证和部署强大的端点检测和响应(EDR)解决方案。前者是当前很多组织或企业进行数据安全管理的举措之一,它能够更好地保护数据或资源安全。后者能够帮助企业远程防止下一代恶意软件、数据泄漏、快速响应威胁,以及自动管理软件部署和补丁。
远程办公下的数据安全如何保障
其实,远程访问带来的相对较大的安全问题还是数据泄露,这是企业必须重视的。
因为,员工使用的是自有终端设备,暴露在互联网上,很容易成为攻击目标。显然,由于员工利用个人电脑使用VPN直连公司内网,访问内网资源,或者使用远程桌面方式连接内网,都容易发生机密信息被外泄的风险,包括机密文档下载到私人电脑泄密,截屏或录屏导致文档内容泄露等等。
那么,在进行远程维护和安全管控时,如何保证企业数据资产安全?
毫无疑问,这需要企业和员工来共同守护。员工应该严格遵守规章制度,提升个人安全意识,不乱点乱看,避免一切可能的危险行为。而企业则应采取一系列安全防护措施,保护数据资产安全。如果企业自身防护能力不足,不妨借助第三方的力量。
这个观点得到了山石网科营销资深总监贾彬的认同,他补充说,企业做好网络安全保障和风险监控时,也应尽可能不要将数据资产下载到本地,数据资产一旦脱离公司网络的防护环境就会存在泄漏风险。此外,还需部署相关数据防泄漏的安全产品,设置文档权限,禁止截屏、拷贝,增加文档水印等措施。
“企业可以基于‘零信任’的安全理念,从以下三方面出发来实现:确保终端和链路安全,确保网络环境安全,确保办公后端系统的安全。”腾讯iOA技术负责人、高级安全工程师蔡东赟则表示,近期我们留意到一些地产公司,对于远程办公,尤其是文档数据防泄露存在较大的需求。同时,我们也帮助了一些具备一定信息化基础的互联网企业如游戏公司,接入了腾讯零信任无边界访问控制系统(iOA),解决远程办公中的身份认证问题,并支持适配企业微信、自定义等多种认证方式,既保障了员工的访问体验,也提升了企业的安全管理效率。
特殊时期,企业应如何快速部署网络安全设备
如上所述,面对安全风险,我们了解了企业可以采取的一些安全措施。那么,类似疫情这种突发紧急事件的情景下,企业应该如何快速部署网络安全设备?又如何快速实现对已有安全设备扩容呢?
“这取决于企业实际情况。”腾讯iOA技术负责人、高级安全工程师表示,如果企业原本部署了VPN硬件盒子,则需要紧急联系供应商,寄送硬件设备进行部署和扩容;如果企业已部署服务器,网络安全设备属于虚拟化部署,这样流程会更快捷。面对疫情及突发风险时期的特殊需要,可以通过联系运营商采购或租用足够的服务器,购买更大带宽,在此基础上进行网络安全软件的部署和扩容。
山石网科营销资深总监贾彬表示,首先,选择具备本地服务能力的企业。这些企业能够帮助用户快速升级、部署,并提供有效的现场或远程支持。其次,选择具备在线扩展性能的设备,此类设备通过安装license或者在线增加设备板卡,就能够提升服务能力和性能,不会对系统访问造成中断。最后,选择具备云化访问条件的企业,可以选择增加虚拟安全设备的方式增加系统容量,同时利用负载均衡产品来为安全设备分担流量,避免单台设备访问量过大。
另外,360企业安全高级产品经理薛欢建议,企业应优先考虑安全服务商的实力以及资质,然后优选可以提供体系化的安全防护方案,常态化安全监测方案,以及完备的安全服务方案的安全服务厂商。这样不仅可以减少不同服务商产品之间可能存在的兼容冲突问题,避免产品对接带来的二次开发对时间和财力的消耗,还可以借助该安全厂商在客户场景,产品兼容和问题定位上的丰富经验和独特优势,快速响应需求,保障产品品质,应急处理问题。
他们建议这样选择远程办公安全解决方案
说了这么多,也许有人会问:目前市面上有很多针对远程办公的安全产品,企业应该如何选择合适的安全设备或解决方案?
对此,腾讯iOA技术负责人、高级安全工程师蔡东赟认为,首先要明确远程办公时较为核心的安全问题,也就是企业核心痛点:终端防护、链路保护、访问控制(包括身份合法性、应用合法性、访问权限管理等)以及数据安全。根据具体情况,企业应尽可能选择能同时满足多个或全部需求的网络安全产品,从而有效提升企业远程办公安全的防护效率和质量。
360企业安全高级产品经理薛欢则表示,企业在选择时应该考虑三个关键字:全面、主动、动态。首先是全面,远程办公安全解决方案应是整体全面的而非单点片面的,需要对接入的员工身份、设备、网境、行为、业务内容等进行全面的风险感知和防御;其次是主动,方案中应涵盖主动感知业务风险的能力,被动防御、被动审计只是亡羊补牢,只有主动发现风险在哪里才能将防御策略落到实处,发挥其真正价值;再次是动态,方案需要对办公安全进行动态持续的安全监测,再加以精细化的响应决策。
目前,以钉钉、蓝信、飞书为代表的移动办公平台已经成为众多企业青睐的办公新方式。但是对于琳琅满目的各种办公平台,我们如何选择呢?
蓝信移动 CTO 张庭建议,除了安全性,你还应考虑以下三大因素:一是,灵活性。比如是否可以与企业原有信息化系统顺畅打通,实现数字化平稳升级,降低改造成本;二是便捷性。各种功能操作是否便捷,以保证企业高效协同办公;三是承载力。对于中大型企业来说,承载力是要考虑的因素之一。例如:能否实现大规模分级分权的组织管理,能否灵活设置复杂可见性策略等等。
写在后面
其实,在这场战“疫”中,不仅仅是在远程办公安全方面,在网络信息安全的各个方面,以360、腾讯、奇安信、山石网科、安恒信息为代表的安全企业,都在积极应战,不遗余力的发挥着自己的作用。
比如:360面向所有企、事业单位及政府监管单位免费开放360巡天平台;腾讯安全启动了“网络安全护航计划”,面向广大企业免费开放远程办公安全保障服务;山石网科免费提供稳定安全的虚拟专用网产品、持续的网络安全服务;安恒信息捐赠上千台(套)网安设备,持续保障武汉与全国医疗机构网络安全……