由于新型冠狀病毒在全球各國的迅速傳播，許多公司開始鼓勵(lì)員工在家工作，以確保員工的健康。如果不采取預(yù)防措施，為保護(hù)人們免受病毒感染所做的正確轉(zhuǎn)變也可能使企業(yè)遭受網(wǎng)絡(luò)攻擊。

[[319679]]

從科技巨頭到初創(chuàng)企業(yè)，各種企業(yè)都在采取遠(yuǎn)程工作的方式，以在不中斷日常運(yùn)營的情況下阻止疾病傳播。微軟、谷歌、Facebook和蘋果等公司都在敦促員工在可能的情況下在家工作。隨著世界各地的公司迅速實(shí)施在家遠(yuǎn)程辦公的政策，并且取消了會(huì)議，谷歌公司和思科等多家科技公司已開始免費(fèi)提供其協(xié)作工具。

思科公司安全業(yè)務(wù)副總裁兼首席技術(shù)官Bret Hartman說：“不幸的是，新型冠狀病毒的傳播正迫使世界各地的許多員工進(jìn)行遠(yuǎn)程工作。雖然十分必要，但這種新的工作場所靈活性正在給IT和安全團(tuán)隊(duì)帶來突然的壓力，尤其是在需求激增以及現(xiàn)有保護(hù)措施的能力不足的情況下。”他指出，30%以上的全球性企業(yè)已要求思科公司幫助擴(kuò)展遠(yuǎn)程工作，而且該公司在日本、新加坡和韓國的Webex平臺(tái)上花費(fèi)了大量時(shí)間。

Optiv Security公司全球執(zhí)行服務(wù)總監(jiān)Craig LaCava表示，隨著企業(yè)采用遠(yuǎn)程工作的方式，安全管理人員現(xiàn)在已將這個(gè)問題放在首位。他說：“大多數(shù)首席信息安全官都在考慮這個(gè)問題，并向高管人員介紹情況，只是為最壞的情況做準(zhǔn)備。問題在于并不是每個(gè)人都擁有適當(dāng)?shù)脑O(shè)備、流程和基礎(chǔ)設(shè)施來支持完全遠(yuǎn)程的工作。”

遠(yuǎn)程工作從根本上改變了工作動(dòng)態(tài)，特別是對(duì)于習(xí)慣于每天在一起工作的團(tuán)隊(duì)而言。從企業(yè)辦公室轉(zhuǎn)移到家庭時(shí)，被迫改變其行為的人們可能會(huì)面臨效率低下、溝通挑戰(zhàn)和其他意外障礙。而意外的環(huán)境變化可能會(huì)引發(fā)安全風(fēng)險(xiǎn)。

快速增長的攻擊面

GitLab公司遠(yuǎn)程負(fù)責(zé)人Darren Murph將這種趨勢稱為“危機(jī)驅(qū)動(dòng)的遠(yuǎn)程工作”，他說這種趨勢與有意采取遠(yuǎn)程工作方式“完全不同”。現(xiàn)在，員工不得不在家遠(yuǎn)程工作，卻沒有獲得任何準(zhǔn)備、警告或文檔化的流程。他解釋說：“并不是每個(gè)人都將遠(yuǎn)程工作作為第二天性來適應(yīng)。”

專家們一致認(rèn)為，隨著越來越多的組織采用員工在家辦公的政策，網(wǎng)絡(luò)攻擊面將會(huì)擴(kuò)大。以往員工開展遠(yuǎn)程工作，在從客廳和咖啡店辦公時(shí)，他們可能正在使用智能手機(jī)、筆記本電腦和平板電腦通過不安全的網(wǎng)絡(luò)發(fā)送業(yè)務(wù)數(shù)據(jù)。那些喜歡在家工作的員工可能會(huì)在不考慮風(fēng)險(xiǎn)的情況下向他們傳輸關(guān)鍵數(shù)據(jù);那些為了改變環(huán)境而訪問其他工作區(qū)的員工可能會(huì)使他們的設(shè)備處在無人看管的狀態(tài)。

Armis公司首席信息安全官Curtis Simpson解釋說：“越來越多的家庭設(shè)備開始聯(lián)網(wǎng)，燈泡、冰箱、、自行車甚至掃地機(jī)器人等消費(fèi)類物聯(lián)網(wǎng)設(shè)備的生產(chǎn)和應(yīng)用都沒有考慮到安全性。如果將企業(yè)的數(shù)據(jù)資產(chǎn)與這些設(shè)備置于相同的Wi-Fi網(wǎng)絡(luò)上，將為網(wǎng)絡(luò)攻擊者的攻擊提供了新的切入點(diǎn)。而那些無法控制員工家庭網(wǎng)絡(luò)的企業(yè)對(duì)這些外部挑戰(zhàn)沒有做好準(zhǔn)備。”

在思科公司發(fā)布的“2020首席信息安全官基準(zhǔn)報(bào)告”中，超過一半(52%)的受訪者表示，移動(dòng)設(shè)備在安全防御方面面臨“非常”或“極度”的挑戰(zhàn)。Duo Security公司發(fā)布的一份調(diào)查報(bào)告表明，訪問受保護(hù)應(yīng)用程序的請(qǐng)求中有45%來自企業(yè)外部。思科的Hartman說，“擁有越來越多的遠(yuǎn)程員工的組織必須對(duì)不同類型的用戶提供支持，其中包括承包商、第三方供應(yīng)商和連接到公司網(wǎng)絡(luò)的遠(yuǎn)程員工。”

隨著員工將企業(yè)設(shè)備連接到不安全的網(wǎng)絡(luò)上，他們還面臨著網(wǎng)絡(luò)犯罪分子用和冠狀病毒相關(guān)的惡意軟件誘騙他們的網(wǎng)絡(luò)釣魚攻擊。網(wǎng)絡(luò)攻擊者通過惡意軟件家族(包括Emotet和多個(gè)RAT變種)發(fā)送以冠狀病毒為主題的誘餌。

安全團(tuán)隊(duì)的期望

IT和安全團(tuán)隊(duì)面臨的主要挑戰(zhàn)是如何為員工提供可以帶回家安全工作的公司設(shè)備。CI Security公司戰(zhàn)略執(zhí)行官、西雅圖兒童醫(yī)院的前首席信息官Drex DeFord強(qiáng)烈建議企業(yè)的安全團(tuán)隊(duì)花費(fèi)一些時(shí)間來確保正確配置設(shè)備。他說：“在危機(jī)中，我們傾向于走捷徑。急于安裝和部署設(shè)備的安全專業(yè)人員可能會(huì)忽略隱患，往往是簡單的錯(cuò)誤配置意外地讓數(shù)據(jù)暴露在互聯(lián)網(wǎng)上。”

DeFord說：“對(duì)于高級(jí)醫(yī)療保健主管以及一般的主管來說，最大的信息就是密切關(guān)注企業(yè)的團(tuán)隊(duì)，而在IT方面，一切都緊密相連，其中包括企業(yè)的合作伙伴和第三方供應(yīng)商。”

GitLab公司高級(jí)安全工程師Mark Loveless表示，如果員工忽視了工作場所以外的辦公習(xí)慣，信息安全團(tuán)隊(duì)可能會(huì)面臨更多挑戰(zhàn)。

Loveless解釋說，“員工在自己的家里工作可能感到更安全，有一種讓人放松警惕的傾向，因此任何不良的計(jì)算機(jī)使用習(xí)慣可能會(huì)轉(zhuǎn)化為對(duì)工作任務(wù)的不安全行為。最大的挑戰(zhàn)是在家里提醒并積極強(qiáng)化那些良好的安全習(xí)慣。”他指出，大多數(shù)不良習(xí)慣和他們?cè)诩彝ブ幸氲膯栴}都不是主要問題，但其中一些可以累加起來并擴(kuò)大攻擊面。

Loveless補(bǔ)充道，在家工作的員工可能沒有他們?cè)诠ぷ鲿r(shí)擁有的防火墻、基于網(wǎng)絡(luò)的入侵檢測和其他辦公室防御系統(tǒng)。他們可能采用工作設(shè)備訪問具有風(fēng)險(xiǎn)的網(wǎng)站，從而添加更多的攻擊向量。

Armis公司的Simpson補(bǔ)充說，首席信息安全官應(yīng)當(dāng)假定網(wǎng)絡(luò)攻擊者以比平常更快的速度鎖定目標(biāo)，因?yàn)樗麄冎榔浠顒?dòng)將隱藏在大量的遠(yuǎn)程流量中。員工也可能會(huì)丟失其憑據(jù)，或者不小心在公共Wi-Fi上共享。如果網(wǎng)絡(luò)攻擊者擁有它們并登錄到業(yè)務(wù)應(yīng)用程序，則安全團(tuán)隊(duì)將很難確定不適當(dāng)?shù)脑L問權(quán)限。

Optiv Security公司的LaCava說：“如果企業(yè)辦公室關(guān)閉并且處于緊急狀態(tài)，信息安全管理團(tuán)隊(duì)可能會(huì)遇到各種各樣的事情。例如哪些不正常以及如何處理?”

現(xiàn)在可以采取的措施

GitLab公司的Murph和Loveless都認(rèn)為文檔安全至關(guān)重要。Murph解釋說：“擁有單一的真相來源至關(guān)重要。”分布式安全團(tuán)隊(duì)將花費(fèi)大量時(shí)間來執(zhí)行訪問請(qǐng)求和處理警報(bào)。如果他們無權(quán)訪問相同的文檔以解決問題，則不能保證組織的安全。Murph還建議使用一個(gè)公共安全通道，遠(yuǎn)程工作的員工可以在這個(gè)通道上進(jìn)行實(shí)時(shí)通信。

Loveless說，GitLab公司的手冊(cè)以及其安全策略都是公開的，它鼓勵(lì)積極更新以提高安全性和生產(chǎn)率。Loveless還建議安全團(tuán)隊(duì)提供針對(duì)安全人員和遠(yuǎn)程工作人員的培訓(xùn)材料，以便員工知道在遇到安全事件時(shí)該怎么辦以及期望做什么。如果這樣做，員工應(yīng)該知道共享面臨的安全威脅和疑慮。

CI Security公司的DeFord建議說：“IT團(tuán)隊(duì)需要?jiǎng)?chuàng)建一種結(jié)構(gòu)，供人們?cè)诔霈F(xiàn)問題時(shí)進(jìn)行報(bào)告。”

Simpson說，如果企業(yè)尚未使用多因素身份驗(yàn)證(MFA)，那么現(xiàn)在就該開始了。對(duì)于特權(quán)用戶，如果他們?cè)L問敏感的面向全球互聯(lián)網(wǎng)的業(yè)務(wù)服務(wù)(包括人力資源平臺(tái)、代碼存儲(chǔ)庫，遠(yuǎn)程訪問界面和解決方案以及全球互聯(lián)網(wǎng)和軟件即服務(wù)管理界面)，則應(yīng)強(qiáng)制執(zhí)行多因素身份驗(yàn)證(MFA)。那些尚未使用多因素身份驗(yàn)證(MFA)的用戶應(yīng)在風(fēng)險(xiǎn)最高的用戶中優(yōu)先考慮其實(shí)施，而不是一次性為所有人部署。

應(yīng)該為管理員和處理關(guān)鍵數(shù)據(jù)的人員優(yōu)化用于檢測可疑活動(dòng)的行為分析工具。企業(yè)可能還需要考慮要求遠(yuǎn)程員工通過虛擬桌面環(huán)境訪問舊版應(yīng)用程序和服務(wù)。Simpson建議測試虛擬桌面環(huán)境，以確保按需提供用戶體驗(yàn)。

剛接觸遠(yuǎn)程工作的企業(yè)應(yīng)制定策略，說明有關(guān)安全性或其他任何主題的通信方式。

Omdia公司工作場所流動(dòng)性高級(jí)分析師Adam Holtby說：“除了技術(shù)之外，人員的因素才是真正重要的。這要求管理人員付出更多的努力，他們將需要確保建立通訊通道以供遠(yuǎn)程員工連接，確保員工彼此保持聯(lián)系。