每一次波及全社會的重大事件,都會對某些行業產生革命性的影響。 17年前的非典疫情,推動了電商、網絡遊戲的爆發式發展,催生了京東、盛大等行業巨頭。
而今年春節前後的新冠肺炎疫情,幾乎在一夜之間,讓國內每個人的生活和工作方式都迎來一場鉅變,遠程辦公就是其中之一。
在全球範圍,尤其是剛剛結束的美國舊金山RSA大會上,遠程辦公這個熱門話題也引起了業界的關注和熱議。比如,知名身份認證廠商Auth0的CISO兼運營副總裁瓊.佩平(Joan Pepin)女士在接受採訪時表示,將允許員工居家遠程辦公。同時,和遠程辦公安全緊密關聯的零信任,成為RSAC 2020熱度增長最快的熱詞之一。
關注度激增663% 霸榜下載榜 遠程辦公爆發提前了5年
事實上,在歐美國家,特別是美國,遠程辦公早就已經是一種普遍存在的工作模式。據前瞻產業研究院的研究顯示,截至2017年,美國超過八成企業引入了遠程辦公制度,已有3000萬人在家中遠程辦公,佔美國工作人口的16%~19%。
數據顯示,至2017年,全世界已有24%的公司尤其是科技公司採用遠程辦公方式;到2020年,大約50%的科技公司將會有約29%的員工實現遠程辦公。
疫情之後的復工潮,使得國內遠程辦公熱度激增。根據某搜索引擎的大數據顯示,復工30天內遠程辦公需求環比上漲663%。
在AppStore免費應用排行榜上,釘釘長期霸榜,騰訊會議、企業微信也位居前幾位。據估計,全國至少有超過2億人進入了遠程辦公模式,除日常工作協同溝通、視頻會議等基本功能外,還有遠程簽約、遠程開發、遠程運維、遠程客服、遠程教學、企業在線直播等更復雜豐富的應用。
有觀點認為,雖然說國內目前的大規模遠程辦公是新型冠狀病毒肺炎驅動的一次黑天鵝事件,但事實上遠程辦公原本就已經成為一種必然的發展趨勢,只是因為疫情的爆發,讓這種趨勢提前到來。
藍信移動CEO路軼認為,“從市場數據分析來看,可以說移動辦公普及進度至少提前了三到五年。”可以這麼認為,遠程辦公不應被看作特殊時期的一種特殊的辦公形式,而應該將其作為面向未來工作模式的一種常態。
遠程辦公普及 或致網絡安全威脅兩年內激增
便利性和安全性,往往是一對矛盾,遠程辦公也不例外。遠程辦公需求的爆發式增長,一方面為穩定社會經濟發揮了重要作用,同時也給信息化系統帶來巨大的安全挑戰:
為了確保移動辦公的運行和效率,傳統辦公網絡的邊界被徹底打破,各單位不得不讓大量沒有安全保障的設備,通過各種網絡,任其接入原本戒備森嚴的內部信息系統,由此引發的安全風險也呈幾何級劇增,有可能導致災難性後果,保障遠程辦公的網絡安全成為當前最迫切的任務。“這就像沒帶防護裝備就緊急出發的消防隊員,赤手空拳暴露在沖天大火中”,一位RSA與會專家說道。
奇安信安全專家張澤洲表示,遠程辦公迅速普及,但因為研發時間過短,網絡安全卻成為被嚴重忽視的一面,網絡安全規劃及措施嚴重滯後。這就帶來了全新的安全風險,主要表現在三個方面:
首先是網絡暴露面的增加
為了支撐遠程辦公,更多的業務系統需要對互聯網開放,無論是通過端口映射將業務系統直接開放公網訪問,還是使用VPN打通遠程網絡通道,都是對原本脆弱的網絡邊界打上了更多的洞,敏銳的攻擊者一定不會放過這些暴露面。
其次是接入網絡的人員、設備、系統的多樣性呈指數型增加
遠程辦公模式允許員工、外包人員、合作伙伴等各類人員,使用家用PC、個人移動終端,從全國各地全天候地遠程訪問業務。參差不齊的終端接入設備和系統,具有極大的不確定性,各種接入人員的身份和權限管理混亂,這些都會給企業網絡帶來了極大風險。
最後是數據流動的複雜性
企業的業務數據在複雜的人員、設備、系統之間頻繁流動起來,原本只能存放於企業數據中心的數據不得不面臨在員工個人終端的留存,企業數據和個人數據甚至混在一起,企業數據的機密性難以確保,數據洩露和濫用風險大幅增加。
可見,遠程辦公的複雜性導致企業已經不存在單一的、易識別的、明確的安全邊界,或者說,企業的安全邊界已經被瓦解,傳統解決方案難以應對。尤其是近年來外部攻擊的規模、手段、目標等都在演化,有組織的、攻擊武器化、以數據及業務為攻擊目標的高級持續攻擊屢見不鮮,可以說企業的網絡安全邊界原本就已經很脆弱,遠程辦公讓這種脆弱性雪上加霜。
張澤洲分析認為,按照目前遠程辦公的井噴式增長趨勢,未來1~2年,將是企業網絡安全事件的集中爆發期,如果不及時採取對應的安全措施,損失將不可估量。就拿剛剛不久前的微盟刪庫事件為例,一個員工的不當操作,就使得市值100多億港幣的公司,三天內市值蒸發超過30億港幣,縮水近1/4。
遠程辦公常態化趨勢下的安全思考
針對遠程辦公常態化的趨勢和其面臨的安全挑戰,安全界應該結構化的思考和應對,奇安信安全團隊提供瞭如下建議:
- 常態化思維審視遠程辦公安全
國內目前大規模的遠程辦公,導致網絡威脅加劇,導致傳統的邊界安全體系失效,但業界應該清晰的意識到,這些安全挑戰一直就存在,並非遠程辦公導致了這些安全調整,而是因為安全架構沒有及時跟上節奏,遠程辦公只是把這些問題放大了而已。
事實上,數字化轉型推動著雲、大、物、移、智等新技術的採用,早就已經埋下了邊界瓦解的種子,業界應該直面這種趨勢,把遠程辦公看成是現代企業業務的一個有機組成部分,作為一種常態,企業“邊界”之外的人、設備、系統接入網絡也是不可逆轉的趨勢,企業的業務和數據走出“邊界”上雲也是信息技術發展的必然。
基於常態化思維,審視現有的安全架構,將遠程辦公作為企業數字化轉型的一個業務場景,避免將遠程辦公作為一個單點進行加固,而是應該針對企業不得不面臨的新型IT環境進行安全構建。
- 基於零信任架構進行安全革新
遠程辦公常態化,或者說網絡的無邊界時代,應該假設系統一定有未被發現的漏洞、一定有已發現但仍未修補的漏洞、假設系統已經被滲透、假設內部人員不可靠,這“四個假設”就徹底推翻了傳統網絡安全通過隔離、修邊界的技術方法,徹底推翻了邊界安全架構下對“信任”的假設和濫用,基於邊界的網絡安全架構和解決方案已經難以應對如今的網絡威脅。
面對越來越複雜嚴峻的網絡安全形式,零信任架構應運而生。零信任安全體系認為默認情況下不應該信任網絡內部和外部的任何人/設備/系統,需要基於認證和授權重構訪問控制的信任基礎。
零信任對訪問控制進行了範式上的顛覆,其本質是以身份為基石的動態可信訪問控制,是一種網絡/數據安全的端到端方法,關注身份、憑證、訪問管理、運營、終端、主機環境和互聯的基礎設施。
近幾年,零信任越來越受到業界的認可,Google、微軟、亞馬遜眾多領導廠商都大力推動零信任的應用。2018年網絡巨頭思科不惜斥資23.8億元收購身份安全廠商DUO。無獨有偶,2018年奇安信提出了“安全從0開始”並在國內率先推出了零信任安全整體解決方案,把國內零信任的這股風也吹了起來。
到2019年,RSAC上主打零信任的廠商就逐漸開始增多,大致有39家,NIST也推出了《零信任架構》標準草案,美國國防創新委員會DIB發佈的《零信任架構建議》白皮書中更是直接建議美國國防部應將零信任實施列為最高優先事項。
而到2020年,RSAC上打著零信任標籤的廠商就已經有91家之多,是去年的兩倍以上,零信任也因此成為了RSAC2020熱度增長最快的熱詞之一。
結合國內的政企客戶實踐,奇安信賦予了零信任架構四大關鍵能力:以身份為基石、業務安全訪問、持續信任評估和動態訪問控制,最終在訪問主體和訪問客體之間建立一種動態的信任關係,並基於信任關係賦予動態的訪問權限,其本質是以身份為基石的動態訪問控制。
奇安信認為,在遠程辦公常態化的時代,應該基於零信任對安全架構進行革新,基於零信任構建內外網一體的業務訪問平臺,在人員、設備和業務之間構建一張虛擬的基於身份的邏輯邊界。
同時針對核心業務和數據資產,梳理訪問這些資產的各種訪問路徑和場景,針對各種場景構建一體化的零信任動態訪問控制體系,並逐漸演進為“一箇中心”+“五張過濾網”的整體安全體系。(“一箇中心”指的是安全運營中心,“五張濾網”指的是網絡、身份、應用、數據和行為五張濾網。)
- 加強員工安全教育和培訓
遠程辦公的安全,離不開加強員工的安全教育和培訓。今年RSAC大會的主題是“人的因素”,事實上,任何時候,人永遠是安全必不可少的因素,奇安信在幾年前也曾提出過“人是安全的尺度”的思想。
遠程辦公場景下,員工面臨的網絡風險和現場辦公存在較大的差異,員工現有安全意識和遠程辦公的安全現狀之間會出現鴻溝,並且由於辦公場所的變更,員工的安全意識會出現一定程度的弱化。
因此,奇安信認為需要針對性的加強員工安全教育和培訓,幫助員工瞭解他們可能無意間引入企業的安全風險,並對場景風險的緩解和處置方式進行培訓,降低由於缺乏意識或無意之間的意識弱化導致的安全風險。
遠程辦公和安全建設需同步規劃、同步推進
"網絡安全和信息化相輔相成,安全是發展的前提,發展是安全的保障,安全和發展要同步推進。"對於迅速崛起的遠程辦公更是如此。“面對已經提前到來的遠程辦公浪潮,對於每一個企業主,都需要汲取過去信息化和安全相互獨立並行的教訓,而是在戰略規劃之初,就將兩者同步考慮和部署下去,只有這樣,才能讓企業把握住遠程辦公的浪潮,實現安全、平穩的數字化、移動化轉型和升級。”張澤洲談到。
閱讀更多 奇安信 的文章
