宅家遠程辦公須當心“看不見的黑手”,如何規避網絡安全風險?
自3月以來,疫情防控形勢仍舊嚴峻,平時光鮮亮麗出入寫字樓的白領們紛紛宅家辦公。遠程辦公雖然能一定程度克服疫情影響,但網絡安全問題卻亟須重視。
一般而言,企業內網有“防火墻”的保護,宛如銅墻鐵壁,黑客絕大部分情況下很難攻克。然而遠程辦公,企業網絡安全風險就暴露出來。通過VPN(虛擬私有網virtual private network)訪問內網,就如同在城墻之下開了一扇扇小門,被黑客侵入的風險大大增加。
那么,企業應該如何應對遠程辦公網絡安全問題呢?零信任安全已被認為是解決現階段網絡安全問題的重要解決方案。
從VPN到“零信任”
在日常工作中,企業員工調取內網資源司空見慣。但在居家辦公室,無法訪問內容意味著很多工作無法開展。于是,遠程訪問成為很多員工的必須。
相比之前受到各類防火墻保護的企業內網,遠程訪問相當于堅固的城堡里開了許多扇門,供遠程辦公人員進出,調取各類文件、信息、數據以滿足工作需求。
對“嗅覺”敏銳的黑客,這是“機會”來了。但對于企業,這是懸在頭頂的達摩克利斯之劍,因為企業并不知道黑客什么時候會發動攻擊。
VPN遠程接入方案,就是很多企業選擇的渠道。VPN是一個加密的安全通信信道與數據傳輸渠道,通過VPN可以將員工居家辦公用計算機與公司內網連接,通過加密方式訪問內網。
但VPN同樣存在諸多風險。假如通過VPN訪問內網的設備被黑客控制,那么通往企業內網的道路將暢通無阻。黑客也可以通過網絡釣魚等低成本攻擊手段,竊取員工個人信息,從而侵入企業內網。
近期,就有一款遠控軟件被黑產團伙利用,用于攻擊企業主機和個人電腦,已有部分未修復漏洞的主機、個人電腦受害。攻擊者利用漏洞入侵后可直接獲得系統控制權,受害主機已被用于門羅幣挖礦。
“從不信任,總是驗證”
據鈦媒體報道,2020年疫情暴發之初,也有互聯網企業遠程辦公遭遇XRed病毒攻擊。據了解,這家公司一位業務主管分享到內部工作群的遠程辦公工具及電子表格文件被發現感染病毒,導致部門200多名員工電腦被感染。
XRed病毒是具備遠程控制、信息竊取能力的感染型病毒,可以感染本地EXE文件及xlsx電子表格文件,病毒可通過文件分享和U盤、移動硬盤等媒介傳播。
可以看出,不管是社交平臺還是U盤這樣的硬件媒介,都存在網絡安全問題。站在企業的視角來看,無法預知其員工使用的計算機是否被黑客攻陷。
事實上,個人計算機通常缺乏專業的網絡安全防護。比如很多家庭Wi-Fi密碼設置簡單,安全漏洞也長時間未修復。如果被黑客盯上,將輕易“淪陷”。當企業員工的個人計算機被攻破,勢必會給企業內網帶來網絡安全風險。
不僅僅是外部攻擊,很多時候堡壘都是從內部被攻克。如何防范“內鬼”也是遠程辦公網絡安全所必須考慮的。
據大河網報道,2021年5月30日,鄭州警方工作中發現,新密市區某公司6萬余條用戶信息遭泄露,存在重大風險隱患。進一步工作發現,新密某裝修公司員工慎某龍、慎某明等人手中掌握有該批用戶信息。
掌握相關證據后,新密警方迅速將慎某龍、慎某明抓獲到案。經審查,上述信息系新密市某公司工作人員李某閃出售給兩人使用。6月4日,新密警方將該公司工作人員李某閃抓獲,李某閃如實供述了其利用工作之便非法從公司內部系統導出用戶信息6萬余條用于出售牟利的犯罪事實。
外部攻擊、內部泄露,企業網絡安全防護重要性可見一斑。因此,零信任安全呼之而出。
零信任網絡訪問(Zero-Trust Network Access)于多年前由研究機構ForresterResearch副總裁兼首席分析師約翰·金德瓦格提出,意即不能信任出入網絡的任何內容,即“從不信任,總是驗證”。即默認不信任企業網絡內外的任何人、設備和系統,而是采用最小權限并執行嚴格的訪問控制策略。
以安恒信息零信任護航遠程辦公產品為例,傳統VPN是核心理念是“一次驗證”,而安恒信息零信任模型是“永遠驗證”。在信任鑒權方式方面,零信任模型包括來源地點、設備指紋、訪問時間段、請求報文等方式約束。
正如約翰·金德瓦格所言:“證明員工身份的不是密碼,是行為。”零信任安全不僅通過多因子驗證員工身份,還會檢測賬號的行為,其一大特色便是行為分析,通過技術分析判斷賬號的行為是否合理。安恒信息零信任產品便提供行為審計,包括應用訪問、接口調用行為審計能力以及可溯源定位至端,這些功能是傳統VPN所不具備的。
行業數據概覽
統計數據顯示,2022年3月境內計算機惡意程序傳播次數達到2.3億次之多,較2月小幅上漲4.97%。3月每周的境內計算機惡意傳播次數先降后增,整體較第一周均有所下降。第1周最高,達到6305.5萬,第3周最低,降到5451萬。境內感染計算機惡意程序主機數量來看,3月達到667.2萬,每周數據平穩,整體較2月小幅上漲10.54%。惡意程序會損壞文件、造成系統異常、竊取數據等,對計算機傷害很大,一定要高度重視。加強企業安全防護,加強個人安全意識尤為重要。
從境內被植入后門網站總數來看,3月累計2572個,每周數據呈遞增狀態,其中政府網站數量21個,政府類還是網絡攻擊首選。網站被植入后門會損害形象,傳播病毒,黑客可能會通過shell獲取系統級權限,進一步擴大危害,建議加強防護及時修復安全問題。
從仿冒網站來看,3月較2月有明顯下降。其中,仿冒網站從2月的355個到3月的256個,仿冒網站數量下降也歸功于全國反詐工作較為成功。而新增漏洞數量從2月的1685個到2月的2260個,環比增長34.12%,其中高危漏洞也有增長,3月也爆發了全球高度關注的漏洞事件。針對安全漏洞問題,一定要在正規途徑下載應用,并即時更新,不可心存僥幸。
工信部發文鼓勵“零信任安全”探索
目前端口防護面臨最大的安全挑戰是什么?據Cybersecurity數據,62%的企業認為,是保護重點在于對當下分布在數據中心和云上的私有應用的訪問;50%的企業認為,需要縮小面向互聯網開放的內部應用程序;50%的企業認為,需要強化捕捉用戶內部活動的能力。
因此,企業自身迫切需要改變的是,成立新的預算以便支撐建立起新的安全模式;將遠程用戶和第三方加入自身網絡。
資料來源:Cybersecurity、招商證券
目前企業內部安全最擔憂的問題包括:具有超特權訪問權限的內部用戶;安全措施薄弱的合作伙伴訪問內部應用程序。主要的威脅來自:基于互聯網的攻擊(即DDoS、MITM攻擊:中間人攻擊、勒索攻擊);被盜或受感染的移動設備進入網絡;影子IT;過于緩慢的手動處置,造成更多的安全問題無法及時得到響應。
數據來源:Deloitte
這是一個企業非常糟糕的狀態,無法聚焦安全投資也反映了企業缺乏更合理更持續發展的安全建設目標。基于零信任理念視角,強調有限信任,重構企業安全身份。圍繞身份安全展開的新一套安全實踐來幫助企業尋找一個新的安全治理目標。零信任構建的防護體系,可以解決身份安全、應用程序安全、數據安全等一系列安全問題,并在實踐的場所和領域覆蓋了云遷移和整合、基礎設施安全、網絡轉型以及物聯網等廣泛的設備接入和應用訪問管控的場景。
數據來源:Illumio、開源證券研究所
2019年,工信部發布《關于促進網絡安全產業發展的指導意見(征求意見稿)》指出,積極探索零信任安全等網絡安全新理念、新架構,推動網絡安全理論和技術創新。同年,中國信息通信研究院發布的《中國網絡安全產業白皮書(2019年)》闡明,零信任已經從“概念”走向落地。零信任體系完全可以化整為零,以多種安全原子能力進行實踐和落地,最重要的就是其安全身份能力,最先得到甲方認可的場景就是遠程接入數字辦公場景以及政務數據API開放共享場景,安恒信息在這兩個領域和場景下,都有較深的技術積累和項目經驗,且相關解決方案得到包括工信部、CSA聯盟、IDC在內的多家權威機構的技術認可。
