對于IT網際網路企業來說遠端辦公并不陌生,但是疫情的突然爆發,直接大規模的使用遠端辦公應用,勢必會帶來一系列的安全問題,尤其是大量隐私資料安全問題,因為此次的疫情,大量的企業内部人員,需要從企業安全邊界外部通路任何能夠支援正常工作的賬戶文檔或者資料,而如果相關的網絡安全措施規則沒有随之調整将産生巨大的安全隐患。另一方面的挑戰來源于辦公模式改變帶來的安全威脅,現在要求既要滿足遠端辦公的短時便利性需求,又不能過分的喪失安全性。
安全同僚主要是配合遠端辦公下部分業務系統的網絡變更工作,比如防火牆的實施工作、政策的開通等,這部分工作在2月2号之前都順利驗收通過,確定開工日遠端辦公的客服同僚可以正常進行語音等工作。同時,正式遠端辦公前,對VPN這類關鍵的網絡裝置,進行了安全掃描,包括管理者頁面、系統版本是否存在高危漏洞等。
之前大家多數是在下班後或臨時不在職場時,使用VPN接入公司内網解決臨時遠端辦公的需求,這個場景下的通路次數和人數都相對較小而分散。但是這次面對疫情下的遠端辦公模式,則是“全民皆兵”,各個方面的規模提升至少是之前的十倍、二十倍以上。對公司的安全設計來說,“遠端接入”的威脅本來就大于“本地接入”的威脅,是以,對我們來說的變化就是:以前要對日常的遠端使用者做檢查,做好防護工作,現在一下子變成了全體員工,是以檢查手段、應對方式都得更新,否則很可能在遠端辦公期間發生安全事故。
由于很多人之前沒有使用過遠端辦公這一整套系統,是以為了減輕大家上手時的工作量,我們當即決定簡化了一些安全驗證的手段和環節,優先確定大家可以正常接入公司網絡。但是簡化不等于放縱,是以我們比平時針對遠端接入這部分場景進行了更深入、更密集的監控工作。針對VPN、堡壘機這兩個關鍵的入口處,我們通過安全大資料平台,做了人員統計、通路資源統計的可視化,也包括了一些異常行為的統計分析和告警,比如:多次嘗試登入失敗可能意味着暴力破解使用者密碼、同一天一個賬号關聯到不同地區的IP可能意味着賬号被盜用等。
《圖:異常行為分析》
遠端辦公第一天,一大早我們就進行了防病毒的應急響應,這個是我們提前就預料到的,因為遠端辦公勢必有大量的非公司電腦接入,病毒威脅會有所上升。通過監控告警,發現有幾台終端嘗試通路了内網上千個IP資源,同時關聯發現防火牆有攔截到部分到伺服器的請求,第一時間判斷是計算機病毒在發起蠕蟲攻擊。我們随即将上午發現的攜帶病毒的計算機,進行了封禁賬号,并通知員工對個人電腦安裝防病毒軟體進行殺毒後再使用VPN,并進行了遠端辦公期間安裝防病毒軟體的推廣。
《圖:遠端辦公期間宣導安裝防病毒軟體》
疫情期間遠端辦公,還得重點防禦一些僞裝目前熱點資訊進行的郵件攻擊,如在附件中植入病毒檔案、發送釣魚郵件等,這些攻擊在遠端辦公期間的威脅也會比平時更大。是以對郵件主題、附件文檔等,也加強了監控,比如“武漢”、“衛生部”這些關鍵字等等。
幾周的遠端辦公下來,整體還是比較順利的,離不開之前的準備和大家的互相配合,當然也還有很多需要提升的地方。最大的收獲應該是改變了之前的一些觀念上的限制。比如,如果長期維持在這種“零信任”的遠端網絡環境下,如何來設計安全的架構,都是值得繼續更深入思考的課題。借用一起配合的郵件組的一位技術同僚的話:“平時技術儲備足,到了打硬仗的時候才能不慌”。
拓展閱讀: