新冠疫情迫使企業不得不推行遠端辦公,但同時又要優先考慮員工生産力,以及随之而來的潛在威脅,包括裝置退化帶來的網絡準入安全問題。随着深圳、上海等地相繼解除隔離,辦公場所重新開放,當務之急是重新納管企業裝置,確定網絡準入安全。
1. 裝置退化或引起遠端辦公風險
疫情發生前,企業網絡上各種安全工具都在全天候運作,對聯網裝置進行評估、監控和修複,進而提高裝置和網絡的安全水準。雖然員工每周隻在公司幾天,企業依然投資了數百萬美元更新并保護員工裝置。
開始遠端辦公後,企業級網絡裝置就被消費級路由器取代,連接配接的家用網絡和公共網絡的安全控制也極為有限,此外企業 IT 部門在保護裝置安全方面完全隻依靠幾個端點代理,這些代理還有中斷或禁用的風險。
以上因素加上長時間的遠端辦公都會導緻裝置健康和安全态勢的惡化,也就是所謂的“裝置退化”,最終讓裝置暴露在漏洞和威脅之下,讓黑客可以擴大攻擊範圍。
下面的資料可能更加駭人聽聞:在遠端辦公期間,僅在 2020 一年就發現了 18,000 多個通用漏洞披露(CVE),平均一天 50 個。而在 2020 全年和 2021 年初,使用率最高的漏洞涉及 VPN 伺服器和遠端辦公協作軟體(如 Microsoft Exchange 或 Microsoft Office)。雖然打安全更新檔的時間不如造火箭那麼久,但漏洞修複平均也需要 60 天,而且有些漏洞在很長時間内都沒有更新檔可用。例如 2020 年,75%的網絡攻擊事件都是針對存在了至少2年的漏洞,60%的資料洩露都源于缺少作業系統更新檔。
辦公室、公共設施和零售場所在封閉了數月後終于重新開放,但是這些場所中存在安全态勢降低的裝置,很可能被黑客用于滲透企業網絡、洩露敏感資訊或重創日常營運,最終對企業網絡和業務營運構成嚴重風險,而目前網絡犯罪事件大幅增加的背景更是增加了這一可能性。
需要注意的是,裝置退化在不同類型的裝置中表現方式也不同:
- 員工裝置在疫情前通常具有良好的初始安全态勢,随時間推移,經曆了代理損壞、安全更新檔缺失、未授權應用安裝和配置漂移等問題後逐漸退化。
- 以消費級筆記本電腦為主的新裝置在疫情期間也加入了辦公生态系統,但是這類裝置缺少黃金映像(gold master images),裝置健康水準也始終不如企業裝置嚴格。
- 閑置的辦公室裝置或遠端裝置在遠端辦公期間被關閉,導緻缺少最新的安全更新檔。
始終線上的物聯網(IoT)裝置和營運技術(OT)裝置(如實體安全系統、會議室智能電視和 HVAC 系統),一直處于閑置狀态且無人看管,是以可能會出現高頻漏洞。這類裝置通常需要很長時間才能修補,還有可能無法修補。
2. 重返現場辦公的準備
為了保護企業網絡和業務營運免受裝置退化影響,企業需要重新評估安全政策,下列方案有助于企業加強網絡防護,為重回現場辦公的員工及其裝置做好準備:
1)實時盤點
風險管理第一步從持續準确的裝置盤點開始。企業需要確定網絡完全可視化,以及對所有裝置的詳細洞察,進而實時監控裝置狀态和網絡互動情況。企業還應采用多種可視化技術消除 IT 系統中的盲點,将聯網裝置的實時發現、識别和分類代替瞬時掃描,防止遺漏裝置。企業還應連接配接可視化平台與 IT 服務管理(ITSM)工具,保持配置管理資料庫(CMDB)的準确性和更新狀态。
2)評估修複聯網裝置
企業應建立相應系統進行聯網裝置檢查,安全問題解決以及對潛在退化裝置的持續監控。雖然很多使用者仍在遠端辦公,企業可以充分利用這段時間率先部署:首先檢查始終線上的閑置辦公系統,確定系統已安裝并運作軟體最新版本和安全更新檔;然後評估系統處于休眠狀态時披露的漏洞。退化裝置和不合規裝置重連到企業網絡後,企業應啟動符合的安全政策且适用于公司 IT 系統的修複流程。
3)自動執行零信任政策
企業應首先調整零信任政策覆寫裝置健康方面,并修複安全代理故障、未授權應用和缺少更新檔等安全問題,最後再配置最低通路特權。企業應将裝置分類為不合規裝置、易受攻擊裝置和高風險裝置,并在裝置修複前限制其通路權限。将這一流程自動化在減輕安全運維團隊負擔的同時也能在員工及其退化裝置相繼恢複現場辦公時為企業提供安全警報。
4)持續監控和跟蹤裝置狀态
盡管辦公裝置已開始陸續重回辦公場所,也有裝置可能還需長時間的遠端運作。企業應在裝置連接配接内網後實施持續監控,離線時也保持裝置狀态的可視化,并在裝置長時間離線後重新評估其健康狀況。此外,企業應時刻保持警惕,根據聯網裝置數量和類型以及時間産生的問題/風險來調整裝置管控方法。
5)教育訓練員工協助網絡防護
最後,企業應確定公司政策充分反映上述安全措施。所有員工都需要了解公司的安全協定和實施原因,避免内部摩擦,還要學習相關的安全基礎知識,如避免使用未授權應用和保持裝置的更新,進而協助企業應對裝置退化,保持裝置和網絡健康處于高水準。
3. 後疫情時代的裝置管理最佳實踐
在後疫情時代,混合辦公的落地方式因企業和部門而異。一些員工可能每周或每月有幾天是線下辦公,有些員工可能每季度線下辦公幾周,還有些員工可能一年中隻來辦公室幾次。無論辦公模式如何,唯一不變的是裝置将有很長一段時間處于遠端狀态,在此期間很容易出現裝置退化。而裝置退化管理是一個長期過程,需要企業深謀遠慮,未雨綢缪。
辦公新常态下,身份目錄即服務(DaaS)可以幫助企業落地最佳安全方案,協助企業解決桌面終端準入、啞終端準入、BYOD(自攜帶裝置)準入、泛終端桌面管理問題。
對于桌面終端準入,企業可以根據聯網終端的類型,選擇輕量化用戶端或無用戶端,基于流量/NMAP 探測、域探測、用戶端探測三種方式,DaaS 能夠識别終端 IP/MAC 位址、流量/資料、終端類型、IP 資産真實使用者身份、終端安裝的軟體/程序/更新檔/防毒軟體/記憶體/CPU 使用率等資訊,讓入網的終端可視化。篩查不合格終端,利用虛拟防火牆及切換 VLAN 技術,形成應用通路和網絡可控的邊界。
對于啞終端準入,DaaS 終端準入引擎可主動掃描除 IP/MAC 位址外的 IoT 終端的指紋資訊(終端類型、作業系統、版本、品牌、型号等),并将其作為合規性準入條件,通過自動化隔離 IP/MAC 位址非法僞造的終端,提升啞終端網絡使用安全。基于 UA/Namp 方式提供主動、被動及網絡裝置結合等全方位的檢測方法,能快速确定終端類型。通過 Switch VLAN、VFW(Virtual firewall 虛拟防火牆)方式,對非授信IoT進行流量阻斷。
對于 BYOD 準入, 利用 UA 探測、 DHCP 識别、 NMAP 掃描方式,識别終端類型。對于非受信 BYOD,進行流量阻斷、切換 VLAN 方式讓 BYOD 無法通路企業内部資源。
對于泛終端桌面管理,除基礎的識别終端 IP、MAC、作業系統版本及記憶體磁盤使用狀态外,提供 Windows、macOS 等的統一推送軟體安裝、檔案分發、終端日志采集,也提供非法軟體管理,定義非法軟體,檢測到後彈頁面告警提示解除安裝或郵件告知管理者,還可進行 U 盤管控,控制桌面終端 U 盤讀寫狀态,限制 U 盤讀寫或者隻讀權限等。
通過以上方式,DaaS 在安全層面保障接入企業網絡的終端安全性、合規性,有效避免攻擊行為。在運維層面自動化資産識别、認證、管控,節省人力,降低運維成本。同時, DaaS 身份目錄雲平台還可聯合單點登入 SSO 子產品,讓企業實作應用和網絡的統⼀準入。
![更改LYNC SIP位址[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)