異地工作的資安挑戰
當疫情大流行而迫使組織,從完全在公司內辦公,或混合辦公室/遠端辦公,快速轉向配置遠端工作環境。這一轉型最緊迫的挑戰之一是:公司要在極短時間內給居家人員準備設備,另一方面全面性調整資安架構與政策。重要的是考慮遠端工作的員工所使用裝置,除了工作之外,可能同時用於購物、支付帳單和一般 Web 瀏覽活動,這會增加洩漏露組織資料的風險。
- 基礎建設配合
不光是上班,不少家長也經歷了在家上課。突然一夜之間,需要線上教學的量大增,學校校務系統不堪負。除了學校之外,住家本身的網路應該也備受考驗。正常的情況下,大部分的人並沒有考慮到家裡的設施。就像企業需要員工在家上班,應該都不會徵詢員工家裡的基礎建設狀況。
- 職場監視的範圍
雖然,有些國家允許對員工的工作活動進行監督,但是在司法上存在許多實務限制。例如,要求僱主在監控雇員之前,必須徵得使用者的同意。而在家上班,到底算不算工作場所? 為了辦公使用自己的設備,應該受到監控? 職場監視在這樣的情境下適用嗎?
- 傳統的固定規則
我們都知道存取控制規則,應授予使用者最少最小可完成工作的必要存取權;限制使用者在複製或儲存資料方面活動行為。例如,網路存取控制技術,有助於限制對使用者、設備和應用程式的存取控制,使被授權員工才能與指定的資料進行存取,等等。當我們可以分辨信任區域,信任使用者,信任裝置的前提下;固定規則判斷什麼可以,甚麼不行,規則清楚分明。
但企業在疫情下面臨應變趨勢:機動工作、遠距工作的員工突然增加,和雲端服務的廣泛採用,使得傳統的外圍界線已不容易區分和防守。同樣,網路活動的"好"與"壞"就變得模糊不清;靜態規則就無法正確的適用在這種變化的環境。
- Endpoint防護扮演的角色
對員工在家的工作環境,基礎建設或設施,組織能夠提供協助有限,強制力也無法落實。遠距工作的地點也可能有變化,存在著不同的運作差異。原本在組織內部署的資安防護,可能大部分都不適用。歸結下來,最有效的控制就在端點本身,不論身處任何地方,
-- 部署在端點上控制機制永遠有效。
參考NIST 的指南:Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security (NIST 800-46r2) 其中的部份建議,遠端工作時
- 不需要工作時,請關閉網絡功能(例如藍牙)。
- 打開個人防火牆(如果有)。
- 在存取企業網絡之前,要求多因子驗證。
- 限制設備上允許的其他應用程序。
很明顯的都需要在端點設備上部署防護方案,對應上述建議而運用防護功能如下
- 控管裝置連線:VPN 連線到公司時,禁止其他連線,禁止連接裝置
- 禁止未經授權的程序(使用者、系統)或應用程式發起連線
- 多因子驗證,及存取控制
- 應用程式控管及白名單機制,防止未經授權或不明的程式執行
自動切換資安政策,IT反應更迅速
這是資安管理上的一個哲學(不是技術)挑戰,何時該允許檔案被分享或傳送?什麼時候應該禁止?靜態政策通常以固定True / False 判斷允許或拒絕,但我們的工作不會這麼單純。很多組織採取分流措施,A/B組輪流到辦公室上班,其餘在家工作。除了以人的角色為主的安全政策外,也因應上班位置、時間自動切換政策。為了解決靜態規則無法適當應對變動的環境,主動適應政策根據不同環境條件,建立不同對應行動計畫,可簡化團隊管理複雜度,並減低對使用者工作的干擾。
主動適應切換條件考量
- 遠距工作
遠距工作者所使用的裝置,可能是公司的受控設備,也可能自攜帶裝置。工作的場所也可能是咖啡廳、自宅,所面臨的風險不一。依照工作形式切換必要的管理政策,防止不當連線或資源存取。- 以公司裝置利用VPN 存取公司的服務
- 以自用裝置RDP 連入公司裝置
- 以公司裝置RDP 到另一台公司裝置
- 所在地理區
不同國家、地區因基礎建設完善度不一,可能安全性不足等顧慮。 - 跨廠區工作
配合當地的安全管理政策。 - 應用程式執行或連線至重要網站時
當指定應用程式被執行,或連結公司內部敏感站台時,安全層級對應調整。 - 使用者自決(User Override)
部分事件可由使用者自行決定放寬,變更後系統依據條件學習並自動處置。 - 管理者(主管)核准
除使用者自決外,部分事件變更須經過管理人員核准。 - 威脅等級變化
威脅等級升高,關閉部分功能,甚至凍結防止事態擴大。
結論
目前疫情尚未明朗,依賴遠端工作的環境可能會成為常態。通過識別遠距工作及威脅環境變更,主動適應性政策,自動應對威脅等級,並採取必要的行動。組織將處於更有利、更具主動積極防禦的位置,從而維持業務連續保持競爭力。