自COVID-19危機爆發以來,遠端工作可能是未來新的工作常態,即使員工將來可能會回到疫情大流行前的生活。部分人因為防疫而在家工作,部分辦公室可能因為人數與空間效率考量,朝向比以往更加偏遠地區改租。同時也發現居家異地辦公,可能會節省空間和通勤成本、提高生產率和提高員工滿意度等好處。
雖然是因為大流行而在被迫異地工作,但即使公共防疫限制取消或緩和下來,他們仍然寧願繼續遠端工作。但這種轉變也帶來了與硬體、軟體和網路連接等相關挑戰。除了Zoom、Teams 等這類視訊會議工具可以讓團隊面對面會議,許多協同作業和溝通方案也都會依賴於高性能的網路。
來自遠端工作的內部威脅
異地遠端工作不太可能很快消失,基於場地設備限制,在異地辦公的環境中,並非可以輕易達成資安上的要求。這些軟硬體設施也成為IT管理,資安管理上最難顧全的一環。過往在傳統上,傾向投資網路基礎建設,注重邊境防禦等,實務建置偏向企業網路安全。這時候關注的內部威脅可以比較明白的劃分,威脅可能來自心懷不滿的員工,企圖擾亂運營;取得客戶資料以獲得利益的員工,或者忽視公司政策的粗心同事。當端點及移動用戶不在辦公現場時,這個問題就變得複雜多了,因為我們須要防衛的insider threats 分散在世界各地。
從技術上來說,內部威脅是內部人員利用其被授予的存取權限,或者是利用對組織專業領域的理解來破壞或損害業務。內部人員不僅僅限於員工,他們可以是有權存取內部的系統或資訊的人。這可能包括前僱員、承包商、供應商甚至董事會成員。即使是與異地遠端工作員工同住的家庭成員,也有可能看到或存取他們不應該看到系統。
內部威脅防禦
當涉及內部威脅時,防禦目標必須包含嚇阻、偵測和阻斷。嚇阻始於為所有員工、承包商和其他被授權人員制定明確的政策和安全意識訓練,在內部和外部建立保護性安全措施。與此同時,異地遠距工作的員工更有可能在使用的裝置上,混合使用個人事務和工作專業;從而將組織敏感資訊置於風險之中,面臨潛在的隱私洩漏或員工監管違規行為。因此組織需要密切管理,種存取,優先考慮端點上的活動監視控管與連接裝置控管,而非僅僅考量網路安全。
引用 IBM 最新內部威脅成本報告中,調查的 4,716 起內部威脅案例中,員工疏忽這個因素佔其中 2,962 起。簡之,公司不能依賴員工自行決定他們的網路安全措施。相反的,他們需要為工作的端點做好安全準備。應該使用員工活動監控、內部威脅檢測和其他系統來執行這些安全規則,以保持與現企業環境內相同的安全防護等級。
異地工作適用端點零信任方案
要能夠將安全防護措施適用到各種Work From Home, Remote Workforce, 或是 Distributed Workforce,由於地點不一,使用裝置也沒辦法在中央監控之下,端點安全防護方案要比網路安全方案來的適合。在端點上可以強固的遵循公司的安全規則,在零信任架構之下涵蓋這幾個方面:
使用者活動監視
與網路行為監視相比,端點的活動監視更貼近人的實際行為。所獲的稽核記錄軌跡,也具備較好的資訊內容清晰度。在網路端看到的是封包活動交易事件,不容易還原成人的實際操作活動,還可能受限於所支援的通信協定。在端點上,不論是網頁瀏覽,檔案的使用活動歷程,軟體的執行,通訊軟體的操作傳輸等,都可以有效保留記錄證據,甚至保留實體檔案證據。
端點裝置控管
由於端點上可以連接各式裝置,須確保限制使用信任的裝置。封鎖所有可用外接裝置可能是方案之一,但會嚴重危害業務運作。而現今的端點的連接裝置具備各種生產力所需的功能,不能為了資安防護而妨礙工作。套用零信任裝置的概念,組織可以註冊認可的信任裝置納入白名單;其他裝置則阻擋存取。信任的裝置則加以限制存取控制,例如讀、寫、記錄與備份的控制;一方面保護了端點不會造成洩漏的破口,一方面也顧及了工作需求。
應用程式控管
除了傳統以黑名單方式控管應用程式的執行,白名單機制能夠更有效的落實零信任,除了被核准清單之外,一律不允許執行;阻擋不想要的應用程式,不預期的程式被執行,可以有效降低被勒索或惡意利用的攻擊風險。組織也可能會基於軟體授權的因素,管制使用者在端點上安裝、執行軟體。
動態適應政策
靜態政策通常以True / False 決定允許或拒絕,但現實世界的工作不會這麼單純。很多組織採取分流A/B組輪流到辦公室上班。除了以人的角色為主的安全政策外,因應上班位置、上班時間判斷自動切換政策。為了解決靜態規則無法應對變動的環境,主動適應政策根據不同環境條件,建立不同對應行動計畫;可簡化團隊管理複雜度,並減低對使用者工作的干擾。