每一次波及全社会的重大事件,都会对某些行业产生革命性的影响。
17年前的非典疫情,推动了电商、网络游戏的爆发式发展,催生了京东、盛大等行业巨头。而今年春节前后的新冠肺炎疫情,几乎在一夜之间,让国内每个人的生活和工作方式都迎来一场巨变,远程办公就是其中之一。
在全球范围,尤其是刚刚结束的美国旧金山RSAC大会上,远程办公这个热门话题也引起了业界的关注和热议。比如,知名身份认证厂商Auth0的CISO兼运营副总裁琼。佩平(JoanPepin)女士在接受采访时表示,将允许员工居家远程办公。同时,和远程办公安全紧密关联的零信任,成为RSAC2020热度增长最快的热词之一。
关注度激增663%霸榜下载榜远程办公爆发提前了5年
事实上,在欧美国家,特别是美国,远程办公早就已经是一种普遍存在的工作模式。据前瞻产业研究院的研究显示,截至2017年,美国超过八成企业引入了远程办公制度,已有3000万人在家中远程办公,占美国工作人口的16%-19%。数据显示,至2017年,全世界已有24%的公司尤其是科技公司采用远程办公方式;到2020年,大约50%的科技公司将会有约29%的员工实现远程办公。
疫情之后的复工潮,使得国内远程办公热度激增。根据某搜索引擎的大数据显示,复工30天内远程办公需求环比上涨663%。
在AppStore免费应用排行榜上,钉钉长期霸榜,腾讯会议、企业微信也位居前几位。据估计,全国至少有超过2亿人进入了远程办公模式,除日常工作协同沟通、视频会议等基本功能外,还有远程签约、远程开发、远程运维、远程客服、远程教学、企业在线直播等更复杂丰富的应用。
有观点认为,虽然说国内目前的大规模远程办公是新型冠状病毒肺炎驱动的一次黑天鹅事件,但事实上远程办公原本就已经成为一种必然的发展趋势,只是因为疫情的爆发,让这种趋势提前到来。蓝信移动CEO路轶认为,“从市场数据分析来看,可以说移动办公普及进度至少提前了三到五年。”可以这么认为,远程办公不应被看作特殊时期的一种特殊的办公形式,而应该将其作为面向未来工作模式的一种常态。
远程办公普及或致网络安全威胁两年内激增
便利性和安全性,往往是一对矛盾,远程办公也不例外。远程办公需求的爆发式增长,一方面为稳定社会经济发挥了重要作用,同时也给信息化系统带来巨大的安全挑战:
为了确保移动办公的运行和效率,传统办公网络的边界被彻底打破,各单位不得不让大量没有安全保障的设备,通过各种网络,任其接入原本戒备森严的内部信息系统,由此引发的安全风险也呈几何级剧增,有可能导致灾难性后果,保障远程办公的网络安全成为当前最迫切的任务。“这就像没带防护装备就紧急出发的消防队员,赤手空拳暴露在冲天大火中”,一位RSA与会专家说道。
奇安信安全专家张泽洲表示,远程办公迅速普及,但因为研发时间过短,网络安全却成为被严重忽视的一面,网络安全规划及措施严重滞后。这就带来了全新的安全风险,主要表现在三个方面:
首先是网络暴露面的增加。为了支撑远程办公,更多的业务系统需要对互联网开放,无论是通过端口映射将业务系统直接开放公网访问,还是使用VPN打通远程网络通道,都是对原本脆弱的网络边界打上了更多的洞,敏锐的攻击者一定不会放过这些暴露面。
其次是接入网络的人员、设备、系统的多样性呈指数型增加。远程办公模式允许员工、外包人员、合作伙伴等各类人员,使用家用PC、个人移动终端,从全国各地全天候的远程访问业务。参差不齐的终端接入设备和系统,具有极大的不确定性,各种接入人员的身份和权限管理混乱,这些都会给企业网络带来了极大风险。
最后是数据流动的复杂性。企业的业务数据在复杂的人员、设备、系统之间频繁流动起来,原本只能存放于企业数据中心的数据不得不面临在员工个人终端的留存,企业数据和个人数据甚至混在一起,企业数据的机密性难以确保,数据泄露和滥用风险大幅增加。
可见,远程办公的复杂性导致企业已经不存在单一的、易识别的、明确的安全边界,或者说,企业的安全边界已经被瓦解,传统解决方案难以应对。尤其是近年来外部攻击的规模、手段、目标等都在演化,有组织的、攻击武器化、以数据及业务为攻击目标的高级持续攻击屡见不鲜,可以说企业的网络安全边界原本就已经很脆弱,远程办公让这种脆弱性雪上加霜。
张泽洲分析认为,按照目前远程办公的井喷式增长趋势,未来1-2年,将是企业网络安全事件的集中爆发期,如果不及时采取对应的安全措施,损失将不可估量。就拿刚刚不久前的微盟删库事件为例,一个员工的不当操作,就使得市值100多亿港币的公司,三天内市值蒸发超过30亿港币,缩水近1/4。
远程办公常态化趋势下的安全思考
针对远程办公常态化的趋势和其面临的安全挑战,安全界应该结构化的思考和应对,奇安信安全团队提供了如下建议:
常态化思维审视远程办公安全
国内目前大规模的远程办公,导致网络威胁加剧,导致传统的边界安全体系失效,但业界应该清晰的意识到,这些安全挑战一直就存在,并非远程办公导致了这些安全调整,而是因为安全架构没有及时跟上节奏,远程办公只是把这些问题放大了而已。
事实上,数字化转型推动着云、大、物、移、智等新技术的采用,早就已经埋下了边界瓦解的种子,业界应该直面这种趋势,把远程办公看成是现代企业业务的一个有机组成部分,作为一种常态,企业“边界”之外的人、设备、系统接入网络也是不可逆转的趋势,企业的业务和数据走出“边界”上云也是信息技术发展的必然。
基于常态化思维,审视现有的安全架构,将远程办公作为企业数字化转型的一个业务场景,避免将远程办公作为一个单点进行加固,而是应该针对企业不得不面临的新型IT环境进行安全构建。
基于零信任架构进行安全革新
远程办公常态化,或者说网络的无边界时代,应该假设系统一定有未被发现的漏洞、一定有已发现但仍未修补的漏洞、假设系统已经被渗透、假设内部人员不可靠,这“四个假设”就彻底推翻了传统网络安全通过隔离、修边界的技术方法,彻底推翻了边界安全架构下对“信任”的假设和滥用,基于边界的网络安全架构和解决方案已经难以应对如今的网络威胁。
面对越来越复杂严峻的网络安全形式,零信任架构应运而生。零信任安全体系认为默认情况下不应该信任网络内部和外部的任何人/设备/系统,需要基于认证和授权重构访问控制的信任基础。零信任对访问控制进行了范式上的颠覆,其本质是以身份为基石的动态可信访问控制,是一种网络/数据安全的端到端方法,关注身份、凭证、访问管理、运营、终端、主机环境和互联的基础设施。
近几年,零信任越来越受到业界的认可,Google、微软、亚马逊众多领导厂商都大力推动零信任的应用。2018年网络巨头思科不惜斥资23.8亿元收购身份安全厂商DUO。无独有偶,2018年奇安信提出了“安全从0开始”并在国内率先推出了零信任安全整体解决方案,把国内零信任的这股风也吹了起来。
到2019年,RSAC上主打零信任的厂商就逐渐开始增多,大致有39家,NIST也推出了《零信任架构》标准草案,美国国防创新委员会DIB发布的《零信任架构建议》白皮书中更是直接建议美国国防部应将零信任实施列为最高优先事项。
而到2020年,RSAC上打着零信任标签的厂商就已经有91家之多,是去年的两倍以上,零信任也因此成为了RSAC2020热度增长最快的热词之一。
结合国内的政企客户实践,奇安信赋予了零信任架构四大关键能力:以身份为基石、业务安全访问、持续信任评估和动态访问控制,最终在访问主体和访问客体之间建立一种动态的信任关系,并基于信任关系赋予动态的访问权限,其本质是以身份为基石的动态访问控制。
奇安信认为,在远程办公常态化的时代,应该基于零信任对安全架构进行革新,基于零信任构建内外网一体的业务访问平台,在人员、设备和业务之间构建一张虚拟的基于身份的逻辑边界。同时针对核心业务和数据资产,梳理访问这些资产的各种访问路径和场景,针对各种场景构建一体化的零信任动态访问控制体系,并逐渐演进为“一个中心”+“五张过滤网”的整体安全体系。(“一个中心”指的是安全运营中心,“五张滤网”指的是网络、身份、应用、数据和行为五张滤网。)
加强员工安全教育和培训
远程办公的安全,离不开加强员工的安全教育和培训。今年RSAC大会的主题是“人的因素”,事实上,任何时候,人永远是安全必不可少的因素,奇安信在几年前也曾提出过“人是安全的尺度”的思想。远程办公场景下,员工面临的网络风险和现场办公存在较大的差异,员工现有安全意识和远程办公的安全现状之间会出现鸿沟,并且由于办公场所的变更,员工的安全意识会出现一定程度的弱化。
因此,奇安信认为,需要针对性的加强员工安全教育和培训,帮助员工了解他们可能无意间引入企业的安全风险,并对场景风险的缓解和处置方式进行培训,降低由于缺乏意识或无意之间的意识弱化导致的安全风险。
远程办公和安全建设需同步规划、同步推进
“网络安全和信息化相辅相成,安全是发展的前提,发展是安全的保障,安全和发展要同步推进。”对于迅速崛起的远程办公更是如此。“面对已经提前到来的远程办公浪潮,对于每一个企业主,都需要汲取过去信息化和安全相互独立并行的教训,而是在战略规划之初,就将两者同步考虑和部署下去,只有这样,才能让企业把握住远程办公的浪潮,实现安全、平稳的数字化、移动化转型和升级。”张泽洲谈到。 |
