經過一年多來新冠肺炎(COVID-19)疫情持續籠罩,全球工作者逐漸習慣遠距辦公新模式,各產業乃至於政府組織皆難以迴避遠距辦公的趨勢,紛紛研擬實施方案,讓員工透過私人電腦或配發筆電,以VPN連線進入公司內網,即使不在辦公室也可執行日常工作任務。安全性方面,正可參考近年來資安界提倡的零信任(Zero Trust)架構框架調整資安管理辦法,以應對未來混合工作環境。
思科近期最新發布的《未來工作力研究報告》調查報告中顯示,新冠疫情爆發之前,台灣居家辦公人數僅有7%;如今則有68%受訪者認為,即便團隊成員非定點式辦公也能保持工作效率,甚至高達71%希望將來能繼續維持疫情期間所享有的工作自主性。
為了更了解企業實施遠距辦公所遇到的資安風險,思科委託市調機構YouGov針對全球21個市場的3,196名IT決策者進行調查,提出《未來安全遠端工作報告》。該報告統計,54%台灣企業認為安全存取管理是資安最大的挑戰;50%的企業則擔心使用者在驗證身分時洩漏資訊;49%企業擔心遭受惡意軟體攻擊。
由此來看,重新檢視新型態工作流程的資安風險已是當務之急,控管措施應改採零信任原則,凡事必須通過驗證才套用最小權限存取關鍵應用系統與機敏資料,藉此降低攻擊者利用漏洞發動攻擊造成的損害。
重新檢視新常態工作模式風險
自從COVID-19疫情開始蔓延後緊急實施居家辦公,企業重新評估遠端存取的連線、工作流程以及存取管理的風險,也加速了雲端轉型的速度。Thales大中華區資深技術顧問陳昶旭觀察,企業為了方便員工居家辦公的協同工作,以往要求員工必須在內網才能存取的服務或資源,疫情期間緊急開放允許從外部直接連線存取。如此一來,勢必得重新評估工作流程中潛在的風險,讓員工能在方便性與安全性兼顧的狀況下居家辦公。
美國國家標準暨技術研究院(NIST)特別發布800-207文件說明零信任架構,把傳統的內部網路控管環境切分為Control Plane與Data Plane,不論任何的存取行為,政策引擎可依據發起端的運行環境執行Enforcement,經過驗證登入與配發允許存取的權限,並且以SIEM平台持續監看各種行為模式。
CyberArk亞太區技術總監霍超文觀察到全球各產業都面臨到遠端工作安全風險,外部威脅通常攻其不備,如今遠端工作模式興起,為攻擊者帶來前所未有的機會。他進一步說明,既有辦公室環境常已設置多層式防禦體系,攻擊者大多僅能發動釣魚郵件繞過防線,然而現在因應疫情實施遠端辦公,多數工作者是採用私人電腦安裝VPN軟體連線進入公司內部存取應用系統,只要一名員工家裡電腦遭病毒感染,極可能成為跳板滲透進入內網,讓多年來墊高攻擊門檻的邊界防禦無法發揮效果。
過去企業投資建置的防禦措施主要在鞏固邊界,如今遠端辦公成為常態,應用系統加速採用SaaS或雲端服務來提供,少數無法遷移的應用系統,才基於零信任存取模式連線回到企業內部存取。霍超文指出,隨著工作模式的轉變,企業用戶的思維變得較容易接受新世代方案,以即時(Just in Time)存取機制為例,過去普遍認為實用性不高,在遠端辦公模式中卻可凸顯出零信任控管優勢,讓用戶僅在需要存取特權帳號與資源時擁有特權,平時則無權存取。
以既有架構為基礎逐步調整政策配置
陳昶旭以自家Thales為例,以往員工必須透過VPN連線回到總部才可上網際網路查詢資料,在疫情剛爆發時,Thales開始允許公司配發的筆電可直接上網際網路、收發郵件,若需要存取內部關鍵應用系統或雲端服務,才須採用VPN連線登入接取。「其實NIST 800-207提出的零信任準則中提到,若應用系統並非部署在企業內部,建議讓員工直接存取,無須再以VPN連線回到內部網路,減少攻擊者可利用來滲透進入內部網路的管道。」
企業IT架構設計以內部網路為統一連線進出口的目的是為了安全控管,如今雲端SaaS服務皆為公開的登入網頁,只要攻擊者竊得帳密即可合法登入,僅要求員工透過VPN連線來存取SaaS服務的控管效益其實很有限。正確的做法是搭配可針對雲端服務控管能力的身分識別與存取管理(IAM)服務,才能保障正確的員工、擁有正確的權利、允許存取正確的資源,減少攻擊者可趁之機。
參考來源:
來源一:
來源二:
