新冠肺炎疫情的背景下,许多企业不得不实施“居家办公”的工作策略。Jim Fitzsimmons为您解读 “远程办公” 模式可能带来的网络安全风险。
受新冠疫情的影响,全球各地的企业与机构不得不采取“居家办公”模式。同时,这种新工作模式也带来诸多挑战,包括工作效率降低、社交隔绝及如何处理工作与生活边界模糊的复杂情况。
因为居家办公的工作模式更有赖于移动端的数字消费文化,而非传统的企业通讯模式,所以企业和员工在努力调整自我以逐步适应这些情况。许多企业会采用基于云端的生产力工具,比如微软Office365 云端办公方案等。在适应的过程中,企业也开始担忧远程办公的整体网络安全性。
长久以来,企业的网络安全都依靠“外围型”安全保护模式:通过隔离外部访问来保障信息和电脑的安全。即电脑可以与“外部”相连接,但原则上不允许外部接入企业内部网络。然而在居家办公的环境中,每个人都身处“外部”的环境。旧的安全模式就难以适用于新的移动办公环境。
在疫情下,企业面临着“员工在家办公、通过手机软件沟通与合作、共享数据和进行视频会议”的工作模式,并对其中的网络安全风险缺乏认知。问题是,居家办公时的网络安全风险会更高吗?
网络攻击者
要了解居家办公的风险,首要是认识各种威胁及其中涉及的参与者。
对企业而言,只针对特定组织、目的明确且实力雄厚的攻击者是最严峻的威胁。比如,国家层面往往会拥有黑客人才、软件开发能力及开展复杂间谍活动的资金。与此同时,或出于贩卖目的,或由其他组织指派来窃取信息的经验老道的网络罪犯,也几乎拥有同样的资源和能力。
这些攻击者会仔细研究其攻击目标,并花费大量资源以达到他们的目的,所以他们的目标企业员工是否在家办公无关紧要,这仅仅是他们策划网络攻击的其中一个因素。[ihc-hide-content ihc_mb_type=”show” ihc_mb_who=”1″ ihc_mb_template=”2″ ]
但并不是每个公司都具有足够吸引的资产或价值,值得这些网络攻击者投入时间和精力。其实,网络攻击者中大部分属于投机型,他们的动机纯粹是为了金钱。这些网络犯罪分子利用完备的工具和策略来勒索或转移钱财,用投机手段寻找目标,然后投入资源以获得信息访问权限。
一些攻击者将精力集中于监视通信内容,并等待转移款项的时机。另一些攻击者则用勒索软件感染系统,并在发动金钱勒索的攻击前确保勒索软件已经就位。
因为企业进行通讯、审阅、批准和监督这些工作流程时,都需要时间以适应新的工作模式,所以在分散且远程工作的员工群体中,这些以欺诈为主的攻击者看到了更便利的新机遇。
但另一方面,由于员工远程工作而带来地理和IT 上的隔离,勒索软件攻击者某种程度上也会受到阻碍。当攻击者无法侵入更多的电脑时,勒索软件变成个别电脑使用者的网络安全管理问题,而不是十分有利可图的勒索机会 ( 但当远程工作者使用虚拟私人网络[VPN] 连接数据中心时,仍需警惕此类风险)。
最后,一些个人和组织通过窃取特定目标的信息,使其难堪,引发大众关注以达到他们背后的目的。这类攻击者动机明确,甚至有时技巧高超,但他们往往缺乏资源。与其他目的明确的攻击者一样,攻击目标所在的地理位置仅为其中一个需要克服的挑战,而非他们进行攻击与否的决定因素。
考虑风险
所谓风险,可以定义为意外发生的可能性及该意外对公司和企业的影响。而安保是消减这些风险因素的一种做法。具体到居家办公而言,问题不是“家庭网络环境是否安全”,而是“在家办公是否会一定程度增加网络风险”。
对于每个企业,上述问题的答案都不尽相同。在评估攻击者、威胁和随之而来的风险时,企业应知晓自己拥有哪些可能会招致风险的资产(比如信息数据或资金渠道),以及哪些攻击者可能将其视为目标。一些企业可能持有可变现的敏感信息,而另一些则可能易遭勒索软件的勒索。
有一点是明确的,即在家工作本身不会显著增加风险。因为无论目标身处何处,动机明确的攻击者都会找上门来。投机型攻击者可能会通过远程工作环境找到其他攻击途径,但他们访问其他系统的能力也可能受到限制。
管理风险
员工在家工作也许不会大幅增加企业的网络安全风险,但可能会在一定程度上改变这些风险的呈现形式。特别是对IT 工作者而言,工作环境突然转向住所可能会扰乱他们既定的网络安全程序和实践。
这不是应用程序、在线服务或操作系统的软件是否存在漏洞的问题,而是这些漏洞何时能被发现的问题。因为大多数网络攻击者都会利用已知或者未知的漏洞来破坏系统。
电脑和手机的操作系统、控制电脑硬件的固件、消费者和企业的网络设备、应用程序、在线服务等均存在漏洞。所以无论人们在哪里工作,围绕系统漏洞存在的网络安全风险已成为现代生活的常态。
网络钓鱼
大多数现代网络攻击行为都会绕过外围和防火墙,并集中攻击用户及其电脑等电子设备。从这个角度来说,用户的地理位置并不重要。
最常见的网络攻击手段是钓鱼邮件,用户打开电子邮件或者点击链接,攻击者就可能会对电脑已知或未知漏洞进行入侵。大多数企业都向员工分配了电脑,并从配置方式上一定程度减轻了钓鱼风险,包括在邮件系统内设置配套安全保障措施。
而手机和工作使用的电脑具有相似的漏洞。其实考虑到手机记录了丰富的个人和企业信息,手机甚至可能比常规电脑更有攻击价值。而且针对手机的网络钓鱼可能会通过通讯软件进行,从而绕过电子邮件的安全屏障。
与其他攻击手段相比,网络钓鱼十分奏效。尽管投机者的群发钓鱼邮件容易被识别,但精明的攻击者仍可以研究和锁定特定的目标人群,通过个性化消息成功地吸引目标,并获得对其电脑或其他设备的访问权限。
其实无论是居家还是身处办公室,这些钓鱼邮件对于公司配发的电脑和设备都有效,人们具有同等的可能性掉入网络钓鱼陷阱。
家庭WI-FI安全
尽管家庭无线网络(Wi-Fi)通常安全性较差,但对于大多数潜在被攻击者而言,这不是个严重的问题。如果攻击家庭无线网络,攻击者需要冒着潜在的风险,并且付出大量精力。攻击者需要锁定目标住所,在附近住户中识别出目标使用的网络(这是不小的工作量),实行网络入侵,找到目标电脑然后尝试进行破坏。尽管如此,投机型攻击者还是有可能找到可连接并破坏的设备,这种威胁一直都存在。
在线会议
工作模式的急剧转变,以及对有效沟通的需求,使视频会议技术得到了企业的广泛采用。用户使用视频会议的经验推动了企业沟通方式的快速变化,也让企业关注视频软件的易用性,以及其是否支持与大型用户组的共享会话。
伴随着一些以用户为中心的视频会议工具迅速推出,互联网“挑衅”(internet troll)文化也在这些平台上出现。举例而言,共享对话平台Zoom 即成为“Zoom 炸弹”攻击目标。这些炸弹客通常会在安全系数较低的会议中不请自来,并将会议打断。这类事件的激增提高了服务提供商和用户的安全意识,也让用户开始重视管理参会人员,以及参会者在会议中的活动权限。
管理“Zoom 炸弹”的风险相对简单,但企业对于通过网络传输的数据、视频和音频通信等隐私的担忧却难以消散。不过,通常只有目的明确并且老练的黑客才有相应的技能和资源,对数据传输过程的视频会议进行拦截和解密。
除获取传输中会话的可能性外,人们对在线会议整体服务的安全性也有进一步的担忧。诸如Zoom 和Microsoft Team 之类的工具,它们的架构形式是使各个客户端与中央服务器建立连接,然后由中央服务器管理与多个用户的会话。
值得注意的是,只有用户设备和中央服务器之间的数据传输可以得到保护。这意味着,如果服务提供商受到入侵,攻击者就有可能窃听这些共享会话。这样的攻击屡见不鲜,并且具有政府背景的入侵者和老练的网络犯罪分子越来越多地将目标对准在线服务提供商。
这并非是居家办公带来的新风险,而是技术变化应运而生的结果。随着信息和业务流程转移到云端,攻击者也相应地调整了他们的策略。通过使用这些云端服务,公司也随之有意识或无意识地接受了这样的风险。
大多数情况下,尤其是对顶级服务提供商而言,其网络安全实践会强过大多数独立公司。网络安全风险已伴随着信息从数据中心转移到了云端。
办公室和/或数据中心
尽管员工可能在远程办公,但是企业内部办公网络和数据中心仍在原地。攻击者会寻找能够使他们获得广泛而不受限制的数据中心系统访问权限的人员,即攻击对系统和信息拥有访问特权的系统管理员。
攻击者会将系统管理员作为目标,盗用他们远程访问系统和信息数据的权限,或者窃取允许这类访问的证书。因为不同系统管理员账户和活动的安保形式不同,相对应的攻击或简单或复杂。所以关键因素是攻击者的动机和能力。无论对于投机型欺诈者,还是强大的具有政府背景的攻击者,攻击的要点是获得对系统的访问特权。
理解风险
总体而言,外围安全模型和防火墙“内部”和“外部”风险有别的旧概念即将终结。新冠肺炎的爆发推动了居家办公模式的迅速发展,但这一趋势作为企业IT 向云端过渡的大趋势的一部分早已存在。
“居家工作”代表着技术和企业IT 操作范式的重大变化。因此,随着外围型安全模型的终结和云端技术的兴起,企业需要相应地调整其风险管理的方法。
攻击者始终专注于用户和信息,并已在必要时调整了其策略,公司也必须同样反应迅速。新的安全模型应侧重于用户和信息,这不仅有助于居家工作,更有助于员工在任何地方工作。[/ihc-hide-content]
Jim Fitzsimmons 担任化险集团网络咨询总监。化险集团是一家全球风险管控顾问公司,专注于管控政治、安全和诚信风险。
