安全团队为远程工作快速发展做好准备了吗?

由于新型冠状病毒在全球各国的迅速传播，许多公司开始鼓励员工在家工作，以确保员工的健康。如果不采取预防措施，为保护人们免受病毒感染所做的正确转变也可能使企业遭受网络攻击。

从科技巨头到初创企业，各种企业都在采取远程工作的方式，以在不中断日常运营的情况下阻止疾病传播。微软、谷歌、Facebook和苹果等公司都在敦促员工在可能的情况下在家工作。随着世界各地的公司迅速实施在家远程办公的政策，并且取消了会议，谷歌公司和思科等多家科技公司已开始免费提供其协作工具。

思科公司安全业务副总裁兼首席技术官Bret Hartman说：“不幸的是，新型冠状病毒的传播正迫使世界各地的许多员工进行远程工作。虽然十分必要，但这种新的工作场所灵活性正在给IT和安全团队带来突然的压力，尤其是在需求激增以及现有保护措施的能力不足的情况下。”他指出，30%以上的全球性企业已要求思科公司帮助扩展远程工作，而且该公司在日本、新加坡和韩国的Webex平台上花费了大量时间。

Optiv Security公司全球执行服务总监Craig LaCava表示，随着企业采用远程工作的方式，安全管理人员现在已将这个问题放在首位。他说：“大多数首席信息安全官都在考虑这个问题，并向高管人员介绍情况，只是为最坏的情况做准备。问题在于并不是每个人都拥有适当的设备、流程和基础设施来支持完全远程的工作。”

远程工作从根本上改变了工作动态，特别是对于习惯于每天在一起工作的团队而言。从企业办公室转移到家庭时，被迫改变其行为的人们可能会面临效率低下、沟通挑战和其他意外障碍。而意外的环境变化可能会引发安全风险。

快速增长的攻击面

GitLab公司远程负责人Darren Murph将这种趋势称为“危机驱动的远程工作”，他说这种趋势与有意采取远程工作方式“完全不同”。现在，员工不得不在家远程工作，却没有获得任何准备、警告或文档化的流程。他解释说：“并不是每个人都将远程工作作为第二天性来适应。”

专家们一致认为，随着越来越多的组织采用员工在家办公的政策，网络攻击面将会扩大。以往员工开展远程工作，在从客厅和咖啡店办公时，他们可能正在使用智能手机、笔记本电脑和平板电脑通过不安全的网络发送业务数据。那些喜欢在家工作的员工可能会在不考虑风险的情况下向他们传输关键数据;那些为了改变环境而访问其他工作区的员工可能会使他们的设备处在无人看管的状态。

Armis公司首席信息安全官Curtis Simpson解释说：“越来越多的家庭设备开始联网，灯泡、冰箱、、自行车甚至扫地机器人等消费类物联网设备的生产和应用都没有考虑到安全性。如果将企业的数据资产与这些设备置于相同的Wi-Fi网络上，将为网络攻击者的攻击提供了新的切入点。而那些无法控制员工家庭网络的企业对这些外部挑战没有做好准备。”

在思科公司发布的“2020首席信息安全官基准报告”中，超过一半(52%)的受访者表示，移动设备在安全防御方面面临“非常”或“极度”的挑战。Duo Security公司发布的一份调查报告表明，访问受保护应用程序的请求中有45%来自企业外部。思科的Hartman说，“拥有越来越多的远程员工的组织必须对不同类型的用户提供支持，其中包括承包商、第三方供应商和连接到公司网络的远程员工。”

随着员工将企业设备连接到不安全的网络上，他们还面临着网络犯罪分子用和冠状病毒相关的恶意软件诱骗他们的网络钓鱼攻击。网络攻击者通过恶意软件家族(包括Emotet和多个RAT变种)发送以冠状病毒为主题的诱饵。

安全团队的期望

IT和安全团队面临的主要挑战是如何为员工提供可以带回家安全工作的公司设备。CI Security公司战略执行官、西雅图儿童医院的前首席信息官Drex DeFord强烈建议企业的安全团队花费一些时间来确保正确配置设备。他说：“在危机中，我们倾向于走捷径。急于安装和部署设备的安全专业人员可能会忽略隐患，往往是简单的错误配置意外地让数据暴露在互联网上。”

DeFord说：“对于高级医疗保健主管以及一般的主管来说，最大的信息就是密切关注企业的团队，而在IT方面，一切都紧密相连，其中包括企业的合作伙伴和第三方供应商。”

GitLab公司高级安全工程师Mark Loveless表示，如果员工忽视了工作场所以外的办公习惯，信息安全团队可能会面临更多挑战。

Loveless解释说，“员工在自己的家里工作可能感到更安全，有一种让人放松警惕的倾向，因此任何不良的计算机使用习惯可能会转化为对工作任务的不安全行为。最大的挑战是在家里提醒并积极强化那些良好的安全习惯。”他指出，大多数不良习惯和他们在家庭中引入的问题都不是主要问题，但其中一些可以累加起来并扩大攻击面。

Loveless补充道，在家工作的员工可能没有他们在工作时拥有的防火墙、基于网络的入侵检测和其他办公室防御系统。他们可能采用工作设备访问具有风险的网站，从而添加更多的攻击向量。

Armis公司的Simpson补充说，首席信息安全官应当假定网络攻击者以比平常更快的速度锁定目标，因为他们知道其活动将隐藏在大量的远程流量中。员工也可能会丢失其凭据，或者不小心在公共Wi-Fi上共享。如果网络攻击者拥有它们并登录到业务应用程序，则安全团队将很难确定不适当的访问权限。

Optiv Security公司的LaCava说：“如果企业办公室关闭并且处于紧急状态，信息安全管理团队可能会遇到各种各样的事情。例如哪些不正常以及如何处理?”

现在可以采取的措施

GitLab公司的Murph和Loveless都认为文档安全至关重要。Murph解释说：“拥有单一的真相来源至关重要。”分布式安全团队将花费大量时间来执行访问请求和处理警报。如果他们无权访问相同的文档以解决问题，则不能保证组织的安全。Murph还建议使用一个公共安全通道，远程工作的员工可以在这个通道上进行实时通信。

Loveless说，GitLab公司的手册以及其安全策略都是公开的，它鼓励积极更新以提高安全性和生产率。Loveless还建议安全团队提供针对安全人员和远程工作人员的培训材料，以便员工知道在遇到安全事件时该怎么办以及期望做什么。如果这样做，员工应该知道共享面临的安全威胁和疑虑。

CI Security公司的DeFord建议说：“IT团队需要创建一种结构，供人们在出现问题时进行报告。”

Simpson说，如果企业尚未使用多因素身份验证(MFA)，那么现在就该开始了。对于特权用户，如果他们访问敏感的面向全球互联网的业务服务(包括人力资源平台、代码存储库，远程访问界面和解决方案以及全球互联网和软件即服务管理界面)，则应强制执行多因素身份验证(MFA)。那些尚未使用多因素身份验证(MFA)的用户应在风险最高的用户中优先考虑其实施，而不是一次性为所有人部署。

应该为管理员和处理关键数据的人员优化用于检测可疑活动的行为分析工具。企业可能还需要考虑要求远程员工通过虚拟桌面环境访问旧版应用程序和服务。Simpson建议测试虚拟桌面环境，以确保按需提供用户体验。

刚接触远程工作的企业应制定策略，说明有关安全性或其他任何主题的通信方式。

Omdia公司工作场所流动性高级分析师Adam Holtby说：“除了技术之外，人员的因素才是真正重要的。这要求管理人员付出更多的努力，他们将需要确保建立通讯通道以供远程员工连接，确保员工彼此保持联系。