移动互联网、混合云和 SaaS 时代的来临,让企业的办公网络环境发生着巨大变化, BYOD、移动办公以及访问云端 SaaS 应用的场景已经越来越频繁,在方便协作、提升效率的同时,潜在的安全威胁以及管理困境也日益突出。比如:
网络钓鱼——网络犯罪分子利用欺骗性的企业邮件,诱导员工点击伪造的网址或下载带毒的附件,套取个人隐私、商业机密、诈骗钱财等等,例如近期闹得沸沸扬扬的“某互联网大厂全体员工遭遇工资补助诈骗”。
权限过度开放——多终端、多分支协作办公导致许多访问、共享流程中的权限过度开放,容易被别有用心的内鬼或网络犯罪分子利用。
数据泄露——在业务越来越依靠数据驱动的现在,大规模的数据采集、处理、传递和分享过程中,每一环节都可能造成数据的滥用和泄露。
爬虫威胁——开放的商业云端应用被大量自动化攻击工具和爬虫所利用,给企业安全和IT运维带来巨大的困扰。
勒索攻击——通过系统漏洞、推广广告、邮件及 U 盘等传播勒索病毒,导致企业设备中的文件被加密,甚至核心数据资产被窃取,若不交付赎金则面临机密被公开或倒卖的双重勒索。
定向 APT 攻击——通过社会工程学、供应链攻击、专业渗透等多种手段,定向对目标企业进行对先进的、持久的且有效的威胁和攻击。
企业办公网络安全为什么频频中招?
实际上,这些威胁并不全是新鲜或者高明的攻击手段,但却总能屡屡命中企业的命门。我们尝试总结目前企业办公网络安全的现状及症结点:
1、忽视办公潜在安全风险
BullGuard 2020 年报告显示,60% 的受访企业认为他们不太可能成为网络攻击的目标,43% 的中小型企业没有任何网络安全防御计划。虽然看到过因遭受网络攻击给企业造成重大损失的相关报道,但侥幸心理作祟,觉得与自身关系不大,认为被入侵的概率很低。
长期以来,企业的精力更多聚焦在业务架构、流程等直接带来业务增效的环节,对安全管理关注度较低,通常依靠行政人员或IT团队兼顾安全相关工作,而大部分人员缺乏专业的安全知识,常常出现安全误区。比如,某公司采购了满足合规要求的云服务器,但在使用过程中,不修改默认口令、不关闭特权账号远程登录、不进行中间件升级,最终导致黑客轻易控制服务器。
此外,对生产网络做到固若金汤,却忽略了容易被当做跳板的办公网络。持安科技创始人&CEO何艺近日在接受安全419采访时曾表示,网络安全的特点是木桶效应,企业做安全除了盯着自身最强的板子,更要看到短板在何处。对应来说,黑客也会从最薄弱的环节去攻击。目前企业自身的安全资源更多集中在业务一侧,这本质上没有错,但长此以往办公安全就会被忽视,而办公网场景中环境和人员方面都要更加复杂,因此更容易出现问题。
2、逐渐失控的“内部”
有调查显示,70% - 80% 的安全事件是由员工办公行为不当、疏忽或有意行为导致,78% 的单位信息安全泄露源于内部员工办公过程操作不规范。
大意的、以及变心了的内部人员成为了安全最大的变量。这里的“内部”不止是企业自己的员工,由于业务模式的转变,无边界办公下互联网暴露面激增,人员、设备的访问管理权限混乱,员工切换终端和网络环境、外包人员接入、第三方合作伙伴协作、供应链上下游共享,都成为游走在模糊甚至日渐瓦解的内外网边界的角色,让企业办公风险指数级增长。
令人无奈的是,在越来越复杂的网络环境下,每当发生安全事件,企业总是后知后觉,业务不能停,但是出问题的地方却找不到,难以快速阻断和溯源。
3、安全能力各自为阵
我国的网络安全建设基础比较薄弱,安全一直作为业务附庸的角色存在,企业长期采用的是“局部整改”为主的安全建设模式,比如,登录访问请求需要鉴权,所以接入了身份管理系统;数据库里的数据很敏感,所以部署了数据库加密、审计类产品;终端设备容易中毒,所以安装了主机安全防护;等等。
堆叠的安全能力导致网络安全体系化缺失、碎片化严重、协同能力差,在多样化的办公环境下,传统安全产品使用体验欠佳,而且安全成本过高,网络安全防御能力与数字化业务的保障要求严重不匹配。
企业网络办公安全建设如何破局?
那么,如此复杂的办公网络环境的安全防护重点在哪里呢?根据 Cybersecurity 的调研数据,62% 的企业认为,重心在于对当下分布在数据中心和云上的私有应用的访问;50% 的企业认为,需要缩小面向互联网开放的内部应用程序;50% 的企业认为,需要强化捕捉用户内部活动的能力。
不难总结,企业既面临着来自互联网的攻击,又面临来自内部的威胁:既要关注自身的暴露面情况、万千系统中隐藏的漏洞,又要关注日新月异的恶意软件、千变万化的攻击手法,还要关注具有特权访问权限的内部用户、安全施薄弱的合作伙伴访问内部应用程序。这样的状态无疑非常糟糕,在缺乏合理的、可持续发展的安全建设目标下,精力、资源、成本也无法聚焦以最大限度地发挥效用。
眼下,零信任的出现为业界提供了一个新的视角,顺应网络无边界化的发展趋势,围绕身份安全来展开一套安全实践。零信任构建的防护体系,可以解决身份安全、应用程序安全、数据安全等一系列安全问题,并在实践的场所和领域覆盖了云迁移和整合、基础设施安全、网络转型以及物联网等广泛的设备接入和应用访问管控的场景。
我们在此以持安科技建立的持安零信任平台为例,介绍零信任架构为企业办公安全带来的价值。据了解,该平台基于“持续验证,永不信任”的零信任理念,以身份为中心为企业或组织员工提供对业务应用的安全访问。将所有业务的访问入口收缩到网关后,实现业务系统的安全隐身;对每次访问请求实时动态评估进行权限管控,实现对业务系统的有效防护;基于身份的全链路审计,实现记录和追溯用户全面活动行为;通过一套统一的控制台,实现集中管控的一体化安全防护。
对比几个实际的应用场景:居家办公或者分支机构、第三方人员接入时,曾经,五花八门的设备、网络环境都是不可控的风险点,身份信息管理粗糙,权限设置不明确。采用零信任安全平台,因为访问控制不再基于位置,所以全部人员都可以实现随时随地无差别办公,从用户登录到所有的访问行为都有基于身份的管控和分析。
在应用安全方面,曾经,业务系统直接暴露于互联网,黑客可以随意扫描、渗透从而利用薄弱点进入企业。采用零信任安全平台,通过业务隐身,隐藏漏洞,将有效收敛攻击面,基于零信任评估机制实现对应用资源的细粒度访问控制。
在数据安全方面,曾经,面对海量人员、应用资源、系统接口等,在内部数据可以随意访问,随意外发,如果敏感文件泄露,往往无法追踪。采用零信任安全平台,建立起清晰的数据访问权限管控,多维度控制数据流转,基于身份溯源还原用户所有行为轨迹。
保证每一次企业办公访问安全的同时,不应以牺牲用户的效率和体验为代价,有效平衡安全与效率甚至已经成为安全架构能否在企业内被持续运用的关键因素之一。零信任安全平台通过与企业已有的 IAM、SSO、SOC 等系统融合,无需改变用户习惯,不需业务的重复接入和建设,建立起企业应用统一门户,统一身份管理,采用多因素认证打造无密码化办公,对于最终用户而言是无感接入业务系统的。通过零信任控制中心进行一站式安全管控,解决传统方案多个管理后台,多台设备部署,配置维护复杂,人员权限混乱的问题,对于安全团队的持续运营是明显提升效能的。
看回文章开端提到的种种安全建设难题,一言以蔽之是由于传统内外网边界模糊,企业无法基于传统的物理边界构筑安全基础设施,只能诉诸于更灵活的技术手段来对动态变化的人、终端、系统建立新的逻辑边界,通过对人、终端和系统都进行识别、访问控制、跟踪审计实现全面的身份化,以身份为中心的零信任正在成为网络安全发展的大趋势,值得更多企业用户关注并应用。