居家辦公，自動切換資安政策很重要

異地工作的資安挑戰

當疫情大流行而迫使組織，從完全在公司內辦公，或混合辦公室/遠端辦公，快速轉向配置遠端工作環境。這一轉型最緊迫的挑戰之一是：公司要在極短時間內給居家人員準備設備，另一方面全面性調整資安架構與政策。重要的是考慮遠端工作的員工所使用裝置，除了工作之外，可能同時用於購物、支付帳單和一般 Web 瀏覽活動，這會增加洩漏露組織資料的風險。

• 基礎建設配合
  不光是上班，不少家長也經歷了在家上課。突然一夜之間，需要線上教學的量大增，學校校務系統不堪負。除了學校之外，住家本身的網路應該也備受考驗。正常的情況下，大部分的人並沒有考慮到家裡的設施。就像企業需要員工在家上班，應該都不會徵詢員工家裡的基礎建設狀況。

• 職場監視的範圍
  雖然，有些國家允許對員工的工作活動進行監督，但是在司法上存在許多實務限制。例如，要求僱主在監控雇員之前，必須徵得使用者的同意。而在家上班，到底算不算工作場所? 為了辦公使用自己的設備，應該受到監控? 職場監視在這樣的情境下適用嗎?

• 傳統的固定規則
  我們都知道存取控制規則，應授予使用者最少最小可完成工作的必要存取權；限制使用者在複製或儲存資料方面活動行為。例如，網路存取控制技術，有助於限制對使用者、設備和應用程式的存取控制，使被授權員工才能與指定的資料進行存取，等等。當我們可以分辨信任區域，信任使用者，信任裝置的前提下；固定規則判斷什麼可以，甚麼不行，規則清楚分明。
  但企業在疫情下面臨應變趨勢：機動工作、遠距工作的員工突然增加，和雲端服務的廣泛採用，使得傳統的外圍界線已不容易區分和防守。同樣，網路活動的”好”與”壞”就變得模糊不清；靜態規則就無法正確的適用在這種變化的環境。

• Endpoint防護扮演的角色
  對員工在家的工作環境，基礎建設或設施，組織能夠提供協助有限，強制力也無法落實。遠距工作的地點也可能有變化，存在著不同的運作差異。原本在組織內部署的資安防護，可能大部分都不適用。歸結下來，最有效的控制就在端點本身，不論身處任何地方，

— 部署在端點上控制機制永遠有效。

參考NIST 的指南：Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security (NIST 800-46r2) 其中的部份建議，遠端工作時

• 不需要工作時，請關閉網絡功能（例如藍牙）。
• 打開個人防火牆（如果有）。
• 在存取企業網絡之前，要求多因子驗證。
• 限制設備上允許的其他應用程序。

很明顯的都需要在端點設備上部署防護方案，對應上述建議而運用防護功能如下 

• 控管裝置連線：VPN 連線到公司時，禁止其他連線，禁止連接裝置
• 禁止未經授權的程序(使用者、系統)或應用程式發起連線
• 多因子驗證，及存取控制
• 應用程式控管及白名單機制，防止未經授權或不明的程式執行

自動切換資安政策，IT反應更迅速

這是資安管理上的一個哲學(不是技術)挑戰，何時該允許檔案被分享或傳送？什麼時候應該禁止？靜態政策通常以固定True / False 判斷允許或拒絕，但我們的工作不會這麼單純。很多組織採取分流措施，Ａ/Ｂ組輪流到辦公室上班，其餘在家工作。除了以人的角色為主的安全政策外，也因應上班位置、時間自動切換政策。為了解決靜態規則無法適當應對變動的環境，主動適應政策根據不同環境條件，建立不同對應行動計畫，可簡化團隊管理複雜度，並減低對使用者工作的干擾。

主動適應切換條件考量

• 遠距工作 
  遠距工作者所使用的裝置，可能是公司的受控設備，也可能自攜帶裝置。工作的場所也可能是咖啡廳、自宅，所面臨的風險不一。依照工作形式切換必要的管理政策，防止不當連線或資源存取。
  • 以公司裝置利用VPN 存取公司的服務
  • 以自用裝置RDP 連入公司裝置
  • 以公司裝置RDP 到另一台公司裝置 
• 所在地理區
  不同國家、地區因基礎建設完善度不一，可能安全性不足等顧慮。
• 跨廠區工作
  配合當地的安全管理政策。 
• 應用程式執行或連線至重要網站時
  當指定應用程式被執行，或連結公司內部敏感站台時，安全層級對應調整。 
• 使用者自決(User Override)
  部分事件可由使用者自行決定放寬，變更後系統依據條件學習並自動處置。
• 管理者(主管)核准
  除使用者自決外，部分事件變更須經過管理人員核准。
• 威脅等級變化
  威脅等級升高，關閉部分功能，甚至凍結防止事態擴大。

結論

目前疫情尚未明朗，依賴遠端工作的環境可能會成為常態。通過識別遠距工作及威脅環境變更，主動適應性政策，自動應對威脅等級，並採取必要的行動。組織將處於更有利、更具主動積極防禦的位置，從而維持業務連續保持競爭力。