Skip to content

居家辦公,自動切換資安政策很重要

異地工作的資安挑戰

當疫情大流行而迫使組織,從完全在公司內辦公,或混合辦公室/遠端辦公,快速轉向配置遠端工作環境。這一轉型最緊迫的挑戰之一是:公司要在極短時間內給居家人員準備設備,另一方面全面性調整資安架構與政策。重要的是考慮遠端工作的員工所使用裝置,除了工作之外,可能同時用於購物、支付帳單和一般 Web 瀏覽活動,這會增加洩漏露組織資料的風險。

  • 基礎建設配合
    不光是上班,不少家長也經歷了在家上課。突然一夜之間,需要線上教學的量大增,學校校務系統不堪負。除了學校之外,住家本身的網路應該也備受考驗。正常的情況下,大部分的人並沒有考慮到家裡的設施。就像企業需要員工在家上班,應該都不會徵詢員工家裡的基礎建設狀況。
  • 職場監視的範圍
    雖然,有些國家允許對員工的工作活動進行監督,但是在司法上存在許多實務限制。例如,要求僱主在監控雇員之前,必須徵得使用者的同意。而在家上班,到底算不算工作場所? 為了辦公使用自己的設備,應該受到監控? 職場監視在這樣的情境下適用嗎?
  • 傳統的固定規則
    我們都知道存取控制規則,應授予使用者最少最小可完成工作的必要存取權;限制使用者在複製或儲存資料方面活動行為。例如,網路存取控制技術,有助於限制對使用者、設備和應用程式的存取控制,使被授權員工才能與指定的資料進行存取,等等。當我們可以分辨信任區域,信任使用者,信任裝置的前提下;固定規則判斷什麼可以,甚麼不行,規則清楚分明。
    但企業在疫情下面臨應變趨勢:機動工作、遠距工作的員工突然增加,和雲端服務的廣泛採用,使得傳統的外圍界線已不容易區分和防守。同樣,網路活動的”好”與”壞”就變得模糊不清;靜態規則就無法正確的適用在這種變化的環境。
  • Endpoint防護扮演的角色
    對員工在家的工作環境,基礎建設或設施,組織能夠提供協助有限,強制力也無法落實。遠距工作的地點也可能有變化,存在著不同的運作差異。原本在組織內部署的資安防護,可能大部分都不適用。歸結下來,最有效的控制就在端點本身,不論身處任何地方,

 

— 部署在端點上控制機制永遠有效。

 

參考NIST 的指南:Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security (NIST 800-46r2) 其中的部份建議,遠端工作時

  • 不需要工作時,請關閉網絡功能(例如藍牙)。
  • 打開個人防火牆(如果有)。
  • 在存取企業網絡之前,要求多因子驗證。
  • 限制設備上允許的其他應用程序。

 

很明顯的都需要在端點設備上部署防護方案,對應上述建議而運用防護功能如下 

  • 控管裝置連線:VPN 連線到公司時,禁止其他連線,禁止連接裝置
  • 禁止未經授權的程序(使用者、系統)或應用程式發起連線
  • 多因子驗證,及存取控制
  • 應用程式控管及白名單機制,防止未經授權或不明的程式執行

 

自動切換資安政策,IT反應更迅速

這是資安管理上的一個哲學(不是技術)挑戰,何時該允許檔案被分享或傳送?什麼時候應該禁止?靜態政策通常以固定True / False 判斷允許或拒絕,但我們的工作不會這麼單純。很多組織採取分流措施,A/B組輪流到辦公室上班,其餘在家工作。除了以人的角色為主的安全政策外,也因應上班位置、時間自動切換政策。為了解決靜態規則無法適當應對變動的環境,主動適應政策根據不同環境條件,建立不同對應行動計畫,可簡化團隊管理複雜度,並減低對使用者工作的干擾。

 

主動適應切換條件考量

  • 遠距工作 
    遠距工作者所使用的裝置,可能是公司的受控設備,也可能自攜帶裝置。工作的場所也可能是咖啡廳、自宅,所面臨的風險不一。依照工作形式切換必要的管理政策,防止不當連線或資源存取。
    • 以公司裝置利用VPN 存取公司的服務
    • 以自用裝置RDP 連入公司裝置
    • 以公司裝置RDP 到另一台公司裝置 
  • 所在地理區
    不同國家、地區因基礎建設完善度不一,可能安全性不足等顧慮。
  • 跨廠區工作
    配合當地的安全管理政策。 
  • 應用程式執行或連線至重要網站時
    當指定應用程式被執行,或連結公司內部敏感站台時,安全層級對應調整。 
  • 使用者自決(User Override)
    部分事件可由使用者自行決定放寬,變更後系統依據條件學習並自動處置。
  • 管理者(主管)核准
    除使用者自決外,部分事件變更須經過管理人員核准。
  • 威脅等級變化
    威脅等級升高,關閉部分功能,甚至凍結防止事態擴大。

 

結論

目前疫情尚未明朗,依賴遠端工作的環境可能會成為常態。通過識別遠距工作及威脅環境變更,主動適應性政策,自動應對威脅等級,並採取必要的行動。組織將處於更有利、更具主動積極防禦的位置,從而維持業務連續保持競爭力。

關於Version 2
Version 2 是亞洲最有活力的IT公司之一,公司發展及代理各種不同的互聯網、資訊科技、多媒體產品,其中包括通訊系統、安全、網絡、多媒體及消費市場產品。透過公司龐大的網絡、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括中國大陸、香港、澳門、臺灣、新加坡等地區,客戶來自各行各業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

關於精品科技
精品科技(FineArt Technology) 成立於1989年,由交大實驗室中,一群志同道合的學長學弟所組合而成的團隊,為一家專業的軟體研發公司。從國內第一套中文桌上排版系統開始,到投入手寫辨識領域,憑藉著程式最小、速度最快、辨識最準等優異特性,獲得許多國際大廠的合作與肯定。歷經二十個寒暑,精品科技所推出的產品,無不廣受客戶好評。

×

Hello!

Click one of our representatives below to chat on WhatsApp or send us an email to wordpress@version-2.com.hk

×