新冠肺炎疫情開啟了數(shù)字時代較大規(guī)模的一次遠(yuǎn)程辦公遷徙。這種過去只存在于軟件開發(fā)、電子商務(wù)和創(chuàng)意設(shè)計領(lǐng)域的“革命性”數(shù)字化生產(chǎn)方式，在中國這個互聯(lián)網(wǎng)巨頭都信奉“996”理念的傳統(tǒng)辦公社會中，從文化上的非主流，搖身變成了中國數(shù)字經(jīng)濟的救世主。

[[314124]]

對于IT互聯(lián)網(wǎng)企業(yè)來說，遠(yuǎn)程辦公并不陌生，但是對于大量傳統(tǒng)行業(yè)人員來說，突然性的大規(guī)模遠(yuǎn)程辦公應(yīng)用會帶來一系列嚴(yán)重的安全問題，尤其是大量隱私和數(shù)據(jù)安全問題。

因為突然性的全員遠(yuǎn)程辦公，意味著大量企業(yè)內(nèi)部人員需要從企業(yè)安全邊界外部(包括家中或者不安全的WiFi熱點)訪問任何能夠維持正常工作的賬戶、文檔或數(shù)據(jù)。而如果相關(guān)網(wǎng)絡(luò)安全措施、規(guī)則和培訓(xùn)沒有隨之調(diào)整，將產(chǎn)生巨大的安全隱患。

非常時期的未知安全威脅如影隨形。例如，你的一位核心開發(fā)人員買菜回家突然被帶走隔離了怎么辦?你的一位高管手邊只有一臺裝滿木馬的家庭游戲PC怎么辦?財務(wù)主管家里的WiFi路由器漏洞好幾年沒修補了咋辦?企業(yè)協(xié)作平臺堵塞卡頓后員工紛紛切換到QQ群工作咋辦?

以下是管理遠(yuǎn)程團(tuán)隊，確保遠(yuǎn)程辦公數(shù)據(jù)安全的關(guān)鍵舉措：

1. 提高安全免疫力：員工安全教育至關(guān)重要

幫助任何遠(yuǎn)程團(tuán)隊維護(hù)數(shù)據(jù)安全最重要的措施就是正確培訓(xùn)員工。盡管您可能認(rèn)為您的團(tuán)隊成員在處理任何技術(shù)和互聯(lián)網(wǎng)問題方面都是行家里手，但是，相信我，他們一般都會以你意想不到的方式忽視一些最基本(致命)的安全威脅。

這聽起來似乎不太可能，但是在CNBC關(guān)于網(wǎng)絡(luò)安全風(fēng)險的研究中，員工的疏忽被證明是最大的威脅?？紤]到這一點，最好在全面啟動遠(yuǎn)程辦公前召開全體會議或向公司手冊中添加安全意識相關(guān)內(nèi)容，以免員工的意識出現(xiàn)盲點。即使您的員工分布在全球各地，您也需要利用協(xié)作工具召集所有人集中一段時間培訓(xùn)，以確保每個人都可以理解遠(yuǎn)程團(tuán)隊面臨的諸多安全風(fēng)險。

遠(yuǎn)程辦公的安全意識培訓(xùn)需要按照威脅等級進(jìn)行優(yōu)先級排序，最緊急的培訓(xùn)內(nèi)容包括如何發(fā)現(xiàn)和處理可疑鏈接和釣魚電子郵件、使用免費/公共Wi-Fi的風(fēng)險以及如何創(chuàng)建可靠的密碼。此類培訓(xùn)可以幫助您減輕遠(yuǎn)程辦公給公司網(wǎng)絡(luò)安全防護(hù)帶來的負(fù)擔(dān)，并將其分散到整個業(yè)務(wù)環(huán)境中，從而創(chuàng)建一個高免疫力的環(huán)境，每個人都可以積極地主動應(yīng)對安全威脅。

2. 確保使用VPN

類似疫區(qū)一線醫(yī)院的醫(yī)生護(hù)士在防護(hù)物資極度短缺時會降低防護(hù)用品的規(guī)格和等級要求，特殊時期，大量遠(yuǎn)程工作人員經(jīng)常會使用公共WiFi，例如機場休息室、酒店、咖啡店甚至鄰居網(wǎng)絡(luò)，遠(yuǎn)程團(tuán)隊數(shù)據(jù)安全受攻面成幾何級數(shù)放大。您可以精打細(xì)算，跨多個時區(qū)進(jìn)行協(xié)作，并巧妙地使用最新的管理技術(shù)，榨干團(tuán)隊的每一滴血汗;但是，如果您的團(tuán)隊沒有使用安全的Wi-Fi連接，那么數(shù)據(jù)安全的護(hù)城河分分鐘就可能決堤。保證安全的最佳方法是讓您的團(tuán)隊使用虛擬專用網(wǎng)絡(luò)，學(xué)名VPN。

無論您連接的是哪種WiFi，VPN都可以通過安全連接來提高數(shù)據(jù)通訊的安全。保護(hù)遠(yuǎn)程團(tuán)隊的活動、數(shù)據(jù)、信息和密碼，免遭各種埋伏在公共WiFi網(wǎng)絡(luò)中的不懷好意的(中間)攻擊者窺視和竊取。市場上有大量便宜、靠譜的商業(yè)VPN可用，對用戶數(shù)據(jù)記錄有嚴(yán)格的承諾，可以輕松化解公共網(wǎng)絡(luò)的安全風(fēng)險。

3. 實施高熵密碼

黑客破解密碼的難度要比大多數(shù)人想象得低得多。例如，一個五個字符的密碼大約需要十秒鐘就能被破解，而六個字符的密碼需要一千秒。

目前最簡單易行的辦法就是確保您和您的團(tuán)隊成員使用強密碼(高熵密碼)。密碼越長越復(fù)雜，破解的難度就越大。NIST最新的密碼管理規(guī)范強調(diào)密碼復(fù)雜性最小化(但加強密碼更新管理，降低密碼重復(fù)度)，但這并不適用于大量人員流動到外網(wǎng)的特殊時期。

僅僅通過增加密碼長度、增加單詞字母變體或字符(提高密碼熵值)，就能讓破解所需的時間呈指數(shù)增長。最重要的是，您需要設(shè)置每隔幾個月更改一次密碼的提醒，并且盡管煩人，也要對不同的帳戶和程序使用不同的密碼。畢竟，那意味著如果一個被破解了，它們也一次都被破解了。

對于遠(yuǎn)程團(tuán)隊來說，一個非常有用的工具是密碼管理器，對于需要使用高熵密碼的團(tuán)隊來說，密碼管理器能讓密碼管理變得不那么痛苦。

4. 盡可能使用雙因素認(rèn)證(2FA)

很多時候，你無法阻止黑客獲得密碼，但是如果你啟用了雙因素驗證，那么攻擊者即使掌握了密碼，也很難更進(jìn)一步。

但是安全團(tuán)隊需要注意的是，目前已經(jīng)出現(xiàn)很多能夠繞過雙因素甚至多因素認(rèn)證的中間人攻擊和自動化釣魚攻擊工具及手法。在釣魚網(wǎng)站上，因為受害者必須手動輸入這些驗證碼，那些基于短信驗證碼和移動驗證軟件的解決方案尤其容易受到攻擊。這意味著2FA不是一個完美的解決方案，只能應(yīng)付一般性的路過攻擊。此外，由于一次性密碼驗證軟件Google Autheticator會加密備份云中2FA密鑰，因此Authy是一個更好的替代品。

對于包括管理層在內(nèi)的企業(yè)遠(yuǎn)程團(tuán)隊中的高價值目標(biāo)，目前能夠確保不被代理釣魚攻擊突破的2FA措施就是使用支持U2F標(biāo)準(zhǔn)的USB硬件密鑰。因為USB硬件密鑰通過瀏覽器建立了與合法網(wǎng)站的加密驗證連接，而不是通過攻擊者的反向代理。

綜上，在您所屬的任何遠(yuǎn)程團(tuán)隊中，雙因素認(rèn)證都必須是強制性的，對于高價值和高風(fēng)險目標(biāo)則需要啟用硬件密鑰或生物認(rèn)證。如果你重點防護(hù)的員工沒有或者忘記了硬件密鑰，那么快遞密鑰將會是一個很重要的應(yīng)急戰(zhàn)術(shù)動作。

5. 強化RDP

在安全牛的遠(yuǎn)程桌面工具投票中，Windows Remote Desktop獲得了最高票(下圖)。顯然，RDP依然是IT團(tuán)隊支持遠(yuǎn)程辦公的最愛，但不幸的是近年來RDP的安全隱患正在不斷累積。

2019年5月，微軟多個Windows版本曝出RDP安全漏洞——BlueKeep(CVE-2019-0708)，受影響的操作系統(tǒng)包括Windows 2000、Windows XP、Windows Vista、Windows 7、Windows Server 2003、Windows Server 2003 R2、 Windows Server 2008和Windows Server 2008 R2。

2019年9月初，Metasploit滲透測試工具的開發(fā)者Rapid7宣布發(fā)布BlueKeep漏洞利用模塊;11月，根據(jù)ZDNET和WIRED報道，有關(guān)BlueKeep的漏洞利用大增，雖然這些攻擊的成功率不高——大約91%的易受攻擊的計算機崩潰并出現(xiàn)停止錯誤(aka錯誤檢查或藍(lán)屏死機)，但是依然有9%的攻擊成功在目標(biāo)計算機上安裝了門羅幣挖礦軟件。

一方面BlueKeep漏洞利用日益猖獗，另一方面企業(yè)安全部門面臨著更大的安全挑戰(zhàn)——2020年1月微軟停止了對Windows Server 2008和Windows 7的支持。大量依然運行上述操作系統(tǒng)并通過互聯(lián)網(wǎng)使用RDP直接訪問的計算機給企業(yè)帶來了巨大風(fēng)險。

當(dāng)然，Windows7的“停服”并不意味著你需要立即停止使用RDP，以下這些強化措施有助于保護(hù)計算機免受基于RDP的攻擊。

另外建議使用免費的BlueKeep(CVE-2019-0708)工具檢查運行Windows計算機是否容易受到攻擊。

BlueKeep免費檢查工具：

https://download.eset.com/com/eset/tools/diagnosis/bluekeep_checker/latest/esetbluekeepchecker.exe

6. 將工作移至云端

遠(yuǎn)程團(tuán)隊成員在全國甚至全球各地進(jìn)行遠(yuǎn)程工作，基于云計算的數(shù)據(jù)存儲訪問、通訊和協(xié)作應(yīng)用是最好的解決方案，云服務(wù)讓遠(yuǎn)程團(tuán)隊可以安全地訪問他們需要的任何內(nèi)容。

越來越多的云服務(wù)公司提供安全的在線存儲和易于訪問的工作環(huán)境，這為遠(yuǎn)程團(tuán)隊提供了理想的選擇。知名云計算公司將提供自己的主動安全性，能夠預(yù)防并快速解決問題。例如，遠(yuǎn)程員工即使弄失了筆記本電腦，仍然可以用新設(shè)備訪問云端文件。

對于安全團(tuán)隊來說，疫情期間“全員上云”帶來的BYOD、數(shù)據(jù)安全、端點安全、身份與訪問管理、云服務(wù)連續(xù)性(例如節(jié)后第一天企業(yè)微信因為負(fù)載過大而短時癱瘓)都是新的難題和挑戰(zhàn)。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文