Gartner公司對(duì) 316 名首席財(cái)務(wù)官和財(cái)務(wù)主管進(jìn)行的一項(xiàng)新調(diào)查顯示，目前約25%的美國(guó)企業(yè)計(jì)劃在疫情后將至少 20% 的辦公室員工轉(zhuǎn)變?yōu)殚L(zhǎng)期遠(yuǎn)程辦公狀態(tài)。作為削減成本措施的一部分，74% 的企業(yè)也計(jì)劃對(duì)約 5% 的員工采取同樣的做法。許多企業(yè)推遲了公司內(nèi)部的技術(shù)支出，轉(zhuǎn)而側(cè)重于為居家辦公人員提供公司發(fā)放的設(shè)備。

分析人士表示，這一趨勢(shì)使企業(yè)需要更加關(guān)注家庭網(wǎng)絡(luò)、智能家居產(chǎn)品以及與之相連的其他設(shè)備的安全性。家用路由器、打印機(jī)、安全系統(tǒng)、硬盤錄像機(jī)、游戲機(jī)和其他智能設(shè)備能夠顯著改變企業(yè)網(wǎng)絡(luò)的威脅模型，其原因如下。

遭到更多惡意軟件的感染

BitSight 公司最近的一項(xiàng)研究發(fā)現(xiàn)，與辦公網(wǎng)絡(luò)相比，家庭網(wǎng)絡(luò)有七倍以上的可能性會(huì)遭受五種或以上不同類型惡意軟件的感染。25% 的智能家居產(chǎn)品、個(gè)人電腦、打印機(jī)、攝像頭和家庭網(wǎng)絡(luò)中的其他設(shè)備可以通過互聯(lián)網(wǎng)被直接訪問; 45% 的公司是使用帶有惡意軟件的設(shè)備從家庭網(wǎng)絡(luò)訪問其公司網(wǎng)絡(luò)。

由于許多遠(yuǎn)程辦公人員仍使用自己的電腦工作，因此，這一問題變得更加嚴(yán)重。 Morphisec 公司最近的一項(xiàng)調(diào)查顯示，49% 的員工在遠(yuǎn)程辦公時(shí)仍使用個(gè)人筆記本電腦。與 2020 年有 57% 的員工使用個(gè)人電腦相比，這一數(shù)字并未顯著下降。

易于訪問的管理接口

451 Group 公司的分析師丹尼爾·肯尼迪 (Daniel Kennedy) 說：“家庭網(wǎng)絡(luò)與企業(yè)網(wǎng)絡(luò)有著根本的不同，因此存在一些風(fēng)險(xiǎn)，盡管這些風(fēng)險(xiǎn)也可能存在于企業(yè)網(wǎng)絡(luò)中，但在企業(yè)網(wǎng)絡(luò)中卻很罕見?！彼赋?，由于家用路由器和物聯(lián)網(wǎng)設(shè)備具有默認(rèn)密碼或弱密碼，因此其管理接口可以輕松進(jìn)行訪問。“無論是有意還是無意，家用路由器都很可能會(huì)暴露一些企業(yè)防火墻通常不會(huì)允許的服務(wù)。”他說。

較弱的 WiFi 保護(hù)措施

同樣，家庭 WiFi 網(wǎng)絡(luò)可能無法像企業(yè)網(wǎng)絡(luò)那樣有效地防止其他用戶在網(wǎng)絡(luò)上的危險(xiǎn)行為?！澳愕拇蠖鄶?shù)辦公室同事在完成一天的工作后不太可能會(huì)玩一些下載的游戲，但員工的孩子卻會(huì)這樣做?！笨夏岬现赋?。盡管這更多的是一個(gè)理論上的風(fēng)險(xiǎn)，但由于家庭網(wǎng)絡(luò)上存在 Alexa 和 Google Home 等虛擬助手，因此也存在一般性的隱私或保密問題。肯尼迪表示，這些設(shè)備可能會(huì)無意中收集到員工居家辦公時(shí)可能進(jìn)行的語音和業(yè)務(wù)溝通信息。

更大的規(guī)模和攻擊范圍

這些風(fēng)險(xiǎn)并非都是新出現(xiàn)的。多年來，為遠(yuǎn)程辦公人員提供支持的企業(yè)不得不一直在應(yīng)對(duì)其中一些問題。這些問題的不同之處是規(guī)模。肯尼迪指出：“很大比例的企業(yè)預(yù)計(jì)將增加居家辦公人員的規(guī)模，并會(huì)成為一種長(zhǎng)期狀態(tài)?！薄斑@一問題變成了，如果很大一部分員工不是通過公司網(wǎng)絡(luò)來使用公司服務(wù)，那么安全性會(huì)是什么狀態(tài)?”

在此，肯尼迪和其他安全專家就如何降低家庭網(wǎng)絡(luò)和智能家居設(shè)備給企業(yè)帶來的安全風(fēng)險(xiǎn)提供了四點(diǎn)建議：

1.不要相信任何東西;對(duì)所有事情進(jìn)行驗(yàn)證

要將家庭網(wǎng)絡(luò)和設(shè)備視為不可信的東西，因?yàn)樗鼈儽举|(zhì)上比企業(yè)環(huán)境更容易受到攻擊。要實(shí)施控制措施，以確保從家庭網(wǎng)絡(luò)向企業(yè)系統(tǒng)以及對(duì)數(shù)據(jù)發(fā)出的所有訪問請(qǐng)求，每次都經(jīng)過充分地身份驗(yàn)證。

“現(xiàn)在必須重新評(píng)估信任模型，”IT-Harvest 公司的首席分析師理查德?斯蒂農(nóng) (Richard Stiennon) 說。曾經(jīng)被精心管理的公司網(wǎng)絡(luò)，現(xiàn)在包含了每個(gè)員工家庭網(wǎng)絡(luò)上的所有東西。“家庭監(jiān)控?cái)z像頭、智能電燈開關(guān)、智能電視和屬于青少年的平板電腦的漏洞，現(xiàn)在這已成為企業(yè) IT 部門職權(quán)范圍的一部分?！彼赋?。

訪問決策不僅需要基于某人是否擁有正確的憑證。當(dāng)每次發(fā)出訪問請(qǐng)求時(shí)，設(shè)備和用戶都需要接受安全審查。當(dāng)授予訪問權(quán)限時(shí)，應(yīng)基于最低權(quán)限原則來提供，即使該用戶正常工作僅需要訪問系統(tǒng)和數(shù)據(jù)。

斯蒂農(nóng)表示，必須持續(xù)監(jiān)控他們的行為，并且必須在網(wǎng)絡(luò)上對(duì)他們的行為進(jìn)行動(dòng)態(tài)響應(yīng)?！斑@就是零信任，”他指出?！澳阏娴南胱屇愕呢?cái)務(wù)副總裁的智能冰箱為某一入侵行為負(fù)責(zé)嗎?”

IDC分析師皮特·林德斯托姆 (Pete Lindstrom) 表示，企業(yè)應(yīng)盡可能部署多重身份驗(yàn)證 (MFA)。盡管MFA 不是靈丹妙藥，但它可以降低很多與居家辦公相關(guān)的風(fēng)險(xiǎn)。林德斯托姆表示，一般來說，重點(diǎn)應(yīng)該是對(duì)家庭網(wǎng)絡(luò)增加安全控制措施，并應(yīng)更靠近你的應(yīng)用程序、數(shù)據(jù)和用戶。

2.找出安全隱患

對(duì)少數(shù)居家辦公人員提供支持與為隨時(shí)隨地從事電腦工作的人員提供大規(guī)模支持，其安全含義是完全不同的。林德斯托姆表示，將網(wǎng)絡(luò)連接擴(kuò)展到員工家庭的 IT 環(huán)境可能會(huì)使企業(yè)服務(wù)器、應(yīng)用程序資源和數(shù)據(jù)面臨新的漏洞和風(fēng)險(xiǎn)。

開始應(yīng)對(duì)這些風(fēng)險(xiǎn)的最佳方法是知道該問什么問題。“首先，你是否在公司系統(tǒng)上安裝了所有適合的安全工具來最大限度地減少感染?”優(yōu)利系統(tǒng)公司 (Unisys) 首席信息安全官馬特?紐菲爾德 (Mat Newfield) 說?！澳闶欠駥?duì)遠(yuǎn)程訪問進(jìn)行了適當(dāng)?shù)呐渲煤捅O(jiān)控，以確保你帶回家中的企業(yè)系統(tǒng)不會(huì)充當(dāng)公司網(wǎng)絡(luò)和員工家庭網(wǎng)絡(luò)之間的橋梁?”

這方面似乎還有改進(jìn)的空間。根據(jù) Morphisec 公司的研究，居家辦公人員所使用的電腦中只有 52% 是通過企業(yè) VPN 進(jìn)行連接的，而只有 41% 的電腦是通過防火墻進(jìn)行連接。

要查明是否為居家辦公人員提供了適當(dāng)?shù)墓ぞ吆团嘤?xùn)，以確保他們的家庭網(wǎng)絡(luò)遵循了與工作網(wǎng)絡(luò)相同的安全規(guī)則。他們是否得到了必要的指導(dǎo)，以確保他們知道在出現(xiàn)問題時(shí)該如何處理?紐菲爾德表示，不要忘記去弄清楚，你是否有適當(dāng)?shù)谋O(jiān)控措施，以便能夠通過遠(yuǎn)程訪問環(huán)境來快速發(fā)現(xiàn)問題。

可見性是另一個(gè)問題。某些在網(wǎng)絡(luò)邊緣運(yùn)行的網(wǎng)絡(luò)安全控制措施無法完全獲取員工在家庭網(wǎng)絡(luò)上各種行為的遙測(cè)數(shù)據(jù)，也無法對(duì)其行為采取行動(dòng)。“如何獲取這種遙測(cè)數(shù)據(jù)，以及將安全控制措施設(shè)置在哪里，已成為一個(gè)問題;終端、云端或其他入網(wǎng)點(diǎn)?”肯尼迪說。

美國(guó)系統(tǒng)網(wǎng)絡(luò)安全協(xié)會(huì) (SANS Institute) 提供了一些其他建議。要提前弄清楚，你是否想讓員工在家辦公時(shí)匯報(bào)安全事件。如果你想這樣做，他們應(yīng)該向誰匯報(bào)，以及如何和何時(shí)進(jìn)行匯報(bào)?

3.保護(hù)員工的終端

要確保從家庭網(wǎng)絡(luò)訪問企業(yè)網(wǎng)絡(luò)的所有設(shè)備都受到保護(hù)，免受由于易受攻擊的智能家居產(chǎn)品和網(wǎng)絡(luò)上其他連接設(shè)備所帶來的潛在安全威脅。確保你的終端威脅檢測(cè)和響應(yīng)控制措施配置正確，并且你的 VPN 連接非?？煽?，林德斯托姆說。

“我們看到的許多家庭系統(tǒng)都很容易受到攻擊，因?yàn)樗鼈儧]有正確安裝補(bǔ)丁程序?！眱?yōu)利系統(tǒng)公司的紐菲爾德說。例如，許多家庭電視游戲系統(tǒng)都在運(yùn)行存在漏洞的程序，這些程序可以主動(dòng)掃描環(huán)境，以尋找脆弱的主機(jī)進(jìn)行攻擊。那些未能強(qiáng)化其設(shè)備以應(yīng)對(duì)此類威脅的企業(yè)，可能會(huì)成為這些威脅的受害者。“企業(yè)在與員工帶回家的設(shè)備上部署哪些工具和技術(shù)，將直接潛在影響由該員工家庭網(wǎng)絡(luò)所引發(fā)的公司網(wǎng)絡(luò)安全事件?！奔~菲爾德說。

還要確保從家中訪問公司網(wǎng)絡(luò)的任何私人和未受管理的設(shè)備也具有足夠的安全保護(hù)。例如，向使用家庭電腦的居家辦公人員演示如何將非系統(tǒng)管理員的新用戶帳戶添加到他們的家庭電腦中，美國(guó)系統(tǒng)網(wǎng)絡(luò)安全協(xié)會(huì)的新安全趨勢(shì)業(yè)務(wù)主管約翰?佩斯卡托雷 (John Pescatore) 說。

佩斯卡托雷說：“這至少可以隔離一些文件，防止受到勒索軟件的影響，同時(shí)可以隔離瀏覽器歷史記錄和限制權(quán)限。”他指出，還應(yīng)為所有居家辦公人員提供云端備份，以預(yù)防家庭網(wǎng)絡(luò)出現(xiàn)漏洞?！爸辽僖_保他們打開家用電腦上所有軟件的自動(dòng)更新功能——Windows、瀏覽器、Adobe、Zoom 等?！?/p>

4.為員工提供培訓(xùn)

居家辦公人員通常沒有意識(shí)到，在他們用來登錄公司網(wǎng)絡(luò)環(huán)境的家庭網(wǎng)絡(luò)中存在一些易受攻擊的智能產(chǎn)品和其他有問題的設(shè)備，而這會(huì)帶來潛在風(fēng)險(xiǎn)。“如果你已對(duì)電腦進(jìn)行了設(shè)置，即在發(fā)布新補(bǔ)丁程序時(shí)通知你，那么就很容易記住給個(gè)人電腦打補(bǔ)丁，但如果你沒有對(duì)電腦進(jìn)行設(shè)置，該怎么辦，”紐菲爾德問道?！澳闶欠裼卸ㄆ跈z查和為你的家庭物聯(lián)網(wǎng)設(shè)備打補(bǔ)丁的習(xí)慣?你是否曾經(jīng)登錄過你的互聯(lián)網(wǎng)路由器，并檢查其是否已打過所有補(bǔ)丁和足夠安全?”需要讓居家辦公人員意識(shí)到家庭網(wǎng)絡(luò)給他們的企業(yè)帶來的風(fēng)險(xiǎn)在升高，并就如何減輕這些風(fēng)險(xiǎn)對(duì)其進(jìn)行培訓(xùn)。

面向家庭用戶，“針對(duì)網(wǎng)絡(luò)釣魚攻擊事件的上升，為員工提供有針對(duì)性的認(rèn)識(shí)和教育，”佩斯卡托雷說。“如果你過去常常在辦公室里對(duì)某一同事大喊，讓他核實(shí)電子郵件中某些請(qǐng)求行為，那么現(xiàn)在就用手機(jī)給他打電話?！?/p>