首頁 > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2020 > 正文

后疫情時(shí)代，企業(yè)如何布局遠(yuǎn)程安全辦公？

閱讀量：次

因疫情被按下的“暫停鍵”，已逐步切換成復(fù)工復(fù)產(chǎn)的“快進(jìn)鍵”。疫情催生的遠(yuǎn)程辦公、視頻會(huì)議、在線教育、遠(yuǎn)程醫(yī)療等新模式、新業(yè)態(tài)，正在加快涌現(xiàn)和發(fā)展。

有專家認(rèn)為，數(shù)字化辦公場所及遠(yuǎn)程辦公機(jī)制將成為數(shù)字化轉(zhuǎn)型的重要支撐。后疫情時(shí)代，非接觸式的遠(yuǎn)程辦公，將是新寵。《周易》有云，君子豹變，企業(yè)應(yīng)當(dāng)做好后疫情時(shí)代的遠(yuǎn)程安全辦公布局。

梳理：遠(yuǎn)程辦公的主要模式

對(duì)于大多數(shù)企業(yè)而言，當(dāng)前使用的遠(yuǎn)程辦公能力是臨時(shí)搭建的，安全能力相對(duì)薄弱且不完整。后疫情時(shí)代，如何保障遠(yuǎn)程辦公軟件的穩(wěn)定性、安全性，多角度加固網(wǎng)絡(luò)安全體系，賦能企業(yè)的數(shù)字化轉(zhuǎn)型、提質(zhì)增效，是企業(yè)需要重點(diǎn)考慮的問題。

目前，企業(yè)普遍采用的遠(yuǎn)程辦公方式主要包括：

1、通過虛擬專用網(wǎng)（VPN）：在公用網(wǎng)絡(luò)（通常是因特網(wǎng)）中建立一個(gè)臨時(shí)的、安全的連接，形成一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道，為員工日常辦公需求，包括獲取公司內(nèi)部郵件、訪問局域網(wǎng)中的文件服務(wù)器、內(nèi)部數(shù)據(jù)庫、CRM、ERP等等。

2、遠(yuǎn)程控制辦公：主要通過遠(yuǎn)程控制技術(shù)，或遠(yuǎn)程控制軟件，對(duì)遠(yuǎn)程電腦進(jìn)行操作辦公，實(shí)現(xiàn)非本地辦公：在家辦公、異地辦公、移動(dòng)辦公等遠(yuǎn)程辦公模式。

3、遠(yuǎn)程會(huì)議/社交：主要通過社交軟件進(jìn)行遠(yuǎn)程視頻會(huì)議的方式進(jìn)行工作安排、討論、匯報(bào)等。

盤點(diǎn)：企業(yè)面臨的幾個(gè)典型安全場景

企業(yè)遠(yuǎn)程辦公無疑增加了企業(yè)信息資產(chǎn)的暴露面，帶來了企業(yè)的核心數(shù)據(jù)資產(chǎn)的安全問題，包括敏感數(shù)據(jù)的使用、賬戶行為、代碼傳輸以及社交軟件的通訊信息傳輸?shù)陌踩缘?。另外，遠(yuǎn)程辦公為企業(yè)在員工績效、工作成果等考核也帶來了一系列的考驗(yàn)。

1、企業(yè)采用VPN技術(shù)為員工建立與內(nèi)部網(wǎng)絡(luò)的鏈接，對(duì)企業(yè)的賬號(hào)管理規(guī)范、人員管理規(guī)范帶來調(diào)整，會(huì)涉及一系列的賬號(hào)盜用、業(yè)務(wù)違規(guī)等安全隱患。

2、針對(duì)企業(yè)的信息資產(chǎn)、數(shù)字資產(chǎn)通常采用遠(yuǎn)程控制維護(hù)，增加了企業(yè)核心資產(chǎn)的暴露面，被攻擊導(dǎo)致數(shù)據(jù)泄露、資產(chǎn)破壞的風(fēng)險(xiǎn)增加，同時(shí)，遠(yuǎn)程控制也會(huì)帶來企業(yè)資產(chǎn)被惡意遠(yuǎn)控的安全隱患。

3、企業(yè)采用郵件、社交軟件進(jìn)行工作安排、溝通以及會(huì)議等，郵件和社交軟件的通訊都是通過互聯(lián)網(wǎng)，數(shù)據(jù)傳輸存在巨大的風(fēng)險(xiǎn)。

安恒信息針對(duì)遠(yuǎn)程辦公期間面臨的主要網(wǎng)絡(luò)安全問題，逐個(gè)分析并給出安全建議。

01遠(yuǎn)程辦公VPN賬戶行為異常

問題描述：VPN賬戶疑似越權(quán)、提權(quán)、訪問敏感數(shù)據(jù)等。

場景分析及建議：

VPN賬戶行為建模的三大要素為用戶、資產(chǎn)和行為特征。提取VPN系統(tǒng)的賬號(hào)日志、結(jié)合網(wǎng)絡(luò)全流量信息，構(gòu)建用戶異常行為模型，讓企業(yè)具備對(duì)最可能影響系統(tǒng)的各種異常用戶行為進(jìn)行系統(tǒng)性識(shí)別和評(píng)價(jià)。為企業(yè)提供VPN賬戶異常行為監(jiān)測(cè)能力：

1）確認(rèn)用戶的類型和權(quán)限，及時(shí)發(fā)現(xiàn)越權(quán)和提權(quán)賬戶行為；

2）確認(rèn)資產(chǎn)的類型和應(yīng)用以及數(shù)據(jù)承載等，及時(shí)監(jiān)測(cè)是否存在異常VPN賬戶訪問敏感數(shù)據(jù)等；

3）VPN賬戶關(guān)聯(lián)分析研究，將各類安全威脅和安全事件，與用戶異常行為特征庫和用戶畫像等進(jìn)行關(guān)聯(lián)分析，從中監(jiān)測(cè)出具備明顯的異常行為溯源。

02核心業(yè)務(wù)系統(tǒng)出現(xiàn)異常訪問

問題描述：核心業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫出現(xiàn)非法訪問和鏈接。

場景分析及建議：

檢測(cè)思路1：基于訪問特征學(xué)習(xí)的異常行為檢測(cè)

用戶對(duì)業(yè)務(wù)應(yīng)用的正常訪問，應(yīng)該沿著應(yīng)用現(xiàn)有的邏輯結(jié)構(gòu)進(jìn)行，訪問路線必然同應(yīng)用的邏輯結(jié)構(gòu)相吻合。通過構(gòu)造用戶訪問模型，即可獲得用戶訪問圖，則用戶每次的正常訪問路徑必定是大圖內(nèi)的子圖。通過用戶畫像平臺(tái)的數(shù)據(jù)，分析用戶的訪問特征，可以快速的發(fā)現(xiàn)用戶的異常訪問行為。

檢測(cè)思路2：基于統(tǒng)計(jì)特征的異常行為檢測(cè)

由于正常的訪問請(qǐng)求占絕大部分，且彼此之間具有明顯的相似性，而異常的查詢請(qǐng)求日志則有明顯的差異，因此非常適合采用相似性分析的方法進(jìn)行區(qū)分。在分析應(yīng)用日志時(shí)，可以把發(fā)送查詢請(qǐng)求的主機(jī)IP地址作為對(duì)象，也可以把應(yīng)用異常文件作為對(duì)象。可以針對(duì)某個(gè)屬性進(jìn)行分析，也可以針對(duì)一組屬性進(jìn)行分析。因此不同的對(duì)象和屬性組合在一起可以得到很多種描述性矩陣。通過對(duì)比跟蹤分析，發(fā)現(xiàn)異常的用戶的訪問行為。

03企業(yè)內(nèi)部數(shù)據(jù)泄露行為

問題描述：遠(yuǎn)程辦公期間，企業(yè)的內(nèi)部數(shù)據(jù)通過各類遠(yuǎn)程渠道對(duì)外暴露，造成較大的安全隱患。攻擊者會(huì)挑選大家不注意的時(shí)刻進(jìn)行數(shù)據(jù)竊取。

場景分析及建議：

統(tǒng)計(jì)局域網(wǎng)內(nèi)每臺(tái)服務(wù)器的網(wǎng)絡(luò)流量變化，就可以檢測(cè)流量異常行為。統(tǒng)計(jì)正常用戶的流量變化規(guī)律，統(tǒng)計(jì)流量上行和下行的規(guī)律，分別統(tǒng)計(jì)工作時(shí)間和休息時(shí)間的規(guī)律。

利用線性回歸分析預(yù)測(cè)一個(gè)用戶在某個(gè)時(shí)刻的下行流量，如果實(shí)際流量比預(yù)測(cè)流量大太多，則認(rèn)為這個(gè)用戶出現(xiàn)異常，進(jìn)一步分析該用戶的當(dāng)前行為。如果出現(xiàn)IP（用戶）的流量規(guī)律明顯異常，則跟蹤分析這些IP（用戶）的當(dāng)前行為，判斷這些IP（用戶）是否在竊取網(wǎng)絡(luò)數(shù)據(jù)。

04釣魚郵件和詐騙郵件

問題描述：企業(yè)常常會(huì)通過電子郵件群發(fā)重要通知文件，員工也需要電子郵件傳遞交流工作內(nèi)容，此時(shí)如防御松懈，易發(fā)生攻擊者破解入侵員工郵箱，或者有攻擊者發(fā)送釣魚郵件，非常時(shí)期容易誘使企業(yè)或員工上當(dāng)受騙，造成各類信息泄密或財(cái)產(chǎn)損失事件。

場景分析及建議：

可對(duì)企業(yè)郵箱的賬號(hào)登錄時(shí)間、郵件數(shù)、敏感詞的進(jìn)行監(jiān)測(cè)分析。

1)通過登錄時(shí)間、頻率、周期等指標(biāo)監(jiān)測(cè)，發(fā)現(xiàn)阻止暴力破解行為或潛伏破解行為；

2)通過收發(fā)郵件的數(shù)量分析、發(fā)送對(duì)象分析、附件大小審計(jì)，發(fā)現(xiàn)異常的收發(fā)郵件行為，檢測(cè)賬戶失陷、數(shù)據(jù)泄露、郵箱炸彈等事件；

3)通過郵箱基線分析、內(nèi)容敏感詞識(shí)別等，檢測(cè)詐騙郵件。

05內(nèi)網(wǎng)資產(chǎn)出現(xiàn)橫向滲透常

問題描述：企業(yè)在遠(yuǎn)程辦公期間容易懈怠內(nèi)部安全問題，給攻擊者可乘之機(jī)，內(nèi)部網(wǎng)絡(luò)中出現(xiàn)大量的橫向異常鏈接。

場景分析和建議：

利用全流量分析設(shè)備對(duì)內(nèi)網(wǎng)網(wǎng)絡(luò)的流量進(jìn)行分析。

1)監(jiān)測(cè)主機(jī)/用戶的高危端口連接情況，及時(shí)發(fā)現(xiàn)連接異常連接高危端口的主機(jī)或用戶；

2)監(jiān)測(cè)主機(jī)/用戶的地址、端口連接數(shù)量情況，及時(shí)發(fā)現(xiàn)有掃描路徑、端口行為的主機(jī)或用戶；

3)監(jiān)測(cè)主機(jī)/用戶的流量分布情況，及時(shí)發(fā)現(xiàn)異常上傳或下載行為的主機(jī)或用戶。

06內(nèi)部核心服務(wù)器性能異常

問題描述：遠(yuǎn)程辦公期間，內(nèi)部核心服務(wù)器，如VPN服務(wù)器、堡壘機(jī)以及辦公平臺(tái)接收大量的外部請(qǐng)求，可能會(huì)造成性能瓶頸，影響遠(yuǎn)程辦公。

場景分析和建議：

通過主機(jī)日志接入，基于時(shí)間序列監(jiān)控，進(jìn)行核心服務(wù)器狀態(tài)監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)性能異常。

1）主機(jī)CPU使用情況、主機(jī)內(nèi)存使用情況、主機(jī)進(jìn)程情況，及時(shí)發(fā)現(xiàn)因挖礦病毒等導(dǎo)致的計(jì)算資源異常情況；

2）分析企業(yè)內(nèi)部VPN、單點(diǎn)登錄設(shè)備等服務(wù)器的性能情況，對(duì)遠(yuǎn)程辦公期間帶來的大量請(qǐng)求進(jìn)行及時(shí)性能預(yù)警，保障遠(yuǎn)程服務(wù)的可用性。

07社交通訊軟件互聯(lián)網(wǎng)傳輸

問題描述：遠(yuǎn)程辦公期間，大量的工作通訊信息通過社交軟件如釘釘、企業(yè)微信、QQ等進(jìn)行傳輸，面臨巨大隱患。

場景分析和建議：

采用第三方加密產(chǎn)品或方案，解決信息傳輸安全隱患。

解決方案推薦

1、端到端加密，保障社交通訊安全

基于釘釘入口提供第三方加密解決方案。采用國密標(biāo)準(zhǔn)算法，對(duì)信息（包括文字、圖片、語音、視頻等）全面加密；讓信息在傳輸、存儲(chǔ)過程中都是加密狀態(tài)；離職人員無法解密在職期間任何信息；除了信息所有者，任何第三方均無法查看，確保數(shù)據(jù)的安全性及私密性。

2、點(diǎn)對(duì)點(diǎn)/面行為分析，及時(shí)監(jiān)測(cè)異常行為

UEBA技術(shù)提供端到端的分析，從數(shù)據(jù)獲取到數(shù)據(jù)分析，從數(shù)據(jù)梳理到數(shù)據(jù)模型構(gòu)建，從得出結(jié)論到還原場景，自成整套體系，提供用戶行為跟蹤分析的最佳實(shí)踐，記錄了人產(chǎn)生和操作的數(shù)據(jù)，并且能夠進(jìn)行實(shí)際場景還原，從用戶分析的角度來說非常完整并且直接有效。幫助用戶防范賬戶異常操作，避免數(shù)據(jù)泄露，在遠(yuǎn)程辦公期間提高新型安全事件的檢測(cè)能力，增強(qiáng)服務(wù)質(zhì)量，提高工作效率。

安全，是遠(yuǎn)程辦公的前提。針對(duì)遠(yuǎn)程辦公的痛點(diǎn)，安恒信息推出了遠(yuǎn)程辦公安全解決方案，助力用戶安全“通關(guān)”。歡迎咨詢。
?

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢(shì)感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>