對於IT互聯網企業來說遠程辦公並不陌生,但是疫情的突然爆發,直接大規模的使用遠程辦公應用,勢必會帶來一系列的安全問題,尤其是大量隱私數據安全問題,因爲此次的疫情,大量的企業內部人員,需要從企業安全邊界外部訪問任何能夠支持正常工作的賬戶文檔或者數據,而如果相關的網絡安全措施規則沒有隨之調整將產生巨大的安全隱患。另一方面的挑戰來源於辦公模式改變帶來的安全威脅,現在要求既要滿足遠程辦公的短時便利性需求,又不能過分的喪失安全性。
安全同事主要是配合遠程辦公下部分業務系統的網絡變更工作,比如防火牆的實施工作、策略的開通等,這部分工作在2月2號之前都順利驗收通過,確保開工日遠程辦公的客服同事可以正常進行語音等工作。同時,正式遠程辦公前,對VPN這類關鍵的網絡設備,進行了安全掃描,包括管理員頁面、系統版本是否存在高危漏洞等。
之前大家多數是在下班後或臨時不在職場時,使用VPN接入公司內網解決臨時遠程辦公的需求,這個場景下的訪問次數和人數都相對較小而分散。但是這次面對疫情下的遠程辦公模式,則是“全民皆兵”,各個方面的規模提升至少是之前的十倍、二十倍以上。對公司的安全設計來說,“遠程接入”的威脅本來就大於“本地接入”的威脅,所以,對我們來說的變化就是:以前要對日常的遠程用戶做檢查,做好防護工作,現在一下子變成了全體員工,因此檢查手段、應對方式都得更新,否則很可能在遠程辦公期間發生安全事故。
由於很多人之前沒有使用過遠程辦公這一整套系統,所以爲了減輕大家上手時的工作量,我們當即決定簡化了一些安全驗證的手段和環節,優先確保大家可以正常接入公司網絡。但是簡化不等於放縱,所以我們比平時針對遠程接入這部分場景進行了更深入、更密集的監控工作。針對VPN、堡壘機這兩個關鍵的入口處,我們通過安全大數據平臺,做了人員統計、訪問資源統計的可視化,也包括了一些異常行爲的統計分析和告警,比如:多次嘗試登錄失敗可能意味着暴力破解用戶口令、同一天一個賬號關聯到不同地區的IP可能意味着賬號被盜用等。
《圖:訪問統計可視化》
《圖:異常行爲分析》
遠程辦公第一天,一大早我們就進行了防病毒的應急響應,這個是我們提前就預料到的,因爲遠程辦公勢必有大量的非公司電腦接入,病毒威脅會有所上升。通過監控告警,發現有幾臺終端嘗試訪問了內網上千個IP資源,同時關聯發現防火牆有攔截到部分到服務器的請求,第一時間判斷是計算機病毒在發起蠕蟲攻擊。我們隨即將上午發現的攜帶病毒的計算機,進行了封禁賬號,並通知員工對個人電腦安裝防病毒軟件進行殺毒後再使用VPN,並進行了遠程辦公期間安裝防病毒軟件的推廣。
《圖:訪問資源數量異常》
《圖:遠程辦公期間宣導安裝防病毒軟件》
疫情期間遠程辦公,還得重點防禦一些僞裝當前熱點信息進行的郵件攻擊,如在附件中植入病毒文件、發送釣魚郵件等,這些攻擊在遠程辦公期間的威脅也會比平時更大。所以對郵件主題、附件文檔等,也加強了監控,比如“武漢”、“衛生部”這些關鍵字等等。
幾周的遠程辦公下來,整體還是比較順利的,離不開之前的準備和大家的相互配合,當然也還有很多需要提升的地方。最大的收穫應該是改變了之前的一些觀念上的限制。比如,如果長期維持在這種“零信任”的遠程網絡環境下,如何來設計安全的架構,都是值得繼續更深入思考的課題。借用一起配合的郵件組的一位技術同事的話:“平時技術儲備足,到了打硬仗的時候才能不慌”。
拓展閱讀: