征文|李磊:企业办公终端安全管控实践和趋势展望
☝戳链接了解本期征文详情
企业办公终端安全管控实践和趋势展望
文 | 李磊
李磊
OPPO信息安全部
8年安全从业经验,长期负责内部安全建设,探求安全体验与效率并存的安全能力和解决方案建设。熟悉基础安全、网络安全、数据安全及安全运营等领域,擅长企业的信息安全解决方案落地,并有体系规划和安全运营经验,拥有CISSP和PMP认证。
通常来讲,终端安全是多数企业安全技术起步的首要发力点,抑或称之为较为容易的入手点。但是,终端安全具体指什么?包含哪些内容?又该如何开展建设呢?
要回答这个问题,首先需要对终端安全在认知层面达成一致,认知的统一有助于更好的指导终端安全建设。
翻阅了很多资料,没有发现对终端安全较为准确、权威的定义说明。结合维基百科和相关国内外安全厂商的介绍,笔者认为,终端安全即端点安全(endpoint security),是指保护端点(如IOT设备)或最终用户设备(如台式机,笔记本电脑和移动设备)的安全。鉴于安全保护重点优先的原则,通常意识中,大家在谈论终端安全时多数指代的是后者(最终用户设备)。
笔者的分享也重点针对后者,为避免歧义,称之为办公终端安全。
关于办公终端安全的建设,缺少一个比较明确的安全框架可以参照。多数企业一方面结合自己的现状痛点,缺什么补什么,缺乏整体的规划;另一方面,也较难评估自己的建设是否完善,还有什么欠缺。笔者结合企业实践和个人理解梳理了办公终端安全管控的技术框架,希望能够给安全从业者在办公终端安全建设时提供些许参考,后面笔者也将结合框架针对两类典型业务场景落地进行介绍。
办公终端安全管控主要从终端资产管理、终端数据安全、终端网络安全和终端安全运营四个维度进行,乍一看和其他安全管控框架维度有相似之处,但办公终端安全管控面临的业务场景不同,管控重心和技术落地点差别较大。
终端资产管理是办公终端安全管控重要一环,是需要安全和IT协同关注的对象,但却不是最先引起重视的点,尤其关于终端标识的管理。终端安全标识是用于指代企业终端唯一性的标注,如果企业的安全工具同时也有外部的合作厂商或人员安装,缺少此类标识,在后期运营阶段和零信任建设中会面临较难区分“敌我”的尴尬,动态授权和数据不落地也会存在痛点。
终端数据安全和终端网络安全是办公终端安全管控的核心。但是,因为企业关注重心的差异,部分企业以终端数据安全管控为主发力点,兼顾终端网络安全管控;另外一些企业则以终端网络安全管控为主,兼顾终端数据安全,少数两者兼优。终端数据安全和终端网络安全涉及较多的安全技术管控点,不同企业建设可以结合企业实际选择进行落地。
终端安全运营,其实运营不止是终端安全管控的独享,在信息安全建设的其他方面同样适用。办公终端安全管控的前期建设,本质上是属于安全工具加持,终端安全运营重点解决从 “主建(应该有)”到“主用(真的有)到“主营(用好,发挥价值)”的过渡,主要可以从运营度量(指标)入手,其中覆盖率、正常率、准确率是不错的几个指标维度。
结合数字化分析,解决凭感觉良好判断终端安全建设优劣的痛点,同时发现风险点或遗漏点优化提升,切实达到保障业务安全的目的。
办公终端安全管控技术框架相较其他安全管控技术框架相对简单,但是在实际业务落地中坑多洞深,想真正切实做好,没有全局的考虑和几把趁手的”兵器”,实属难事。
笔者重点针对两类典型的业务场景落地需要注意的地方做下介绍。
终端泄密防护场景重点关注通过终端数据外泄的情况,一般关注以人、主动或被动形式或通过移动设备造成的泄露。
人(主动)泄露:终端权限管控(外设、蓝牙等)和终端行为管控是主要关注点。多数的单一安全工具也能解决类似诉求,但是如果企业有较多的苹果电脑,Aridrop和苹果端行为的管控是需要认真评估的点,这块可以参见笔者另一篇文章“安全运营视角下的POC测试“。
终端DLP,本质上为解决数据的敏感度识别,如果业务数据除了个人数据外,其他敏感数据占比也较多,就不推荐上了,可以通过其他方式来进行敏感数据的识别。文档加密类工具,如果企业内部办公软件尚未协同IT做好标准化,同理。
人(被动)泄露:主要应对某些特殊原因如被盗,造成电脑丢失的情况。BIOS硬盘加密和远程擦除功能是首选。苹果端的JAMF软件可以留意下,当然,它的功能不只局限于此。
移动设备安全管控,主要针对移动办公的业务场景,单一的采用MDM或MAM都不是最优的选择,尤其安卓端的兼容问题。建议整合到企业的IM工具中,做好数据不落地管控即可,再不济也可以将MAM作为SDK使用。
终端攻击防护场景重点关注因病毒感染、恶意攻击等情形造成终端失陷、数据泄露的问题。终端网络安全中涉及的准入、病毒防护和漏洞管理属于标配,多数厂商的单一产品即可满足需求,但这仅仅是达到了入门。终端攻击防护重心已经从单一的防护转向检测和响应,同时更加依赖云上威胁情报的力量,这也是近年EDR火起来的原因。
2019年时,笔者就曾结合内部安全平台建设小范围落地了终端异常检测联动准入隔离断网(断开内网,不影响上外网),自动启动杀软查杀的场景。推广应用时最大的痛点,排除工具自身能力,已有工具的开放性和稳定性是个难以逾越的门槛,采用商用工具的企业尤甚,自研工具的企业应该不存在这个问题。
不得不提的是,从工具建设层面看,终端防攻击场景也是企业落地“零信任”最好的切入面。
办公终端安全管控可能需要直面所有用户的挑战,保障安全的同时更要兼顾用户体验。随着“零信任“安全理念的发展,办公终端安全管控或许可以做到安全和用户体验的最优化。
1、轻量化:终端工具一定更加轻量化,同时会更加依赖云上安全能力的加持如威胁情报或云查杀;
2、统一化:泄密防护和攻击防护的安全能力会趋于统一由单一安全产品提供;
3、自动化:办公终端安全的防护,会更加依赖自动化响应处置,降低对人工的依赖;
4、协同化:办公终端安全作为企业整体安全建设的重要一环,不会独善其身,一定会持续增强与其他安全能力建设的协同联动;同时,随着hvv的深入,办公终端安全有望成为下一个主战场。
三~四月主题:《终端安全》
征文|肖文棣:终端安全的企业实践征文|杨文斌:终端安全之线段理论征文|陈欣炜:终端安全的一点思考——从机场的终端管控说起征文|蔚晨:浅谈终端安全征文|杨博涵:从防御、监测到运营,浅谈终端安全征文|李琪志:终端安全实践征文|高勇:“泛”终端安全
齐心抗疫 与你同在