查看原文
其他

诸子笔会2022 | 王忠惠:时刻准备好办公线上化

王忠惠 安在 2022-07-04




自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。




时刻准备好办公线上化


     文 | 王忠惠




王忠惠

上海千寻位置网络有限公司   安全专家




 

信息安全专业硕士,10年以上网络攻防经历;曾多次规划组织部级前沿网络攻防项目;现带领团队围绕服务、应用和IoT,建设软件安全能力和网络防护能力所需的产品、技术和平台。



即使没有2020年初至今的新冠疫情,企业办公信息化治理也在经历基础设施云化、软件系统SaaS化的变革进程。在这场进程中,网络触达即可见、移动设备即可用是众多信息系统重构时需要重点考虑的内在业务需求。而相比居家办公,快速便捷办公时机和无处不在的办公条件是远程办公在社会行为模式方面最为有趣的影响,例如格子衫在地铁上用电脑联调代码,技术员在高铁上用手机视频指挥应急,或者快递小哥蹲在路道口处理内部评价。移动互联网和应用软件改变了我们的生存模式,也改变着企业原本守旧单一的运营模式。


正如并非所有企业的运营模式适合线上化一样,并非所有企业能够认识到移动互联网带来的机遇和挑战。应用和数据不再固守于企业内网或数据中心,团队协作和视频会议随时随地发生,如何妥善安排好商业机密和业务价值?信息安全团队是否已经做好了准备?


大量采购的远程办公工具,包括邮件、会议、IM、知识库以及差旅、招聘、绩效等企业管理的SaaS应用软件,已经深入了企业的内部运作,企业移动入口的钉钉和企业微信所承接的会议、文档、日程和创意的数字资产是否被合理开发利用并受到了安全保护。项目管理、产品设计、系统研发、采购制造、运维管理以及安全应急等细分领域的工具,在保障提高公司业务开展方面,能否被直接远程访问并配备了安全措施。面对办公安全,我们需要梳理企业办公和业务生产过程中发生的场景化式的安全问题。


从网络基础设施到网络资产,要比以前更加关注安全边界的重塑过程。从云计算时代开始,我们总在谈论网络边界被打破,传统安全工具不能用于模糊的网络边界,统一身份管理是企业网络安全的新边界,此类等等。对于办公线上化,这些概念化的说法背后究竟发生了哪些改变?



首先,相比业务系统的复杂度,拥有更高可见度的办公应用大量暴露在公网。虽然三方邮件服务比自建的邮件服务器更有技术优势和安全应急,但不可否认的是,并非所有的办公应用具备产品和技术的成熟度优势。其次,黑客更容易通过职场社交应用和公共媒体信息了解一家企业员工信息和IT状况,实施一场针对公开办公应用的社会工程学攻击比传统网络攻击手法更有先决条件。最后,当办公线上化后,内部信息安全团队根本无法通过批量限制网络区域、IP网段、协议端口等网络基础来增强办公应用的网络安全性。


面对数量众多的办公应用,我们的安全关注点将发生一次迁移。比起部署在哪(毕竟基础防护通过投资就可以短期获得),更应该关注办公应用如何被访问。梳理办公应用的线上化方式,网络入口、身份认证、数据保护、管理控制以及不可或缺的供应链安全信息。


一次围绕网络资产的综合防护运动是不可避免的。内部实施的应用,无论在云上还是在IDC,办公网的VPN总能作为信息安全团队拿来称道的技术手段;但凡可以支持IP白名单访问的SaaS应用软件,开启办公网公网出口IP白名单,又一次用VPN解决了;此外,还有集中资源通过内部系统集成实现对SaaS应用软件托管,屏蔽员工的直接账号访问。


这一场安全运动似乎执行得很完美,但总有漏网之鱼,而且数量可观。IM怎么办?移动办公微应用怎么办?手机切换VPN不高效如何处理?操作审计怎么实现?毕竟VPN不是银弹,不能完美适应更弹性可持续的网络机制。我们迫切需要实现分布式的安全访问代理和企业身份访问管理来改善远程办公的网络机制。


通过消除VPN的单一入口,提供丰富的网络访问方式,并分别实施管控来增强安全团队的防护能力。告知企业应该优先采购现代化的办公应用,要能够支持接入企业自身的访问控制和身份控制。由此可知,办公应用对现代安全范式的支持改变不可避免。当然财力雄厚的企业,可以购买专属服务或者自研运营来保证对办公应用的完全掌控。


不可遗忘的网络与终端的安全准入,持续建立可信任的办公环境。企业有很多理由将办公应用线上化,不仅仅是为了远程办公,便捷高效是更为重要的原因。但允许哪一类型的终端设备访问应用,却是信息安全团队非常棘手的问题。



通过桌管、反病毒、网络准入和DLP这套组合拳,可以妥善管理大多数员工的电脑设备。但是安全团队稍稍喘息,又遇上了差旅期间VPN不稳定、员工云入职、管理层线上审批等业务场景问题,毕竟现有成熟的安全防护技术仅在电脑上相对有效。线上办公得考虑即开即用,80%以上的任务最好在移动设备上就能够完成,效率要求极高,电脑设备就显得笨重很多。然而,手机往往属于个人物品,信息安全团队显然无法对私人设备实施准入和管控。


除了重复的宣贯和彼此的谅解,满足安全合规并被员工信任的移动安全套件势在必行,而信息安全团队又不可避免要去平衡企业行为与员工隐私的关系。虽然已经有大量移动设备的安全解决方案,但将办公应用迁移到移动入口,如钉钉、企业微信、飞书等,也是一次值得的尝试。基于移动入口完善数据安全也将是信息安全团队再一次安全关注点的转移。


难以回避的生产研发所需硬件设备的远程测试是安全办公线上化的一个短板。这是远程办公时的一个盲区,不可回避。无论是办公职场,还是机房,或者是制造车间,总有测试硬件用于生产研发过程,这也是远程办公带来肉眼可见的新麻烦。不太稳定的网络、不够便捷的操作,容易掉电的设备,原本这些都不是问题,但在远程办公时,解决起来都不太容易,更何况还会遇到不确定的疫情封控,人员协调也是难题,同时在制造车间的网络和设备又需要极高的安全性。


我们总在实施各种办公应用的线上化,但缺乏对测试硬件线上化的投入。无论是采用零信任的技术,还是仿真现实设备的元宇宙,围绕软件系统构建的邮件、会议并不能指挥一台设备如何正常工作,如何被合理妥善地访问,而不会出现线上化之后被黑客轻易入侵的局面。信息安全团队再一次要与业务方并肩面对。


面对硬件设备的远程测试问题,配备一只物联网研发能力的团队不可或缺。笔者所在的公司便是通过自研设备管控软件,并实施相关的物联网安全能力间接解决了远程测试的问题。不过,也期待业界有更多路径清晰、实施便捷的方案能够采纳。另外一个相似的场景,就是工业控制设备在数字孪生和办公线上化之后会遇到哪些安全问题,对设备控制能力的外化过程又将是一次效率和安全的进化过程。


我们要知道,远程办公将要持续面对的是非常场景化的问题,关系业务连续,也关系安全自身,需要信息安全团队持续思考、持续解决。不可否认,在未来,任何地方都可以成为工作场所,而不仅仅是办公室。我们对工作场所的需求是不断变化的,需要的不仅仅是办公桌、会议室和设施。但经过整整两年的新冠疫情,在第三个年头里,很多科技巨头开始后悔支持永久居家办公,已经开展混合办公模式的苹果公司多次公开表示员工最终会回到办公室,Google正在鼓励员工返回线下办公,马斯克要求特斯拉员工每周到办公室40小时。毕竟,企业内在数字化效率需要更复杂的分工协作和社会沟通,企业的生产制造无法脱离繁重的生产设备和交付体系,单一的社会模式永远不能代表多元化的创新活动。而对于安全从业者而言,应当观察办公趋势的变化,并时刻准备好线上化的安全能力。








推荐阅读

2022诸子笔会  

【5月主题:安全之变】

 王忠惠   张永宏  朱文义  于闽东  刘志诚  杨文斌 

 孙琦  孙瑜  半藏咸鱼  肖文棣  王振东  陈圣


推荐阅读

2021首届诸子笔会

   颁奖 | 评优投票 | 1月盘点 | 12月盘点

11月盘点 | 10月盘点 | 9月盘点 | 8月盘点

7月盘点 | 6月盘点 | 组团 | 报名








原文阅读查看往期征文合集

齐心抗疫 与你同在 



你怎么这么好看


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存