全球性疫情爆发,线上远程办公因为具备提升办公协作和企业管理效率、减少人群接触风险等优点,越来越成为一种普遍的办公模式。在这轮线上办公热潮里,各类远程办公产品快速发展备受关注;同时办公场景、终端设备、网络环境等的变化也带来了更多的安全挑战。
腾讯安全结合多年网络攻防经验、以及在协同办公场景的安全积累,对远程办公中较受关注的一些问题与大家进行分享。
线上远程办公迎来新的安全挑战
腾讯安全专家表示,相比传统的企业信息化办公,当前的远程办公模式由于物理空间的变化和不可控,从而衍生了一系列安全风险,具体而言主要表现在终端、链路、和企业服务器三个方面。
从终端和链路的角度来看,远程办公中员工访问的身份、设备、网络都是不可控的:访问者的身份不明,可能被简单侵入访问窃取机密;终端没有安装杀毒软件,存在高危安全漏洞;发起访问的应用是否存在供应链利用的问题,如使用带有问题的xshell版本;终端的网络安全环境不确定,所在网络环境未必有传统的网络安全防护设备,可能是接入了恶意WiFi,也可能有中间人,可能访问有问题的钓鱼网站,也可能存在敏感资产访问扫描、大流量泄密等等。
从企业服务器的角度,远程访问时,企业服务暴露在公网上,此时传统的安全边界被打破,传统企业的安全防护措施如防火墙等难以抵御,可能面临DDoS攻击,伪造终端协议注入或探测等安全风险。
简言之,当前突然性的大规模线上远程办公应用意味着大量企业内部人员需要从企业边界外部如家中的风险Wi-Fi热点,通过各种终端设备访问企业内部系统、能够维持正常工作的账户、文档或者数据。身份、终端、网络、应用等多方面的不确定性,以及蠢蠢欲动的网络黑客,使得企业以及个人信息安全面临严峻挑战。
视频会议需求激增与安全启示
线上远程办公场景中,视频会议作为高频使用的一种办公产品与典型场景,疫情期间迎来用户激增,伴随而来的安全风险,比如近期某视频会议产品出现的安全事件,也给各家厂商和用户敲响了警钟,安全问题不可能完全消失,而我们只能不断努力提升和完善安全防护能力。
面对信息泄漏等安全风险,企业和个人应该如何做好安全保障工作?腾讯安全结合多年安全建设经验,为大家提供以下建议参考。
企业厂商需要建立完善的威胁情报体系,对于可能出现的安全问题以及威胁信息进行实时监测和应对。同时在产品功能设计上加强优化,在提升会议便捷性的同时更加考虑安全和隐私性。应对不断增加的视频会议需求,更加需要企业安全团队的整合管理建设和高度重视,如在安全设计与架构评估、安全检查、安全合规、安全防护、主机安全、数据安全、安全响应等等层面进行全面覆盖和优化,不断保障和提升会议系统的安全性。
对于个人用户,腾讯安全专家建议在使用视频会议时需要注意几点:开会前,提高参会门槛,设置会议密码、开启主持人确认,同时进行有限范围的会议号分享;会议中,及时锁定会议,并开启会议水印,避免执行可疑文件;会议后,删除会议共享文件,及时结束会议。
腾讯协同办公安全防护与建议
对于不断增加的线上远程办公需求,腾讯也开放和升级了一系列协同办公产品服务,并在疫情期间提供了“远程办公工具包”,包含企业微信、腾讯文档、腾讯会议、腾讯微云、腾讯乐享、TAPD敏捷协作平台、腾讯工蜂等,支持企业多种协同办公场景需求。
在办公产品服务的背后,腾讯安全输出的技术和能力一直在提供重要支持,腾讯安全联合实验室以及多个安全团队始终保驾护航。比如针对腾讯会议,安全团队使用Web应用防火墙OWASP定义十大Web安全威胁攻击,同时在业务数据、管理机制、网络设备、接入策略等方面进行多重安全防护。腾讯安全应急响应中心(TSRC)联合云鼎实验室、腾讯会议共同发起“漏洞悬赏”计划, 邀请全国范围内的安全专家、白帽研究员、开发者及安全爱好者,对腾讯会议特定产品及域名范围进行安全众测,单个漏洞额外奖励最高可达 20 万元,共建会议安全。
另外,以“零信任”原则换取系统的“可信安全”,是护航远程办公安全的重要前提。腾讯是率先在国内落地零信任安全架构的企业之一,经过多年应用实践积累, 2019 年由腾讯主导的由腾讯主导的“服务访问过程持续保护参考框架”国际标准在瑞士日内瓦通过立项,形成了国际上首个零信任的安全技术标准。在企业安全运营中,腾讯安全践行零信任的安全理念,结合 20 年运营实践能力,打造了腾讯iOA。它基于身份认证和授权重新构建访问控制的信任基础,确保设备可信、用户可信、应用可信,让终端在任意网络环境中都可以安全、稳定、高效地访问企业资源及数据。
面向广大政府、企业及机构用户,疫情期间为更好地帮助企业解决远程办公安全问题,腾讯安全启动了“网络安全护航计划”,为企业免费提供远程办公安全服务。同时建议企业安全管理人员也可基于“零信任”的安全理念从确保终端和链路安全、网络环境安全和办公后台系统安全三方面着手提升企业网络的安全性。
对于个人用户如何在远程办公中做好安全防范,腾讯安全专家也建议:首先要保障自身设备的安全,推荐部署腾讯iOA、腾讯终端安全管理系统及腾讯移动终端安全管理系统,抵御电脑端及手机端病毒木马入侵,提升设备的安全性。其次,要通过正规官方渠道下载安装软件,并确保邮件、共享文件分发链接的安全性,谨防共享文件成为病毒载体。第三,积极参与远程办公的安全培训。主动掌握必要的远程办公安全知识,共同创造一个高免疫力的办公环境,让每个人都可以积极主动地应对安全威胁。