随着疫情的放开,大多数企业的员工因“阳”不得不在家办公。
据当前的趋势来看,一线城市的大小企业已经出现高比例的员工感染,不少工作人员或出于安全的考虑选择居家办公。
但无论是被迫居家隔离,还是主动远程办公,大多数企业都面临着相同的问题:是否能放心拥抱远程办公模式?
除了工作效率问题,还有就是居家办公的网络安全问题了。由于远程办公持续,网络边界模糊化等现状将造成企业安全问题的频发。
远程办公需要员工自备办公设备以及网络,会存在远程接入的内网不安全这个问题,进而导致公司遭到黑客的恶意攻击,造成公司的一些重要文件被泄露出去,损害公司的利益。
而且在远程办公中不同的员工所处的位置不一样会连接到不同的网络,这些网络没有经过加密,很容易受到黑客的侵犯,员工在处理一些重要文件的时候,有可能会导致这些重要文件被黑客窃取的风险。
除了远程接入内网不安全之外,在办公场所多样、网络环境复杂的远程办公场景下,这些安全隐患也不可忽视,例如:
员工在外或在家连接Wi-Fi进行远程办公时,因部分公共场所、家庭Wi-Fi密码设置简单,安全漏洞也长期未修补,除了有被人蹭网的风险外,还有可能会被黑客攻击,伪造虚假网关,劫持和盗取传输数据,导致信息泄露;
远程办公的用户,由于缺少了企业网络的保护,会比以往收到更多的不明邮件,而缺乏安全意识的员工往往会点击攻击者伪造的“企业通知”、“疫情预防贴士”等高危电子邮件和附件,并在不经意间泄露个人敏感信息;
远程办公的员工会频繁使用第三方软件办公、传输资料,这些包含公司重要信息的数据或明文文件可能被外泄,给企业带来经济损失。
就当前的趋势来看,远程办公、混合办公会成为主要的办公模式,那么,企业要如何保护远程办公员工的办公安全呢?
一方面,对远程办公员工要实施精细化访问管理。访问管理和用户身份验证通常基于一组清晰的策略,决定哪些身份可以访问哪些资源以及可以执行哪些操作。粗放的访问策略会给用户太多特权,可能导致代价高昂的数据泄露。
因此,访问管理的授权策略应尽可能精细化,以确保不会为远程办公用户提供过多的访问权限。这些策略应该在所有SaaS应用程序和本地应用程序中保持一致,并在托管和非托管设备上强制执行。
除了基于用户角色或属性的策略外,访问管理策略还可以基于浏览事件。对网站会话的高级分析可以阻止对特定恶意网页的访问,同时又不会损害因完全阻止访问而导致的用户体验。
另一方面,要培训提高远程办公员工的网络安全意识。当然,这不仅针对远程办公员工。远程办公场景中,钓鱼邮件攻击激增,很大一部分原因是员工缺乏安全意识、警惕度不高,随意点击不明邮件所致。
根据Verizon的2022年度DBIR报告,82%的安全事件涉及人为因素。无论是使用被盗凭据、网络钓鱼、还是人员疏忽和失误,“人的因素”在重大网络安全事件中仍然发挥着非常重要的作用。远程办公只会增加网络钓鱼的攻击数量攻击和复杂性。根据微软的未来新工作报告,62%的安全专业人员表示网络钓鱼活动是新冠疫情期间增长最为迅猛的威胁。
如果不对员工进行必要的安全意识培训,提高其对网络攻击复杂性和严重性的深刻认识,任何安全解决方案都将形同虚设。员工必须接受培训,了解对网络威胁和风险保持警惕的重要性,例如识别网络钓鱼电子邮件或网站、防范恶意软件注入和意外的私人数据错误传递。企业需要定期进行网络钓鱼演习、不断提醒员工每个人都需要为企业网络安全负责。
例如,通过游戏化方法让员工主动参与安全防御是提升安全培训效果并减少不必要的安全支出的好方法。
与此同时,根据相关调查报告显示,即使有很多企业存在远程办公模式,但只有30%接受调查的公司已做好安全防护准备。其余企业因预算、精力等原因,在安全方面关注少、投入少,更别说远程办公安全了。所以,这个场景下,成本投入少、精力投入少、简单便捷的安全办公产品将成为企业的首选。
数影方案基于一种新的数据安全建设思路,坚持始终在线,永不落地的原则,从数据源头出发,以较低的成本和更好的用户体验,帮助企业进行数据安全治理。
在远程办公场景中,数影办公空间能随时随地安全访问企业内网,不限设备,覆盖多种办公场景,保证远程办公员工访问安全。而且,来自多个网络的应用服务汇聚到统一的办公空间内,即点即用,使用过程中数据不落地,确保远程办公安全的同时,兼顾用户体验及办公效率。