一場疫情不僅加速推動數位化,也改變職場的工作型態,許多公司開始採取遠距上班。如今進入後疫情時代,許多公司開始採取「混合式辦公」,也就是進公司和遠端上班輪流進行,但有不少企業例如 Meta、Google 和美國大型金融機構,都逐漸要求員工回到辦公室,企業做出這樣的安排,主要是考量到資安風險。
網路攻擊增加近 7 成,企業得轉向零信任架構
資安風險成為遠距上班的一大課題。根據《金融時報》指出,2020 年網路憑證盜竊和網路釣魚、商業電子郵件等社交攻擊,導致增加超過 67% 的網路侵害事件。網路應用程式的資料外洩事件更是倍增,凸顯遠距上班使得網路安全暴露在高風險之中。
對於大多數企業組織來說,遠距上班或混合式最大的擔憂是它資安風險,企業或許在網路安全部分,可以採取「零信任(zero trust)」和「終端安全 (endpoint security)」等措施,來降低風險。
所謂零信任是一項概念,在確認來源可信之前,沒有任何連線、使用者或資產可以信任,以此為前提之下強化資安風險的控管,例如動態決定存取權限、嚴格認證與授權、只提供執行工作所需的最低必要權限。
♦︎ TO 推薦閱讀:AI 網路釣魚開信率比人工詐騙更高!AI 讓資安防護升級,如何讓駭客也超進化
防火牆、VPN 已過時?四步驟應對資安新困境
過去,企業以傳統架構進行資安控管,例如以防火牆和 VPN 阻隔外界、保護內部,但隨科技進步,防火牆並不能保障絕對的資訊安全,反倒有可能遭駭客入侵。同時,當員工以手機連結公司文件或開啟工作信箱,也可能因公共的 Wi-Fi 導致訊息外流。
後疫情時代,辦公室的界線被打破,已經沒有任何形式是「絕對安全」。因此,採取零信任架構是至關重要的趨勢。
外媒《Tech Wire Asia》建議企業組織,要執行零信任架構,須審慎思考下列四個關鍵步驟。
- 對所有業務功能進行持續的終端管理,全面了解應用程序、數據點和連接的狀態
- 保持對數據進行加密,對關鍵資訊進行編碼,只能由具有正確加密密鑰的用戶訪問或解密
- 實施多因素身份驗證(MFA)系統,要求用戶提供兩個或多重驗證因素
- 使用安全 Wi-Fi 網絡,並管控網路和設備連結的權限
至於終端安全,是一種保護遠端連接到客戶端裝置網路的方法,但是在家中遠距上班,很難確保員工的行動裝置、物聯網設備都是百分之百安全。因此《金融時報》也建議,企業要做出正確的投資,例如升級 VPN、或考慮提供員工購買在家工作所需的硬體設備,如果員工使用自己的設備,必須定期進行軟體更新。
康卡斯特(Comcast)網路安全解決方案副總裁 Tharnish 也建議企業要不斷進行線上的威脅檢測,這是讓企業從被動,轉變為主動應對網路攻擊的第一步,並讓網路安全團隊保持在快速反應的警惕狀態中。
好主管秘笈來了!
9 個 how-to 和 3 個 don’t do
讓你的領導之路不再心累
(本文開放合作夥伴轉載,資料來源:Techwireasia、FT、CNBC,首圖來源:Unsplash)