在早春的時(shí)候，確保用戶能夠在家安全地訪問必要的應(yīng)用程序是其首要任務(wù)。現(xiàn)在，3-4個(gè)月過去了，在家工作似乎還會(huì)繼續(xù)……至少會(huì)持續(xù)一段時(shí)間。下面是你接下來6個(gè)月及以后需要做的事情。

“我們應(yīng)該如何調(diào)整我們的網(wǎng)絡(luò)安全控制，以應(yīng)對(duì)在家工作（WFH）的新現(xiàn)實(shí)？”這個(gè)問題是首席信息官和安全主管們的頭等大事。在談到后COVID時(shí)代的網(wǎng)絡(luò)安全時(shí)，每個(gè)首席信息官都需要回答以下的三個(gè)關(guān)鍵問題：

在我的IT環(huán)境中，使用模式和架構(gòu)有了什么變化？

這些變化將帶來哪些風(fēng)險(xiǎn)？

我需要對(duì)我的網(wǎng)絡(luò)安全態(tài)勢(shì)和控制環(huán)境進(jìn)行哪些更改？

使用模式和架構(gòu)的變化

對(duì)于許多組織來說，在家工作并不常見，尤其是對(duì)于那些從事財(cái)務(wù)、人力資源、市場(chǎng)營(yíng)銷等橫向業(yè)務(wù)職能的傳統(tǒng)辦公室工作人員來說。而且，當(dāng)他們需要什么東西的時(shí)候，他們更加習(xí)慣于到別人的辦公桌前。這在兩方面影響了使用：遠(yuǎn)程訪問現(xiàn)在對(duì)許多員工來說是至關(guān)重要的，而溝通和協(xié)作解決方案對(duì)許多員工的工作效率也非常重要。

尤其是那些通常在獨(dú)立網(wǎng)絡(luò)上運(yùn)行的最敏感的應(yīng)用程序。這不僅給保護(hù)需求帶來了問題，也給遵守全球和行業(yè)法規(guī)帶來了問題。

風(fēng)險(xiǎn)將如何變化

風(fēng)險(xiǎn)是某種不良事件發(fā)生的可能性及其對(duì)組織的影響的函數(shù)。在網(wǎng)絡(luò)安全中，這種可能性受攻擊者的活動(dòng)和在系統(tǒng)正常、合法使用的背景下的IT環(huán)境的脆弱性的影響。其影響包括了攻擊對(duì)機(jī)密性、完整性、可用性、生產(chǎn)力或適當(dāng)性的影響程度。要了解COVID-19和架構(gòu)變化的影響，我們必須了解這些變化所帶來的威脅、弱點(diǎn)和沖擊。

與節(jié)假日、體育賽事或自然災(zāi)害等任何大范圍的事件一樣，在大流行期間，我們也看到了黑客活動(dòng)的增加，垃圾郵件和釣魚攻擊也在增加。此外，由于使用上的變化，有時(shí)還會(huì)使用新方法進(jìn)行欺詐或以其他的方式損害組織。例如，一旦Zoom被廣泛用于了會(huì)議，黑客的“Zoom轟炸”就成了定局。

當(dāng)WFH成為了許多人的新現(xiàn)實(shí)，當(dāng)公路戰(zhàn)士把他們的活動(dòng)和常規(guī)做法從wi-fi熱點(diǎn)帶到了他們的家庭環(huán)境中時(shí)，風(fēng)險(xiǎn)更高的將是他們對(duì)家庭網(wǎng)絡(luò)的重新關(guān)注。雖然筆記本電腦通常在這些情況下可以被很好地加固，但家庭網(wǎng)絡(luò)在過去并不是重要的目標(biāo)，可能需要更多的關(guān)注。

在漏洞方面，服務(wù)器和應(yīng)用程序資源可能會(huì)受到更多的攻擊，這僅僅是因?yàn)镮T環(huán)境將網(wǎng)絡(luò)連接擴(kuò)展到了家庭;這也可能會(huì)暴露筆記本電腦、家庭網(wǎng)絡(luò)和跨更多組件的應(yīng)用程序的新漏洞（考慮網(wǎng)絡(luò)中斷或路由）。已經(jīng)習(xí)慣于隨時(shí)隨地進(jìn)行計(jì)算的公司知道如何處理這些環(huán)境，但是新的使用模式和體系結(jié)構(gòu)對(duì)其他公司來說將會(huì)是重大的變化。由于組織和商業(yè)伙伴之間的相互聯(lián)系，認(rèn)識(shí)到這些伙伴（比如供應(yīng)鏈中的伙伴）正在經(jīng)歷類似的挑戰(zhàn)可能是有用的：因此，整個(gè)相互關(guān)聯(lián)的環(huán)境正承擔(dān)著更大的風(fēng)險(xiǎn)。在這種情況下，可能會(huì)有第三、第四、甚至是第五方參與到活動(dòng)中來。

最后，COVID-19帶來了對(duì)通信和協(xié)作應(yīng)用程序的一個(gè)全新的依賴程度，這可能是以前所不存在的。這也可能是關(guān)于風(fēng)險(xiǎn)最具挑戰(zhàn)性的概念--即使在技術(shù)上沒有任何改變（雖然不是真的），其影響也會(huì)增加，而這是企業(yè)在這個(gè)充滿挑戰(zhàn)的時(shí)代努力維持生存的一種可能的情況。由于資源的分散性，技術(shù)支持也在受到影響。任何類型的分類或惡意軟件的感染等都會(huì)產(chǎn)生更大的影響，僅僅是因?yàn)樾枰~外的后勤工作來解決問題。

對(duì)網(wǎng)絡(luò)安全控制環(huán)境的影響

在歷史上，通過尋址物理位置（通常是數(shù)據(jù)中心）、網(wǎng)絡(luò)和服務(wù)器/主機(jī)，IT環(huán)境受到了“自下而上”的保護(hù)。通過將所有計(jì)算設(shè)備放在同一個(gè)房間內(nèi)（數(shù)據(jù)中心、接線柜等），在物理安全方面可以獲得規(guī)模經(jīng)濟(jì);而在網(wǎng)絡(luò)安全方面，也可以通過將所有設(shè)備放在同一個(gè)物理網(wǎng)絡(luò)上并使用防火墻進(jìn)行隔離來實(shí)現(xiàn)。通過使用站點(diǎn)到站點(diǎn)的虛擬專用網(wǎng)、web安全網(wǎng)關(guān)和其他解決方案，這些規(guī)模經(jīng)濟(jì)得到了擴(kuò)展。

雖然規(guī)模經(jīng)濟(jì)效益不高，但端點(diǎn)安全在多年來得到了增強(qiáng)，如今的企業(yè)筆記本電腦也具有較強(qiáng)的安全性。然而，智能手機(jī)、平板電腦和員工所擁有的筆記本電腦則是另一回事。一些組織已經(jīng)建立了一個(gè)包含所有內(nèi)容的安全計(jì)劃，而其他組織則仍然基于對(duì)完全資產(chǎn)所有權(quán)的預(yù)期。當(dāng)然，隨著分布式計(jì)算、互聯(lián)網(wǎng)、虛擬化、云和軟件定義了一切，許多其他因素都在這些年中發(fā)生了變化。然而，許多相同的原則也都已經(jīng)得到了應(yīng)用。但COVID-19將會(huì)改變這一切。

在第一次留守令發(fā)布后的一天內(nèi)，COVID-19帶來了明顯的改變。對(duì)許多組織來說，第一個(gè)大的障礙是如何確保用戶能夠在家安全地訪問必要的應(yīng)用程序。當(dāng)然，虛擬專用網(wǎng)是第一道防線，而且非常常見，但是解決性能和管理問題的需要也變得至關(guān)重要。改變網(wǎng)絡(luò)安全訪問限制和規(guī)則對(duì)一些人來說會(huì)是一個(gè)巨大的負(fù)擔(dān)。

然而，其他的一些公司只是在創(chuàng)新曲線上走得更遠(yuǎn)一些，就幾乎沒有什么重大問題了。這些公司經(jīng)常會(huì)對(duì)谷歌的BeyondCorp架構(gòu)或其他零信任功能進(jìn)行建模，以引入分配給用戶和應(yīng)用程序的動(dòng)態(tài)規(guī)則，這些規(guī)則會(huì)隨著位置的變化而變化。他們?cè)谡麄€(gè)環(huán)境中都部署了多因素身份驗(yàn)證。它們有效地將安全級(jí)別提升到了更高的水平，能夠聚焦于用戶、數(shù)據(jù)和應(yīng)用程序，而不管通常使用的設(shè)備或網(wǎng)絡(luò)是什么，也不管它們存儲(chǔ)在哪里。

網(wǎng)絡(luò)安全專業(yè)人士早就意識(shí)到，需要更有力的控制措施來保護(hù)日益復(fù)雜的計(jì)算環(huán)境。對(duì)于一些已經(jīng)完成了工程和集成工作的程序來說，現(xiàn)在可能是考慮緩慢推出新架構(gòu)的好時(shí)機(jī)了。

然而，對(duì)于其他落后的項(xiàng)目則必須更加保守。在平衡未來攻擊的風(fēng)險(xiǎn)和阻礙合法用戶生產(chǎn)力的負(fù)面影響之間的界限從未如此清晰?，F(xiàn)在不是以增強(qiáng)安全的名義破壞生產(chǎn)率的時(shí)候。但這并不意味著可以忽視它，而是意味著需要非常小心。

WFH下的10個(gè)長(zhǎng)期任務(wù)清單

下面的建議會(huì)假設(shè)與現(xiàn)有控制環(huán)境篩選相關(guān)的火災(zāi)都已被撲滅，而且環(huán)境暫時(shí)是穩(wěn)定的。

在接下來的六個(gè)月里

自動(dòng)化、自動(dòng)化、自動(dòng)化--想方設(shè)法確保補(bǔ)丁、密碼重置、變更控制、事件管理和其他手動(dòng)流程在任何可能的地方和任何時(shí)間都實(shí)現(xiàn)了自動(dòng)化。

到處部署多因素身份驗(yàn)證--任何人都應(yīng)該清楚的一個(gè)教訓(xùn)是，你不能依靠密碼來做任何事情，即使是在組織內(nèi)部。雖然不是靈丹妙藥，但多因素可能是最接近靈丹妙藥的東西，它可以在任何地方降低風(fēng)險(xiǎn)。

制定BYOD計(jì)劃，即使你通常不允許BYOD，也要確保你有辦法能夠讓非托管設(shè)備訪問組織資源而不犧牲安全性。其中也包括需要注意家庭的網(wǎng)絡(luò)安全。

檢查數(shù)據(jù)治理策略和程序--確保能夠識(shí)別所有者，并解決與內(nèi)容相關(guān)的任何策略問題，如云環(huán)境的管轄權(quán)問題。

升級(jí)第三方/第四方合規(guī)計(jì)劃--創(chuàng)建一個(gè)不需要實(shí)地考察的持續(xù)合規(guī)計(jì)劃。依賴于第三方審計(jì)，活動(dòng)和控制的持續(xù)性報(bào)告，以及健壯的架構(gòu)來進(jìn)行保護(hù)。

評(píng)估對(duì)位置或資產(chǎn)導(dǎo)向控制的需求--努力消除應(yīng)用程序在某個(gè)設(shè)備上運(yùn)行、在某個(gè)位置或某個(gè)網(wǎng)絡(luò)上運(yùn)行的需要，以便提供保護(hù)。

在未來18個(gè)月內(nèi)

創(chuàng)建一個(gè)虛擬SOC--無論是通過MSSP還是利用SaaS解決方案，構(gòu)建一個(gè)可隨時(shí)隨地監(jiān)控的SOC。

將應(yīng)用程序和數(shù)據(jù)與網(wǎng)絡(luò)和設(shè)備安全分開--確保從任何網(wǎng)絡(luò)路徑上的任何設(shè)備訪問應(yīng)用程序和數(shù)據(jù)時(shí)都將受到保護(hù)。

實(shí)現(xiàn)一個(gè)云安全網(wǎng)關(guān)或環(huán)境--創(chuàng)建一個(gè)基于云的環(huán)境，以路由任何網(wǎng)絡(luò)流量，并應(yīng)用合適的安全保護(hù)。

開發(fā)一個(gè)分布式的完整架構(gòu)--將加密和完整性整合到數(shù)據(jù)和應(yīng)用程序當(dāng)中。
責(zé)編AJX