近来全国疫情出现反弹,众多企业被迫开启居家办公模式。对于非常依赖内网办公的企业而言,这种远程的办公模式会将大量的身份验证信息、操作权限暴露于并不安全的外部互联网络中。
无论是公司网络还是个人网络,安全边界的扩大或消失无疑给企业数据信息安全构成了潜在威胁。本期话题就围绕疫情期间如何保障企业网络安全展开:
1.在居家远程办公条件下,相比纯粹使用个人电脑,利用公司派发的装有相关安全工具的电脑,能够起到多大的安全防护作用? 2.在远程接入的情况下,企业的应该如何构建身份验证机制来确保安全? 3.针对远程使用的软件,是否会部署本地化远程类服务器?如何最大程度确保安全性?
(本文所有ID已做匿名处理)
1.在居家远程办公条件下,相比纯粹使用个人电脑,利用公司派发的装有相关安全工具的电脑,能够起到多大的安全防护作用?
@浅蓝
我已经在家1个月,这个月我经历了从上家离职,和远程入职下家。公司派发的电脑,除了特制的工作软件和V**,不如家里的好用,比如企业版杀毒软件,脱离了公司内网,也就脱离了公司的杀软服务器,难以第一时间更新 ,有些公司电脑有准入,在家里有时候还无法上B站等。
@蝉夏
公司发的从来不接入办公网络。
@晚街听风
如果员工自带个人电脑,然后接受安装相关安全软件,那么如果员工离职的情况下,格式化电脑之后,还有风险吗?
@God
肯定有啊,建议消磁。
@淡色
建议电脑用公司配的硬盘,离职就理所当然回收硬盘。
@柚子味的诗
电脑BitLocker加密外加AD TPM托管密钥,不要说离职了,在职拆走硬盘也没有用。
@蝉夏
只要文件脱离了公司环境,就有可能泄漏。
@星海之中
搞个沙盒或者云桌面办公,只进不出那种。
@淡色
个人电脑拿来公司用,一律按办公电脑规范要求,比如加密封USB。
@大白
安全管理角度,cope比byod管起来方便太多,型号固定,甚至可以定制固件,该装的终端管理软件都预先装上了,设备直接绑定使用人,资产登记也方便。
2.在远程接入的情况下,企业的应该如何构建身份验证机制来确保安全?
@浅蓝
用双因素认证,有条件的话上零信任,比如citrix workspace。
@淡色
V** 双因素认证 准入规则。
@安之若素
有活儿了V**进去,干完了麻溜的下线,只要我的速度快,谁也别想黑到我。
@强颜欢笑
远程办公,有条件的可以参考外企的处理方式, Chromebook或者深度定制的软硬件设备。 我只知道Amazon国区部分员工用的是HP定制的小本,从软件到硬件深度定制,只能访问与工作有关的内容,而Chromebook其实本地几乎没有数据。这两种方式,除非拆机或者拍照,理论上不会出现大规模泄露事件。
@心境
终端电脑各种安全管控,只能访问指定的网络,公司V**有准入机制,外部电脑连接不能访问生产系统。
3.针对远程使用的软件,是否会部署本地化远程类服务器?如何最大程度确保安全性?
@浅蓝
可以考虑堡垒机。
@晚街听风
堡垒机之前有讨论过,管理方面的话如果是V** 堡垒机 虚拟桌面,这个有没有什么问题呀?
@浅蓝
V**很卡,堡垒机很卡,虚拟桌面很卡,三个加起来非常卡, V** 堡垒机 ,鼠标已经像放幻灯片了。 普通办公,尤其是文档类,其实用家里电脑的WPS处理下 ,上传到公司OA或者企业微信文档都行,除非公司服务器某些端口开放,家里V**就能连,不然很卡,reboot命令过去没反应等。
@温存记忆
还加个DLP,防止电脑的敏感业务数据外泄。
@风之乐
DLP还行,有那么点作用,我们每天都会审计网盘下载日志。
@浅蓝
DLP,或者杀毒软件本身的限制,在家办公,会有一定的局限性比如财务同事带着电脑回家,报税的时候插U盾, DLP或者杀软拦截,这个时候申请开通白名单,也必须在公司的网络,在家隔离根本不出来,所以完全没法工作,恶行循环。
@星火
我今天跟同事商量了一下我的蜜罐搭建方案,没蜜罐,想钓点poc都没有办法。
@最爱鱼的喵
可以做集群,部署一些真实的测试服务,然后联动防火墙,通过API接口自动阻断。
@温存记忆
蜜罐可以抵挡hvv的大批量自动扫描,发现而封禁攻击IP。
@最爱鱼的喵
是的,起码这点还是可以保证的自动扫描这些收集资产操作。如果你们足够有钱,在内外网搭建n个节点集群,其实也很安全的。
本期精彩观点到此结束啦~
