因疫情被按下的“暫停鍵”，已逐步切換成復(fù)工復(fù)產(chǎn)的“快進(jìn)鍵”。疫情催生的遠(yuǎn)程辦公、視頻會議、在線教育、遠(yuǎn)程醫(yī)療等新模式、新業(yè)態(tài)，正在加快涌現(xiàn)和發(fā)展。

有專家認(rèn)為，數(shù)字化辦公場所及遠(yuǎn)程辦公機制將成為數(shù)字化轉(zhuǎn)型的重要支撐。后疫情時代，非接觸式的遠(yuǎn)程辦公，將是新寵。《周易》有云，君子豹變，企業(yè)應(yīng)當(dāng)做好后疫情時代的遠(yuǎn)程安全辦公布局。

梳理：遠(yuǎn)程辦公的主要模式

對于大多數(shù)企業(yè)而言，當(dāng)前使用的遠(yuǎn)程辦公能力是臨時搭建的，安全能力相對薄弱且不完整。后疫情時代，如何保障遠(yuǎn)程辦公軟件的穩(wěn)定性、安全性，多角度加固網(wǎng)絡(luò)安全體系，賦能企業(yè)的數(shù)字化轉(zhuǎn)型、提質(zhì)增效，是企業(yè)需要重點考慮的問題。

目前，企業(yè)普遍采用的遠(yuǎn)程辦公方式主要包括：

1、通過虛擬專用網(wǎng)（VPN）：在公用網(wǎng)絡(luò)（通常是因特網(wǎng)）中建立一個臨時的、安全的連接，形成一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道，為員工日常辦公需求，包括獲取公司內(nèi)部郵件、訪問局域網(wǎng)中的文件服務(wù)器、內(nèi)部數(shù)據(jù)庫、CRM、ERP等等。

2、遠(yuǎn)程控制辦公：主要通過遠(yuǎn)程控制技術(shù)，或遠(yuǎn)程控制軟件，對遠(yuǎn)程電腦進(jìn)行操作辦公，實現(xiàn)非本地辦公：在家辦公、異地辦公、移動辦公等遠(yuǎn)程辦公模式。

3、遠(yuǎn)程會議/社交：主要通過社交軟件進(jìn)行遠(yuǎn)程視頻會議的方式進(jìn)行工作安排、討論、匯報等。

?

盤點：企業(yè)面臨的幾個典型安全場景

企業(yè)遠(yuǎn)程辦公無疑增加了企業(yè)信息資產(chǎn)的暴露面，帶來了企業(yè)的核心數(shù)據(jù)資產(chǎn)的安全問題，包括敏感數(shù)據(jù)的使用、賬戶行為、代碼傳輸以及社交軟件的通訊信息傳輸?shù)陌踩缘?。另外，遠(yuǎn)程辦公為企業(yè)在員工績效、工作成果等考核也帶來了一系列的考驗。

1、企業(yè)采用VPN技術(shù)為員工建立與內(nèi)部網(wǎng)絡(luò)的鏈接，對企業(yè)的賬號管理規(guī)范、人員管理規(guī)范帶來調(diào)整，會涉及一系列的賬號盜用、業(yè)務(wù)違規(guī)等安全隱患。

2、針對企業(yè)的信息資產(chǎn)、數(shù)字資產(chǎn)通常采用遠(yuǎn)程控制維護(hù)，增加了企業(yè)核心資產(chǎn)的暴露面，被攻擊導(dǎo)致數(shù)據(jù)泄露、資產(chǎn)破壞的風(fēng)險增加，同時，遠(yuǎn)程控制也會帶來企業(yè)資產(chǎn)被惡意遠(yuǎn)控的安全隱患。

3、企業(yè)采用郵件、社交軟件進(jìn)行工作安排、溝通以及會議等，郵件和社交軟件的通訊都是通過互聯(lián)網(wǎng)，數(shù)據(jù)傳輸存在巨大的風(fēng)險。

安恒信息針對遠(yuǎn)程辦公期間面臨的主要網(wǎng)絡(luò)安全問題，逐個分析并給出安全建議。

?

01遠(yuǎn)程辦公VPN賬戶行為異常

問題描述：VPN賬戶疑似越權(quán)、提權(quán)、訪問敏感數(shù)據(jù)等。

場景分析及建議：

VPN賬戶行為建模的三大要素為用戶、資產(chǎn)和行為特征。提取VPN系統(tǒng)的賬號日志、結(jié)合網(wǎng)絡(luò)全流量信息，構(gòu)建用戶異常行為模型，讓企業(yè)具備對最可能影響系統(tǒng)的各種異常用戶行為進(jìn)行系統(tǒng)性識別和評價。為企業(yè)提供VPN賬戶異常行為監(jiān)測能力：

1）確認(rèn)用戶的類型和權(quán)限，及時發(fā)現(xiàn)越權(quán)和提權(quán)賬戶行為；

2）確認(rèn)資產(chǎn)的類型和應(yīng)用以及數(shù)據(jù)承載等，及時監(jiān)測是否存在異常VPN賬戶訪問敏感數(shù)據(jù)等；

3）VPN賬戶關(guān)聯(lián)分析研究，將各類安全威脅和安全事件，與用戶異常行為特征庫和用戶畫像等進(jìn)行關(guān)聯(lián)分析，從中監(jiān)測出具備明顯的異常行為溯源。

?

02核心業(yè)務(wù)系統(tǒng)出現(xiàn)異常訪問

問題描述：核心業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫出現(xiàn)非法訪問和鏈接。

場景分析及建議：

檢測思路1：基于訪問特征學(xué)習(xí)的異常行為檢測

用戶對業(yè)務(wù)應(yīng)用的正常訪問，應(yīng)該沿著應(yīng)用現(xiàn)有的邏輯結(jié)構(gòu)進(jìn)行，訪問路線必然同應(yīng)用的邏輯結(jié)構(gòu)相吻合。通過構(gòu)造用戶訪問模型，即可獲得用戶訪問圖，則用戶每次的正常訪問路徑必定是大圖內(nèi)的子圖。通過用戶畫像平臺的數(shù)據(jù)，分析用戶的訪問特征，可以快速的發(fā)現(xiàn)用戶的異常訪問行為。

檢測思路2：基于統(tǒng)計特征的異常行為檢測

由于正常的訪問請求占絕大部分，且彼此之間具有明顯的相似性，而異常的查詢請求日志則有明顯的差異，因此非常適合采用相似性分析的方法進(jìn)行區(qū)分。在分析應(yīng)用日志時，可以把發(fā)送查詢請求的主機IP地址作為對象，也可以把應(yīng)用異常文件作為對象?？梢葬槍δ硞€屬性進(jìn)行分析，也可以針對一組屬性進(jìn)行分析。因此不同的對象和屬性組合在一起可以得到很多種描述性矩陣。通過對比跟蹤分析，發(fā)現(xiàn)異常的用戶的訪問行為。

03企業(yè)內(nèi)部數(shù)據(jù)泄露行為

問題描述：遠(yuǎn)程辦公期間，企業(yè)的內(nèi)部數(shù)據(jù)通過各類遠(yuǎn)程渠道對外暴露，造成較大的安全隱患。攻擊者會挑選大家不注意的時刻進(jìn)行數(shù)據(jù)竊取。

場景分析及建議：

統(tǒng)計局域網(wǎng)內(nèi)每臺服務(wù)器的網(wǎng)絡(luò)流量變化，就可以檢測流量異常行為。統(tǒng)計正常用戶的流量變化規(guī)律，統(tǒng)計流量上行和下行的規(guī)律，分別統(tǒng)計工作時間和休息時間的規(guī)律。

利用線性回歸分析預(yù)測一個用戶在某個時刻的下行流量，如果實際流量比預(yù)測流量大太多，則認(rèn)為這個用戶出現(xiàn)異常，進(jìn)一步分析該用戶的當(dāng)前行為。如果出現(xiàn)IP（用戶）的流量規(guī)律明顯異常，則跟蹤分析這些IP（用戶）的當(dāng)前行為，判斷這些IP（用戶）是否在竊取網(wǎng)絡(luò)數(shù)據(jù)。

04釣魚郵件和詐騙郵件

問題描述：企業(yè)常常會通過電子郵件群發(fā)重要通知文件，員工也需要電子郵件傳遞交流工作內(nèi)容，此時如防御松懈，易發(fā)生攻擊者破解入侵員工郵箱，或者有攻擊者發(fā)送釣魚郵件，非常時期容易誘使企業(yè)或員工上當(dāng)受騙，造成各類信息泄密或財產(chǎn)損失事件。

場景分析及建議：

可對企業(yè)郵箱的賬號登錄時間、郵件數(shù)、敏感詞的進(jìn)行監(jiān)測分析。

1)通過登錄時間、頻率、周期等指標(biāo)監(jiān)測，發(fā)現(xiàn)阻止暴力破解行為或潛伏破解行為；

2)通過收發(fā)郵件的數(shù)量分析、發(fā)送對象分析、附件大小審計，發(fā)現(xiàn)異常的收發(fā)郵件行為，檢測賬戶失陷、數(shù)據(jù)泄露、郵箱炸彈等事件；

3)通過郵箱基線分析、內(nèi)容敏感詞識別等，檢測詐騙郵件。

05內(nèi)網(wǎng)資產(chǎn)出現(xiàn)橫向滲透常

問題描述：企業(yè)在遠(yuǎn)程辦公期間容易懈怠內(nèi)部安全問題，給攻擊者可乘之機，內(nèi)部網(wǎng)絡(luò)中出現(xiàn)大量的橫向異常鏈接。

場景分析和建議：

利用全流量分析設(shè)備對內(nèi)網(wǎng)網(wǎng)絡(luò)的流量進(jìn)行分析。

1)監(jiān)測主機/用戶的高危端口連接情況，及時發(fā)現(xiàn)連接異常連接高危端口的主機或用戶；

2)監(jiān)測主機/用戶的地址、端口連接數(shù)量情況，及時發(fā)現(xiàn)有掃描路徑、端口行為的主機或用戶；

3)監(jiān)測主機/用戶的流量分布情況，及時發(fā)現(xiàn)異常上傳或下載行為的主機或用戶。

06內(nèi)部核心服務(wù)器性能異常

問題描述：遠(yuǎn)程辦公期間，內(nèi)部核心服務(wù)器，如VPN服務(wù)器、堡壘機以及辦公平臺接收大量的外部請求，可能會造成性能瓶頸，影響遠(yuǎn)程辦公。

場景分析和建議：

通過主機日志接入，基于時間序列監(jiān)控，進(jìn)行核心服務(wù)器狀態(tài)監(jiān)測，及時發(fā)現(xiàn)性能異常。

1）主機CPU使用情況、主機內(nèi)存使用情況、主機進(jìn)程情況，及時發(fā)現(xiàn)因挖礦病毒等導(dǎo)致的計算資源異常情況；

2）分析企業(yè)內(nèi)部VPN、單點登錄設(shè)備等服務(wù)器的性能情況，對遠(yuǎn)程辦公期間帶來的大量請求進(jìn)行及時性能預(yù)警，保障遠(yuǎn)程服務(wù)的可用性。

07社交通訊軟件互聯(lián)網(wǎng)傳輸

問題描述：遠(yuǎn)程辦公期間，大量的工作通訊信息通過社交軟件如釘釘、企業(yè)微信、QQ等進(jìn)行傳輸，面臨巨大隱患。

場景分析和建議：

采用第三方加密產(chǎn)品或方案，解決信息傳輸安全隱患。

解決方案推薦

1、端到端加密，保障社交通訊安全

基于釘釘入口提供第三方加密解決方案。采用國密標(biāo)準(zhǔn)算法，對信息（包括文字、圖片、語音、視頻等）全面加密；讓信息在傳輸、存儲過程中都是加密狀態(tài)；離職人員無法解密在職期間任何信息；除了信息所有者，任何第三方均無法查看，確保數(shù)據(jù)的安全性及私密性。

2、點對點/面行為分析，及時監(jiān)測異常行為

UEBA技術(shù)提供端到端的分析，從數(shù)據(jù)獲取到數(shù)據(jù)分析，從數(shù)據(jù)梳理到數(shù)據(jù)模型構(gòu)建，從得出結(jié)論到還原場景，自成整套體系，提供用戶行為跟蹤分析的最佳實踐，記錄了人產(chǎn)生和操作的數(shù)據(jù)，并且能夠進(jìn)行實際場景還原，從用戶分析的角度來說非常完整并且直接有效。幫助用戶防范賬戶異常操作，避免數(shù)據(jù)泄露，在遠(yuǎn)程辦公期間提高新型安全事件的檢測能力，增強服務(wù)質(zhì)量，提高工作效率。

?

安全，是遠(yuǎn)程辦公的前提。針對遠(yuǎn)程辦公的痛點，安恒信息推出了遠(yuǎn)程辦公安全解決方案，助力用戶安全“通關(guān)”。歡迎咨詢。
?

?