資安長(CSO)見解:遠端工作挑戰與機會

遠端工作的挑戰之一是在家裡通常需要共享網路連線。儘管大多數企業會為員工提供用來存取系統和服務的 VPN 連線,不過家用網路內的電腦間仍存在著交叉感染的可能性。
可能因為你的小孩不知道逛了哪個網站而中毒了,然後因為是零時差漏洞攻擊的緣故也讓你的電腦受到感染。如何面對在家的裝置必須與其他家用裝置共享環境的挑戰?」 南非SBV Services的資安長Ian Keller最近與趨勢科技的座談分享了他對自己的組織如何應對當前疫情爆發的想法。

新冠狀病毒(COVID-19,俗稱武漢肺炎)的爆發迫使企業改變運作模式。儘管在過去幾年已經有越來越多組織讓員工可以將遠端工作當作選項,但現在這變成了必要的作法。

而這樣對組織運作突如其來的改變也帶來了獨特的挑戰,尤其是在資安方面。對南非SBV Services資安長(CSO)Ian Keller而言,這可能會成為了新常態。

SBV Service為銀行和聯邦儲備系統提供點對點的現金管理,處理、分類和派送現金到該國的不同地區。因為業務的性質關係,公司有車輛和保全人員所組成的實體部分,也有負責公司系統的後端人員。雖然現在企業所提供的服務仍然正常地外出運作(當然,採取了必要的健康預防措施),不過大部分的行政工作都改成在家完成。

Keller是經歷過許多產業的老將,擁有著資訊系統管理碩士學位,專注於降低金融服務市場風險 – 這些讓他擔任資安長這職位得心應手。

最近他與趨勢科技座談分享了他的想法,關於該公司如何應對當下的疫情爆發,將員工轉換成遠端工作時所面臨的挑戰以及之後的計畫。

疫情爆發而非組織變革驅動的遠端工作


從某種意義上來說SBV很幸運,因為他們為了數位化和工業4.0已經花了數年時間來完善其系統。包括有良好的VPN連線規劃,這也確保了其安全防護從辦公室環境轉換到在家工作時能夠做到無縫接軌。

我們花了很多時間將每片拼圖放在正確的地方,所以當現在的狀況發生時,我認為我們唯一沒有預料到的這轉變是由疫情爆發而非組織變革來驅動。”Keller提到:”儘管影響相當小,並且整個過程無縫接軌。但還是需要細化成果、績效、獎金此類評估員工的方式。但在其他部分,技術扮演了重要的角色。我們已經部署的技術讓我們能夠進行遠端運作且仍具備同等級的安全防護。

遠端工作的挑戰之一是在家裡通常需要共享網路連線。儘管大多數企業會為員工提供用來存取系統和服務的VPN連線,不過家用網路內的電腦間仍存在著交叉感染的可能性。

對Keller而言,公司要加強實體端點防護有許多技術可供選擇。但隨著公司轉向遠端工作,資安團隊必須更加重視對最終使用者行為及裝置的分析能力。

他同時重申零信任網路(zero trust network)的重要性以及不斷進行驗證的必要性。當員工必須遠端工作時,對持續驗證的需求對整體安全性有著更大的作用,而這也是SBV已經做了一段時間的事情。

我們從幾年前就開始建立的零信任網路相當程度地發揮了作用。現在尚未採用零信任網路的人已經落後了。就我們而言,我們完成了零信任的網路模式。我們在端點防禦方面擁有了正確的技術。

面對遠端工作的挑戰

工作環境轉換面臨一定的困難。對許多組織而言,遠端工作是部分員工的選擇,但如果突然間每個人都需要在家工作則成為了一項挑戰。

我認為我們現在所處的位置,也是我們正要探索的有趣浪潮之一,就是我們正在尋找什麼會成為新規範。我們正在逐步地建構它,我們正在定義人們對在家工作的期望。

改善公司基礎設施來準備好轉換成遠端工作不僅要確保員工常用應用程式的可用性(和具備適當的保護),還要確保能夠透過遠端桌面提供支援服務。

但即使有了對的技術和系統,重點仍是在使用的人方面,尤其是在談到資訊安全的時候。要保護辦公室內的電腦系統比較簡單,因為公司的IT人員管控著大多數基礎設施。但在家用環境就比較困難了,要分清楚工作和個人生活成為一個難題:

我認為這是從風險的角度來看時的處境。我們已經部署了所有相關功能:鎖住USB端口、部署防毒軟體、監視端點來確保當我們發現問題時就可以進行處理。但問題是,如果你身旁的電腦也位在同一個網路,而且因為你的小孩不知道逛了哪個網站而中毒了,然後因為是零時差漏洞攻擊的緣故也讓你的電腦受到感染。我自己有許多很棒的工具可用,但對沒有的人來說就會遇到問題。

Keller繼續說道:”現在,你坐在家裡,有著許多的裝置 – 因為你家裡有許多成年人,你的孩子雖然已經到了工作年齡,不過因為剛出社會所以頭兩年還是待在家裡。他們有自己的辦公裝置,你也有自己的東西,不過不是所有的裝置都有著同等的設定;並非所有人都有相同的保護。

Keller還指出,因為工作和住家環境間的界線消失往往讓人們的工作時間變得更長。這可能導致在資安方面變得粗心大意,甚至更糟 – 精疲力盡:

我認為我們現在所處的位置,也是我們正要探索的有趣浪潮之一,就是我們正在尋找什麼會成為新規範。我們正在逐步建構它,我們正在定義人們對在家工作的期望。什麼才算足夠?什麼被認為過度?當工作和生活都在同個地方時該如何取得平衡?你要如何在社交生活(或私人生活)與商務生活間取得平衡,如果把它想成有道門,當我走出去就是我的個人生活,而我每天都得走20次。

這是我們現在正忙著參與的下一波演變浪潮。資訊安全就像是乘著浪的那塊衝浪板背面。想像一下自己是個衝浪者來思考這些問題,將資訊安全當成衝浪板的背面。現在你必須趕上前沿技術,同時仍然需要保持平衡。

順應工作環境的新變化和未來的調整需求


當前狀況讓人們(特別是經常有著”座位等於工作”傳統觀念的高階主管)有機會看到遠端工作的價值。隨著公司開始接受員工不管身在何處都可以完成工作的思考模式,安全防護也必須跟上。

Keller指出必須面對在家的裝置必須與其他家用裝置共享環境的挑戰。他還強調了重新設計安全防護以應對現實並同時保持業務運作的重要性:

技術現在不是應該放在哪裡或是應該在哪裡發揮作用。在過去的30年,我們看到了遠端工作者會用VPN連線進來查看內容,取得報告,然後回去做自己的事,接著關上門。”凱勒(Keller)指出:”現在大門會一直開著,24/7都有人進來。技術必須適應這一點。從安全性的角度來看,我認為技術的下一個發展是將會有更多的人工智慧/機器學習元件。可以識別這就是你家用網路的樣子和這就是它所面臨威脅的類型。

我認為我們正處於嶄新數位時代的開始。我不認為我們會再回到過去的樣子,就算會也只是暫時的。有太多事情已經改變了,再也回不去了。

這裡要注意的一點是,儘管人們知道自己已經受到某種程度的保護,並且面臨的風險較小,仍可能會在家中網路出現另一台裝置產生了問題。然後員工會將這些資訊轉給IT人員。對Keller來說,這會變得很複雜 – 因為每個人都有自己的隱私規則,尤其是當涉及到自己的家人。

我認為我們正處於嶄新數位時代的開始。我不認為我們會再回到過去的樣子,就算會也只是暫時的。有太多事情已經改變了,再也回不去了。

展望未來,Keller指出許多組織將不得不去評估在未來有哪些技術需要優先部署,評估的點不僅是在安全防護能力方面,還有在經濟效益上。例如當一家公司希望保留遠端工作模式而保持最低限度的本地端點,則可能不得不重新評估網路存取控制之類的技術是否仍有意義。

正如他所說:”因此我們必須改變思考方式,當我們為一項技術或任何事物付出一百萬美元,我們需要帶回150萬美元或比支出還多20%的價值給公司。當你改變思考方式時,現在不再只是為了需求而去買,而是如何讓業務運作得更好。如何適應我的業務?

當世界回到正常狀態時,Keller認為有許多公司會保留他們制定的一些政策和調整措施來應對工作環境的變化。

但他認為必須做到更好的管控。SBV原本就提供高階主管用於遠端工作的基礎設施,只是Covid-19的狀況迫使他們將這些功能擴展給更多人。制定政策並不是大問題,未來比較大的問題將會是在政策執行面上。

關鍵之一是要有人承擔責任(accountability),特別是在沒有人要求人們負責的在家工作環境,尤其是在安全性方面。

你對辦公室環境擁有比在家環境更多的管控能力。我們必須認清楚這一點。想辦法去達到平衡。”Keller說:”我們如何打造這一點?我們如何在確保滿足所有業務目標的同時繼續向前?

這將是有趣的時刻。

訂閱資安趨勢電子報

@原文出處:CSO Insights: SBV’s Ian Keller on the Challenges and Opportunities of Working Remotely