最近一次的Pwn2Own(2021年秋季在奧斯丁)包含了比以往更多的物聯網(IoT ,Internet of Thing)項目。讓我們有機會探究現今最大、最新的企業攻擊面:家庭辦公室。
員工參與的混合模式(即大部分時間在家工作)已經不再是一種臨時模式。根據蓋洛普2021年5月發表的研究報告,有十分之七的白領在家工作,這數字並沒有太大變化。(更多資訊請參考蓋洛普:十分之七的美國白領仍遠端工作。)員工們更加喜歡這模式,有著更高的工作滿意度 – 且根據主管的說法,生產力有著顯著提高。許多企業計劃繼續使用遠端工作者,而強制要求回到辦公室的企業則發現員工有很大的反對聲浪。
遠端工作者依靠家庭辦公設備與企業連線。這些裝置很多樣化:沒有兩個家庭有相同的IT和IoT配置。從我們的研究可以看出家庭網路在面對攻擊時有多麽脆弱。資安長(CISO)現在需要處理這種新工作模式對企業攻擊面所帶來的根本性擴張。企業已經為員工提供了用來連線的電腦或智慧型裝置;但這些裝置可能使用在有漏洞的環境。許多家庭物聯網裝置會持續監測家庭環境 – 智慧型恆溫器、門鈴、電視、照明設備和語音助手(Alexa、Siri 等),並將資料回傳給企業所有者。這些裝置往往只用了基本安全功能,讓駭客有辦法入侵這些裝置為自己所用。還記得2019年駭客接管嬰兒監視器的問題嗎?只需採用更長的密碼且保持軟體更新,就可以解決許多這類攻擊。有些家庭使用者願意且有辦法自己採取行動,將其視為家庭經營的一環。但許多人並沒有。
企業面臨的風險是,隨著家庭成為主要的工作場所,家庭裡的那些小麻煩就會成為企業的漏洞。如果有70%的員工在家工作,那麼IT需求加總起來會壓倒企業資料中心的實體基礎設施。家庭使用者同時使用多項服務,家庭網路內的分割程度為零。影子雲 – 家庭使用者所擁有但非透過企業採購取得的雲端服務,為企業資料滲出提供了一條吸引人的路徑。企業服務可能成為虛擬貨幣挖礦程式的宿主,網路釣魚攻擊可能將勒索病毒引入環境。物聯網流量很難分析出漏洞。很少有傳統網路安全公司能夠無縫涵蓋傳統IT和ICS流量。但惡意軟體可以輕鬆地穿越混合技術的扁平網路,躲開傳統偵測。
資安長可以採取什麼作法來管理這加劇的風險狀況?很少有員工會同意讓自己家不斷接受漏洞掃描。但大多數人都希望自己是安全的,因此企業應該支持這種需求。IT服務部門可以協助加強安全防護,提供使用者可用的工具來保持安全。除了傳統的教育訓練外,企業還可以提供如何提升家庭網路安全的課程。有些廠商提供提升網路還原力(cyber-resilience)的產品;企業可以用折扣價向員工提供選定產品作為福利。在某些情況下,看似提高安全性的措施可能會適得其反 – 例如第三方VPN可以無條件存取所有的企業資源。更好的作法可能是升級企業服務以納入多因子身份認證。這樣一來,員工在使用電子郵件等功能前必須先進行身份認證。順帶一提,這類技術與零信任策略相一致。
更全面性的作法可能是用虛擬機或遠端瀏覽器來取代公司電腦,員工透過它存取公司資源而無需將資訊傳送到本地端裝置。這種作法好處之一是,如果裝置遺失,公司不會遺失資料,且在發生入侵事件或意外災難時,只需提供新的VDI連線就可以讓使用者回復連線。這不會強化家庭網路的安全防護;但能夠將裝置與家庭網路隔離開來 – 只依賴其上網。要保護網路連線,首先要使用強(讀作:長)密碼,並且隨時保持安全更新。這種作法讓員工知道他們的網路環境不安全,不可信任。或者該說他們的網路環境可以再加強。