freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Freebuf甲方群话题讨论 | 聊聊企业远程办公的安全之道
  • 关注
Freebuf甲方群话题讨论 | 聊聊企业远程办公的安全之道
2022-01-13 19:27:00
所属地 上海

自新冠疫情爆发后,远程或在线办公得到了大规模普及,尤其是近来,多地疫情出现反复,远程办公成了部分企业的常态化措施。从安全角度来看,远程办公意味着办公网络的边界被打破,稍有不慎,就会导致网络安全威胁激增。因此,需要企业重新审视自身的安全策略,降低安全风险。本期话题围绕“企业远程办公的安全之道”为主题展开讨论:

1.企业远程办公往往带来了哪些新的安全风险?企业应该如何调整安全策略来应对?

2.在远程办公的背景下,零信任是否已成为网络安全的新风口?企业在具体落地时会遇到哪些困难和挑战?

(本文所有ID已做匿名处理)

1.企业远程办公往往带来了哪些新的安全风险?企业应该如何调整安全策略来应对?

@小艾

可造成资料外泄。

措施:程账号严格审查、权限最小化、员工签相关协议。

@水煮鱼

远程办公会导致数据泄露,公司内部资料、数据、代码等外传,且不太好追踪。

策略:上终端DLP、手机DLP、以及定制化的IM工具。

@糖炒栗子

一般都是怎么解决?小型公司上堡垒机,大型公司的话是多架设,还是说在vpn过程上要加多重认证呢?

@小艾

VPN加多重认证只有更麻烦, 我之前公司加了个microsoft authenticator ,但经常遇到验证码发送失败。

@赤~诚

vpn加桌面云。

@Tony

严格点来说远程办公是有可能增加数据泄露的风险,再说撞库与否(主观不是别人拿其他平台泄露的密码,来尝试嘛,诱因在外部)。跟远程办公关系又不大了。

@DDk

我司在办公网没有资源,所有资源都是saas和云上。所以远程办公毫无压力,但是的确存在一些识别得点:

1.基于办公网外网ip白名单得项目比较麻烦,需要vpn单独配置一下;

2.如果vpn能根据用户组分配不同得网络权限会更好,不过实际我们办公网也没做过;

3.vpn接入点还是在办公网,依然是一个单点,我现在在分公司就直接把vpn接入点扔到云上了。后续总部也可以以此做一个备点。

@糖炒栗子

无非就是安全风险的问题,远程办公造成安全边界问题,引起风险。

@巴旦木

我司远程办公是通过VPN+云桌面,不同的用户组有不同的访问区域,研发和运维还是能保证一定安全的,但财务、人事等部门,数据泄露的风险比较高。

2.在远程办公的背景下,零信任是否已成为网络安全的新风口?企业在具体落地时会遇到哪些困难和挑战?

@鸽鸽

疫情两年了已经,丝毫没有感受到零信任可以变成风口的可能:

1,大多数企业还是依赖vpn这种方式;

2,零信任落地难度大,技术没有那么成熟;

3,在全球经济如此低迷的情况下,安全投入直线下降,有刚需的公司占的比例并不大。

@暗夜侠客

个人觉得零信任是做好了网络层面的安全机制,但是对于需要落地的数据安全没有太好的办法。

@大大橙子

零信任个人看法是,还是得看自己的技术体系,如果没有微服务、容器化、混合云 (还是传统的主机、应用)那其实就是做好边界隔离、口令安全这些,否则就得去做更细化、更持续化的权限控制、授权。

从这个角度看,价值也是相关的,在微服务、容器化、混合云的场景下,产生了更复杂细化的数据和权限的保护风险,需要零信任来满足这些安全需求。

@Angel猫

下面我说下我对零信任的理解:

1、解决了安全准入了问题。很多人办公有使用公司电脑,有使用个人电脑,不管何种方式,终端的安全才是企业关注的重点。而通过零信任设定安全准入规则例如:终端必须满足防毒软件+基线的要去。

2、解决了权限问题。过去VPN只是提供了一个网络的入口,而无法解决终端身份的确认和权限的分配。例如销售按照常理是不需要去访问研发系统,而零信任解决了这个问题。

3、减小了互联网攻击面。

就零信任产品而言,它未来是有很大市场的   企业也会慢慢去接受它的。

最后终点就是,终端安全究竟需要哪些产品,满足安全办公需求。除防病毒 +桌管 +DLP, 个人认为零信任应该有一席之地。

@Tony

是的 只要有应用场景,带来便利性的同时又能减少安全的一些问题,后面就是市场接受度问题。就像前五年,你喊hids很少人接受,现在接受的人越来越多。

@Angel猫

零信任的原理也很简单,就是通过一个代理,解决流量的走向,你是走内网还是走公网,解决了身份识别的问题:你是谁,你有哪些权限 ,你能访问谁?这是过去VPN无法做到的事情。

@铁蛋儿~

我接触过几个零信任的厂商,一种是装Agent,代替VPN场景,当达到不可信的评分值时候,断掉与公司之间的网络连接。另一种是,终端上运行沙箱,沙箱中封装VPN,做到数据不落地,给我的感觉跟云桌面没啥区别。

@一叶之秋

云桌面的成本可太高了,一般企业搞不起。

@铁蛋儿~

不算是云桌面,就是自己终端上运行沙箱,通过沙箱与内部数据连接。

本期精彩观点到此结束啦~此外,FreeBuf会定期开展不同的精彩话题讨论,想了解更多话题和观点,快来扫码申请加入FreeBuf甲方群,小助手周周送福利,获取最新行业秘籍,还不赶快行动?

如有疑问,也可扫码添加小助手微信哦!

# events
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
1.企业远程办公往往带来了哪些新的安全风险?企业应该如何调整安全策略来应对?
    2.在远程办公的背景下,零信任是否已成为网络安全的新风口?企业在具体落地时会遇到哪些困难和挑战?