远程工作时代的安全挑战与应对

关键要点

• 远程工作的灵活性使得安全防护必须向左推进。
• 多层次的防御策略依然重要，但需要对远程员工提供同样的保护。
• 利用云技术优化监控与防护，以应对复杂的网络安全威胁。

随着远程工作选项的日益灵活（无论是常态化还是假期使用），企业在保持安全性方面必须加快步伐。尽管一些人已经回到办公室工作，但显而易见，大多数人还是选择在家办公或是在公园、咖啡店等地办公，甚至有时还会享受“工作假期”。负责保护企业资产的人员必须假设这些设备始终处于敌对环境中。

在疫情之前，许多致力于提升安全成熟度的组织已经开始尝试“向左推进”安全策略。那么，什么是“向左推进”？简单来说，这意味着将工作流程向开始阶段靠拢。这个概念源自软件开发，整个开发过程从左到右展开，左侧表示开始。在安全应用中，我们同样运用“向左推进”这一术语，但我们指的是攻击链，它从左侧的侦察阶段开始，直到右侧的攻击行动（数据窃取或其他攻击者目标）。

多年来，最全面的安全策略通常涉及深度防御。这种思路基于这个前提：并不是所有技术都适合检测特定类型的威胁，因此最好采用分层的方式进行防御。这些层通常与攻击链中“左侧”的位置直接相关。如果你能通过网络边界的防火墙、电子邮件或网页过滤器检测到威胁，那么你就能在威胁对运营造成负面影响之前将其遏制。

理想的情况是，你可以尽可能早地检测到并阻止攻击者。将检测工作的重心向左推进，也可以提醒安全分析师可能正在发生的入侵，从而启动更有针对性的威胁狩猎，以预判攻击者可能利用的防御漏洞。

对于在办公室的员工，你可以集中控制这些防御措施，提供最佳保护。问题在于，是否能够在远程工作时为员工提供同样的保护？当员工不在办公室时，能否监控并对检测到的威胁作出反应？如许多人所观察到的那样，当我们因疫情封锁时，许多地方缺乏准备，这一做法并不如我们预期的那样顺利。

虽然在网络受控时监控仍然可以带来许多好处——如减少终端开销和将威胁远离敏感资产的能力——但我们必须确保在外出时能够尽可能带走这些保护措施。

我们需要确保不仅保护措施得以优化，而且依然具备监控、检测和响应针对这些远程资产攻击的能力。目前大多数组织已经开始使用EDR/XDR解决方案（或计划在不久的将来实施），这是一项良好的开端，尽管并非所有解决方案都足够全面。

在远程工作时代，保护不足的远程用户可能遇到许多问题——恶意网址、下载和网络攻击，仅举几例。在“以前的日子里”，这些威胁通常由守卫公司“堡垒”的设备来处理。当用户“走出堡垒”时，最大的缺失组件是HTTPS过滤和类似于下一代防火墙所实现的网页内容检查。当将这些技术与预执行保护、行为监测、机器学习模型、客户端防火墙、数据丢失防护（DLP）、应用控制和XDR结合时，你就开始构建一套全面的防御体系，使攻击者很难突破，即使终端设备是“无拘无束”的。

为了使像零信任网络访问（ZTNA）这样的倡议有效，我们不仅需要将我们所互动的应用程序进行封装，还必须将连接到这些应用程序的终端设备进行封装。简单的检查，例如操作系统是否更新以及是否安装了安全软件，可以作为一个良好的开端，但并非所有保护措施都等同。

随着大多数设备在使用时始终连接互联网，我们可以利用云技术来提供无处不在的保护和监控。现代安全解决方案必须假设终端设备或手机在任何时候都处于敌对环境中。过去“内外有别”的理念不仅过