思杰Citrix谈如何缓解新出现的家庭工作网络威胁

思杰大中华区总经理于放

目前，员工们的工作还处于分散状态，对企业而言，重要的是考虑这种新的工作场景对网络安全环境的影响，以及IT领导应采取哪些额外的措施来保护远程工作的员工。

在中国，受到疫情影响，远程办公市场呈快速增长态势，有数据显示，截至2020年12月，中国远程办公用户规模已达3.46亿人。疫情之初，人们急于启动并快速运行远程工作系统，一时顾不上确保安全和数据保护程序符合要求。事实上，思杰最近对7500名上班族进行的全球Workquake调查发现，目前超过三分之一（39%）的员工正在使用未经其IT部门批准或明确禁止的应用程序。

犯罪分子瞄准了在家工作的员工：针对消费者的网络欺诈有所增加，但更多的是，犯罪分子将居家工作的员工作为攻击目标。他们利用疫情和居家工作造成的人为的脆弱性，特别是压力，而频频得手。这包括个人压力、部门压力和安全人员的压力。

个人压力：网络钓鱼攻击靠分散注意力而得手

从全球来看，疫情的波动性、不确定性、复杂性和模糊性（VUCA）现在已进入了第二波，甚至将进入第三波。无论是照看责任、家庭教育还是其他压力，个人都很容易被精心设计的网络钓鱼邮件分散注意力。

部门压力：瞄准业务流程

压力也会影响整个部门。尽管IT尽全力为员工们提供支持，但他们可能无法足够快的对外部事件做出反应。IT部门不能再依靠非正式的面对面交流来处理紧急和不寻常的情况。他们也可能建立了不太安全的新工作模式来应对这种压力。犯罪分子知道这一点，会利用高风险业务流程中的漏洞，例如利用“水坑攻击”。
他们通过找到被攻击企业受用户欢迎的网站，或者敏感的职能部门（如财务），来进行水坑攻击。网站被攻破后，恶意软件会立刻传播给所有相关群体。所以，处于敏感岗位的个人应该被告知，熟悉的网站未必是可信的。

安全人员的压力：同时发生多个攻击

犯罪分子会制造新的压力。企业发现出现了越来越多的“掩护”攻击，网络犯罪分子对企业发起明目张胆的攻击，例如对公开的企业网站进行拒绝服务攻击。他们的目的是分散安全应急人员的注意力，使他们不会注意到与此同时发生的、更安静的“真正”更轰动的攻击。IT和安全部门不应将明面上的攻击视为日常工作，而一定要准备好一次检测多个攻击并作出响应。明智的做法是将这种情况作为一种安全应急演习而进行演练。这类定期演习可能因为某些原因被推迟了，随着安全人员已经适应了居家工作，现在应该迎头赶上了。

为了应对这些新的攻击模式，在此介绍2021年所有企业应考虑的三个关键要素：

1、分析技术能发挥核心作用

分析技术是能立即检测出安全异常的强大工具。这可能很简单，例如从一个不寻常的位置登录（例如，个人从未访问过的国家）。也可能很复杂，比如跨多个敏感应用程序的非典型工作模式。当检测到异常时，系统会做出响应，例如要求管理员对访问进行授权。

可能很难注意到对系统的攻击，但攻击确实遵循可预测的模式。分析技术能识别出这些模式，智能地将这些异常组合在一起，从而为安全人员提供帮助。这支持实时处理同时发生的多个威胁。

2、IT部门要做到可与员工随时进行沟通和互动

IT员工比以往任何时候都更需要与员工顺畅的互动，这样员工们就可以放心地与IT交流安全问题。

一个简单的想法是企业在新的安全控制措施中加入在线通信工具。消费者习惯于看到聊天机器人；可以考虑在新系统中设计一个安全聊天机器人，这样陷入困境的用户就可以在需要的时候得到指导。

3、帮助那些处境最危险的人

每家企业都包含高风险群体：包括高级管理人员、财务人员和系统管理员。这些群体当然需要针对他们面临的具体威胁进行定期安全培训，并更新处理这些威胁的业务流程。

然而，责任的重担不应仅仅落在他们的肩上。增强安全技术（包括具体的应用程序控制措施和最新的硬件）结合专门的支持团队（“hypercare”），能够满足他们的安全保护和支持需求。

下一波攻击将针对混合工作环境

随着疫苗的逐步推开，我们也不再全天候居家工作，混合工作模式将可能成为最主要的工作模式。事实上，在思杰自己的Workquake研究中，44%的受访者表示，即使疫情缓解，他们也愿意经常性的在家工作。

未来的攻击很可能针对这种混合工作环境，让形势更混乱，产生新漏洞。犯罪分子在攻击前会收集详细的信息；不仅是关于系统的，还有关于人员的。可以从领英等企业社交网络上获得很多企业信息。招聘人员在寻找人才时会使用这些信息。犯罪分子也会使用它，甚至有专门的工具自动填写组织机构图。只要对工作模式稍有了解，他们就会发动攻击，因为他们知道部门是分散工作的，关键人物不在。

企业应该假设攻击者非常了解他们，并相应地做好计划。至关重要的是，在打击网络犯罪的过程中，每个人都应该知道，提前发现总比被攻破好。如果发生通信意外或者请求异常，那么在采取任何行动之前都应先进行检查。