广告

远程工作成常态,再忽视云端网络安全就弱了!

时间:2020-07-28 作者:Ann R. Thryft 阅读:
远程工作者数量越来越多,而且开始看起来不只是个临时现象。这个趋势加速了朝云端服务的持续转移,有助于解决因为攻击面扩张以致大幅增加的网络安全问题,不过同时也衍生新的安全性问题。
广告
EETC https://www.eet-china.com

世界各国与新冠病毒(COVID-19)疫情相关的就地避难、居家隔离规定,让远程工作者(remote worker)数量越来越多,而且开始看起来不只是个临时现象。这个趋势加速了朝云端服务的持续转移,有助于解决因为攻击面扩张以致大幅增加的网络安全问题,不过同时也衍生新的安全性问题。

市场研究机构Gartner在3月份针对全球人资主管所做的一项调查显示,有88%的受访企业组织鼓励员工在家上班。4月份该机构针对财务主管进行的一项调查则发现,有74%受访企业有意将部分职位永久性转为异地办公(off-site),有三分之一则是已经或准备削减办公室内所需的技术支出,主要原因是有可用的技术能支持远程工作,所节省的成本也有助于避免更大幅度的成本削减。

另一家市场研究机构IDC在6月份发表的报告则显示,西欧有超过六成的企业表示将继续维持至少一部分最近实施的在家工作政策。多家科技巨擘包括Twitter、Facebook、Google、Microsoft与Amazon,还有Square与Quora等公司,也预期在办公室重新开放之后仍会让大部分员工在家工作,至少会持续到夏天结束或是年底,甚至没有期限或是永久实施。

转移到云端是好主意或坏主意?

企业组织已经转向云端服务好一段时间,这并不是新策略;但是横跨众多产业领域的远程工作者数量出现前所未有的扩张,加速了这个转变。伴随而来的则是企业从对于办公室内网络安全解决方案的需求,转向对保护云端数据以及越来越多协作、远程工作、行动办公工作者之安全平台的需求。

IDC Research安全服务项目副总裁Christina Richmond接受《EE Times》采访时表示,从今年1月起,该机构每两周就进行一次全球性的调查,关注新冠病毒疫情对企业IT支出的冲击,受访者包括负责或对IT产品与服务支出决策具影响力的IT与业务部门高层主管。该调查发现,数据与应用程序转移至云端一直在加速。

IDC调查有一个重复提出的问题是,与原先规划的2020年度IT支出预算相较,安全性产品与服务的实际支出受到疫情影响的程度如何?在6月4日至15日的调查中,有45.3%的受访者表示他们正在增加支出,高于12周的平均数字36.4%。

Richmond表示:“当我们将云端服务的加速成长与IT产品或服务支出的加速成长摆在一起讨论,意味着转向云端服务的加速也增加了安全性支出。”

在此同时,对远程访问工具的攻击事件也在增加。早在4月份,网络安全软件开发商卡巴斯基(Kaspersky)的报告就指出,对远程桌面通讯协议(Remote Desktop Protocol,RDP)──大多数在家工作者用此存取企业网络──的暴力攻击(brute-force attacks)数量,从3月初的每个国家每天大约几十万次,在4月底增加到每个国家一天近百万次。

今年6月,网络安全方案供货商ESET的报告则指出,对远程访问应用程序(包括RDP)的网络暴力攻击事件,从1月份以来增加了大约300%。另一家网络安全方案领导业者McAfee针对全球超过3,000万名IT专业使用者的调查则发现,从1月到4月,云端服务的使用率增加了50%,但最惊人的数字是协作工具软件的使用在同时期增加达600%。

在此同时,来自外部攻击者的威胁飙升630%,大多数都是瞄准那些协作工具。McAfee的报告也发现,存取云端的未受管理个人设备数量增加了一倍。

(图片来源: McAfee)

虽然来自内部的威胁在同一时期并没有显著的改变,企业员工通常误解了自己在云端环境安全维护上所扮演的角色。此外,事实上,云端环境更容易受到不良份子的攻击。McAfee研究院士暨云端安全性工程副总裁Sekhar Sarukkai接受《EE Times》访问指出:“利用云端,所有的客户使用相同的基础API以标准化方法来开通并管理其使用;这与IT世界是截然不同的情况,后者拼凑使用许多不同的技术,而且大部分是专有的。”

“不过一旦上了云端,所有的客户基本上都使用相同的平台接口,因此维护接口安全的责任成为共同分担,而且大多数责任是在客户身上;”这使得企业员工更容易犯错,因为他们会误解在“缝隙”的产生上,自己该负的责任与云端服务供货商的责任。

“不良份子也知道这一点,”Sarukkai表示:“他们也了解到,当应用程序与数据转移到云端,而非透过每家企业各自不同、复杂的互连技术来运作,他们能透过标准化的云端API攻击暴露的缝隙。”

在云端环境,网络接取仍然未受保护

企业组织已经开始迈向在云端进行协作,新冠病毒更为此趋势推波助澜;而针对云端的攻击事件数量已经变得比攻击企业的事件更多。Sarukkai指出:“不良份子能轻易地闯入云端环境并发起云端原生攻击,绕过防火墙、代理服务器等传统安全方案。”

对于客户而言这可能是看不到的,因为旧的程序与工具无法提供云端数据的可见性与控制。而大多数客户已经转向例如Office 365、AWS与Salesforce等云端平台;他指出:“一旦你把所有东西搬上云端,你的企业网络内部还有什么数据会让不良份子感兴趣?”

不过云端网络安全方案供货商Bitglass最近的一项调查显示,就算居家避难规定解除,有超过八成的IT专业人员预期将继续支持远程工作者,但有41%还没有采取扩大保护那些员工的行动,甚至有三分之二的受访者表示,网络接取是他们最大的安全顾虑

有一半的受访者表示,恰当的设备是他们保障安全接取的最大障碍;因此,现在有65%的组织允许个人设备存取受管理的应用程序,但至少有一半组织认为这是很大的安全风险。

(图片来源:Bitglass)

Bitglass营销资深副总裁Kevin Sheu表示,在过去的5~10年,一直有围绕零信任(zero trust)、端点防护以及行动设备的讨论;甚至在新冠病毒疫情爆发前,接取云端的设备就成长了很多。“对于云端安全性控制方案的采用逐年增加,因此在某些方面,如果我们继续追随过去5~10年来的趋势,远程工作者的扩增不应该是一个新问题。”

然而新冠病毒疫情强调了对安全性的需求,缺乏安全性的原因有部分来自于预算。Sheu表示:“但更需要强调的是,就算有无限预算,你会花费在什么上面?”所以对远程与行动设备的网络安全方案之采用,可能会快速增加。

直到疫情爆发,实际上没有什么因素会促使企业组织接受远程工作者,因此人们认为他们可以透过例外管理(managing by exception)来解决;但因为疫情,现在所有人都是例外。Sheu表示:“我们不会回到100%的办公室内环境,因为我们发现我们就算不进办公室也能相当有生产力;很有可能发生混合情况。”

Sheu指出,在这种有许多例外的混合环境中,人们使用的不同种类设备数量将大幅扩张,自带设备已经不再是例外,还有更多不受管理的设备将变成常态而非例外,云端安全性的扩展速度将会更需要加快。

编译:Judith Cheng   责编:Yvonne Geng

(参考原文:As Remote Workers Expand, So Do Cloud Cybersecurity Problems,By Ann R. Thryft )

EETC https://www.eet-china.com
本文为EET电子工程专辑 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
Ann R. Thryft
EETimes工业控制技术编辑。Ann Thryft曾为EDN、RTC杂志、COTS Journal、NIkkei Electronics Asia、EE Times、Computer Design和 Electronic Buyers' News等媒体撰稿。 她曾向读者介绍了几种新兴趋势,包括:早期手机架构,机顶盒系统设计,开放式网络服务器和交换机/路由器架构,软件定义无线电和RFID。 在EBN,Ann获得了两项独立评选的最佳技术专题奖。 目前,她是《测试与测量世界》的特约技术编辑,并协助研究和编写In-Stat报告。 她拥有斯坦福大学文化人类学学士学位和商业营销协会(前身为B/PAA)的认证商业通讯员证书。
  • 鹏瞰科技:光纤工业控制网络总线架构PonCAN满足大数据传 随着传感器和人工智能AI技术的发展,行业面临着数据洪流、 AI处理器的数据传输难题,以及传感器对于高带宽、低延时相应提出的更高需求。以自动驾驶汽车上各类传感器到AI处理器的传输带宽来说,每个激光雷达20-100Mb/s,每颗雷达0.1-15Mb/s,每颗摄像头500-3500Mb/s,传感器数据总带宽要求看上3Gb/s-40Gb/s……
  • 美国进入国家紧急状态背后的安全思考 在遭遇勒索软件网络攻击后,美国最大燃油管道运营商Colonial Pipeline被迫关闭了其整个管道系统。随即,美国政府宣布17个州和华盛顿特区进入紧急状态,并临时给予该区域的汽油、柴油、航油等成品油的运输豁免,以保障人们的正常生活。
  • 美国参议员逼问西数、希捷等公司:还在卖华为硬盘吗? 去年,美国商务部曾经出台一项法规,旨在“收紧华为购买特定产品的能力,这些产品和美国特定技术或软件直接相关的产品,例如电脑硬盘”。日前,一名美国资深参议员向美国公司询问向华为出口硬盘驱动器事宜,以查明限制向华为出口美国科技产品的规定是否得到有效执行。
  • 高通MSM芯片曝高危漏洞,影响全球 30% 安卓手机 新发现的高通(Qualcomm)芯片漏洞可能会影响全球30% 的 安卓(Android)手机及平板电脑,甚至连最新的高通骁龙 888 / 870 5G SoC 都未能幸免。5G 调制解调器数据服务中的一个漏洞可能允许移动黑客通过向手机发送传统SMS短信,为调制解调器注入恶意代码来远程控制安卓用户设备……
  • 工厂自动化、物流和资产管理中Wi-Fi HaLow的应用 设备供应商可以使用经过优化的Wi-Fi HaLow芯片和协议栈,来创建无线资产标签、跟踪器、扫描仪和监视器,以在较远的距离和一定的数据速率范围内运行。以下是四个工厂自动化和资产管理的用例,说明了在供应链中,是如何集成Wi-Fi HaLow技术的。
  • 国民技术将芯片,覆盖到了衣食住行 本文主要以图集的方式,来浏览今年慕展之上国民技术展示的产品。一方面可对国民技术如今的业务投入有个大致的了解,另一方面万物互联大趋势、国际贸易环境变化、疫情对数字生活的推动实则都对国产MCU市场产生了极大的刺激作用,从国民技术在MCU市场的投入也能看到当前物联网的发展热点都在哪些领域。
  • Intel 11代酷睿1处理器正式发布:10 今晚,Intel发布的11带酷睿处理器采用10nm制程,面向高性能移动桌面版。同时发布的还有同样架构的至强W-11000系列,面向高性能移动工作站。
  • AMD RX 6600系列或配备8GB显存 MD的RX 6600系列可能配备的不是之前传闻的6或12GB显存,二是8GB。可能包含64MB的内置Infinity Cache。
  • 平头哥发布玄铁907处理器,已向多家 平头哥发布旗下玄铁系列新款处理器—玄铁907,该处理器对开源RISC-V架构进行优化设计,兼顾高性能及低功耗特点,可应用于MPU(微处理器)、智能语音、导航定位、存储控制等领域,据透露,该处理器已向多家企业授权。

  • 动力总成系统集成化推动电动汽车进 在德州仪器 (TI) 努力改进电动汽车动力总成架构后,我们的客户可以将系统设计成本削减一半,同时有效提高功率密度、效率和可靠性,并让更多人都能买得起电动汽车。 
  • 二极管选型关键要素 1、正向导通压降压降:二极管的电流流过负载以后相对于同一参考点的电势(电位)变化称为电压降,简称压降。导通压降:二极管开始导通时对应的电压。正向特性:在二极管外加正向电压时,在正向特性的起始部分,正向
  • 长安汽车计划将其电动汽车部门独立上市! 点击上面↑“电动知家”可以订阅哦!电动知家消息,近日,据多家媒体报道,长安汽车计划将该公司的电动汽车部门(长安新能源)在科创板上市,以此来资助该部门快速扩张和发展。据了解,长安汽车持有电动汽车部门48
  • 一文读懂全系列树莓派! 关注、星标公众号,直达精彩内容中途入坑的小伙伴们对树莓派4B系列肯定不陌生,但可能对之前系列的树莓派也了解不多。今天的这篇文章,我们来更系统地看看这台非常酷的小电脑是什么,也给小伙伴们简单介绍一下你可
  • 数字医疗时代,无线医疗共存测试方案直击“痛点” 无线共存测试席卷全球的新冠疫情为全球经济留下持久的印记,带来永久性的变化,也成为促进数字医疗、远程医疗广泛使用的关键催化剂。裹挟其中,一场数字医疗的“习惯思维”也在渐次形成,随着政策、市场、数据三大场
  • 所有原创文章汇总-5月  最后整理时间:2021年5月17日整理的学习Linux的一些原创干货,大家可以根据自己的学习进度,查看对应的文章!彭老师已经开通B站直播间:名字      &
  • 有了它,让我在bug面前一点也不慌~
  • 如何开发自己的第1个C++项目? 开公众号以来,我发现C++er提到最多的一个困扰,居然是——这也间接证明了,C++开发的确是一门学无止境的编程技术。有种说法是,“职业生涯中会有无数次精通C++的时刻,但永远不要怀疑,还会有下一次。”
  • 大学生入职中芯国际年薪多少?官方回应 做为国内最大最先进的半导体制造公司,中芯国际是明星企业,也是唯一量产14nm的国内公司,近年来也在不断扩充力量,吸引人才加盟。大学毕业生去中芯国际工作,那收入水平如何?对于这个问题,有投资者在互动平台
  • 英特尔PK赛灵思,完美胜出!Agilex™ FPGA迎来大规模量产 英特尔在半导体领域称雄几十年,凭借的就是其x86架构和曾经遥遥领先竞争对手的半导体制造工艺。然而在过去的三四年,英特尔在10纳米工艺上却遇到了阻碍,甚至被曾经望尘莫及的竞争对手完成了弯道超车,并纷纷投
  • 卢伟冰暗示Redmi K40轻奢版:搭载联发科天玑1100 上半年以来,Redmi正式推出了全新的Redmi K40系列旗舰,除了Redmi K40、Redmi K40 Pro、Redmi K40 Pro+三个标准版本外,还在不久前推出了旗下首款游戏手机——R
广告
热门推荐
广告
广告
广告
EE直播间
在线研讨会
广告
广告
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了