遠程辦公常態化,網絡安全迫在眉睫,「零信任安全」的風口到了嗎?

題圖來源@unsplash

新冠肺炎疫情已經持續了一個多季度，遠程辦公已經進入常態化發展。產業界和資本界的諸多行為也都在表達對這一市場的看好。

多家提供遠程辦公軟體服務的企業向鈦媒體表達了對行業的樂觀，他們認為，雖然疫情之後遠程辦公的需求會回落，但人們在疫情期間形成的遠程辦公、視頻會議的習慣會保留下來。

不過，另一方面，在遠程辦公新趨勢的背後，全球範圍內接二連三暴露出來的網絡安全危機，也讓人們意識到網絡安全形式的嚴峻。

之前一直蓄勢的「零信任安全」（即零信任網絡訪問Zero-Trust Network Access，簡稱「ZTNA」，意思是不能信任出入網絡的任何內容——「從不信任，總是驗證」）也在這種背景下，再次進入大家視野。

遠程辦公已成常態化

今年2月以來，遠程辦公的戰火就已經打響，從停課不停學到遠程視頻會議，就連已經舉辦了60多年的廣交會也已經宣布要在網上舉辦。

個推數據顯示，2020年疫情期間（2020年1月24日-2月22日），綜合辦公類APP的DAU比2019年春節同期（2019年2月4日-3月5日）同比增長98.19%，而視頻會議同比暴增了1465.04%。

且從大年三十一直到復工整個周期來看，遠程辦公類APP新增用戶數一直在高速增長，並在復工第二周達到了峰值。整體來看，平均新增同比增長了659.63%，與日常相比增長了746.13%。

實時音視頻雲提供商聲網Agora.io創始人&CEO趙斌在與鈦媒體交流時表達了對遠程辦公樂觀：

「國內的線上會議市場可能會在接下來的幾年，成長為美國的一半甚至等同規模，而不是以前的相當於美國1/10。不過，雖然在商用上國內的會議市場落後於美國，但在其他行業領域的使用分鐘數和玩法卻有可能是更領先的。」

在遠程辦公火爆的情況下，也有一些企業正在籌劃入局。在一季度，國內不少廠商都推出了遠程辦公產品，中科曙光聯合北信源推出「光圈兒」、致遠互聯發布了「致遠協同雲」、華為WeLink在各大高校機關緊急上線、騰訊推出不久「騰訊會議」產品也在疫情中得到廣泛應用。

此前著重在C端推廣產品的印象筆記，已經開始針對B端客戶推出的獨立品牌「印象團隊」。據印象筆記官方微信號消息，「印象團隊」app將在4月開啟內測，6月正式推出。

印象筆記高級總監、印象團隊負責人張勇同樣認為，雖然疫情過後絕大部分企業和團隊還是要回到原有的辦公室集中辦公的環境，但一些優秀的協作模式和工具將會保留下來：

「遠程辦公包含的定義也是很寬泛的，異地團隊的協作、與外部合作夥伴的協作其實都屬於遠程辦公，這些形態就是可持續的，而且會越來越多。」

他對鈦媒體透露，實際上在2019年三、四季度，印象筆記在對全國上千家團隊進行調研後就已經發現了一定的市場需求，定下「印象團隊」這樣一個產品，今年年中推出是順勢而為。

遠程辦公這一趨勢不僅出現在中國，從鈦媒體TMTBase收集的全球投融資數據來看，遠程辦公也已經是全球趨勢。數據顯示，僅3月30日-4月12日兩周時間，國外遠程辦公領域的投融資事件就發生了11起，去掉未披露金額的4起，融資總金額超過1.5億美元。

但值得注意的是，與遠程辦公市場同樣引人注目的還有網絡安全市場。在鈦媒體TMTBase監測到的國外投融資事件顯示，3月30日-4月12日兩周時間，國外網絡安全領域的投融資事件有12起，去掉未披露的1家，融資總額超過6億美元，這些有新資金注入的公司大部分都從事網絡威脅監測、網絡流量監測，甚至是內部員工的訪問控制以及數據訪問控制等。

遠程辦公的火爆與網絡安全市場受到重視是否存在某種聯繫？

近日，Zoom等遠程辦公相繼暴露出的用戶數據洩漏、企業IT系統被攻擊事件證實了這種相關性。

網絡安全危機叢生

2月3日，當時中國疫情還是最焦灼的時候，人們對遠程辦公的探索也才剛剛開始，但也就是在那天，騰訊御見威脅情報中心披露了一則某網際網路企業遠程辦公工具及電子表格文件被病毒感染的事件：該公司一位業務主管分享到內部工作群的遠程辦公工具及電子表格文件被發現感染病毒，導致部門200多名員工電腦被感染。

此次事件起因是一種名叫XRed的病毒，該病毒最先感染了某位業務主管使用的個人電腦辦公，然後內部工作群分享遠程辦公工具之後，造成該病毒在同事間擴散。

在病毒感染之外，還有一類網絡安全威脅也讓人揪心，那就是撞庫。

「撞庫」最先引起公眾的注意是3月下旬，有人發現有5億微博用戶數據在暗網售賣，有人士稱這些數據可能是由於黑客撞庫得來的。

接下來，就是視頻會議軟體Zoom被曝出53萬帳號密碼被掛到了暗網上，相對微博數據洩漏來講，由於Zoom這類視頻會議軟體涉及到了更多會議隱私、攝像頭隱私等問題，於是Zoom的數據洩漏引起了外媒的一片聲討。業界人士在分析時也將洩漏原因指向了撞庫。

「撞庫」，其實是利用了網際網路用戶在不同平臺都會用同樣用戶名和密碼這一弱點，一旦某一平臺發生用戶數據洩露，黑客就會在其他平臺發起「撞庫」嘗試，撞庫成功也就意味著，用戶的信息就等於被洩漏了。

業界人士對鈦媒體表示，微博的用戶洩漏不一定是遭到了撞庫，也可能是黑客採取了慢驗證，即通過換IP、每個IP只驗證1～2次從而繞過登陸防護環節。但無論是撞庫還是慢驗證，都是在撞庫等登錄環節出的問題。

「撞庫」在信息安全領域的發生頻率實際上就像人類患感冒一樣，無法根除，在對人體的影響上又不是致命的，所以很多公司不會給予高度的重視，或者在業務拓展過快的情況下，容易忽略這方面的安全問題。用戶數從1000萬人急速增長到2億的Zoom，就因急速擴張而吃到了「安全」的大虧。

還有一種遠程辦公場景的網絡安全問題也在疫情期間格外引起了大家的注意：公司外網對內網的訪問控制。

疫情期間，很多公司都採用了讓員工在家辦公的方式，但對於很多有內網安全要求的公司來講，很多需要在辦公室訪問的業務和應用，在家很難訪問。這種時候，企業之前最先想到的方法是重新配置VPN。但是這種方法的弊端在於，開了VPN給遠程辦公的員工使用的同時，也等於給黑客攻擊提供了入口。

例如，就在發稿前一日，有外媒報導，在黑客攻擊了Zoom數據後，也順手把Zoom Windows客戶端零日漏洞的利用方法以50萬美元的價格出售。外媒推測，該零日漏洞使得潛在攻擊者可以在運行 Zoom Windows 客戶端的系統上執行任意代碼，如果再加上其他漏洞，甚至可以完全控制用戶的設備,並以此為跳板進一步入侵企業辦公和生產網絡，竊取企業機密文件等。

面對如此嚴峻的網絡安全的形式，我們應該採取什麼樣的行動？

零信任安全被寄予厚望，但也有挑戰者

之前一直蓄勢的「零信任安全」，在這種背景下，再次進入大家視野。

零信任網絡訪問（Zero-Trust Network Access，簡稱「ZTNA)」），是在多年前由研究機構ForresterResearch副總裁兼首席分析師提出，意思是不能信任出入網絡的任何內容，即「從不信任，總是驗證」。這種方案一經提出，便受到了業界重視。

零信任安全被認為是解決現階段網絡安全問題的重要解決方案。

鈦媒體從網絡安全服務商Akamai大中華區企業事業部高級售前技術經理馬俊處了解到，業界實踐零信任安全的方式一共有三種：

第一種，通過在網絡層做微分段的方法實現，這種方法能夠控制企業內網中東西向的流量，減少病毒傳播以及非法操作、非法訪問場景。這種方式需要VPN的接入，只是在接入之後提供更細的、機密的控制。採取這類方法的往往是傳統的網絡設備廠商。第二種，以軟體定義邊界（SDP）的方式實現，這種模式會把VPN做成更多樣化的隧道，也就是通過落地的VPN邊界設置網關，通過網關來控制不同應用的訪問性。也就是把原來對應用的控制能力，對整個內網的訪問，集中在了網關一個設備上。對於用戶側，也仍然需要VPN的接入。第三種，則是用身份感知代理（IAP）模型的方式實現，基於這種身份代理模型，把用戶內部、或者是用戶已經部署在公有雲上的應用，映射到智能邊緣網絡，不依賴於傳統VPN、網絡隧道，而通過最常用的瀏覽器、最通用的HTTPS的協議來實現。

在遠程辦公網絡安全場景，Akamai採用的正是第三種方式。「這樣的好處就是如果未來有黑客的攻擊，黑客攻擊落地的點，不再是企業的網絡邊界，也不再是企業的防火牆，而變成了Akamai的雲端。」馬俊說。在這種方案下，企業也可以使用Akamai的安全控制、雲端WAF以及抗DDoS等能力，應對網絡爬蟲等諸多方面挑戰。

圖片來源@信通院2019年9月發布的《中國網絡安全產業白皮書》

在中國信息通信研究院2019年9月發布的《中國網絡安全產業白皮書（2018）》（以下簡稱「白皮書」）中提到，我國的零信任安全正在從概念走向落地。

根據《白皮書》提供的信息，我國踐行零信任安全的企業有山石網科、雲深互聯、九州雲騰等多家服務商，他們主要聚焦軟體定義邊界（SDP）、微隔離（微分段）兩個方向，採取了不同於Akamai的解決方案。

《白皮書》中提到，薔薇靈動的微隔離產品基於主機代理實現自適應安全防護，以主機和負載作為對象進行訪問控制，實現大規模網絡的東西向防護。山石網科的雲·格產品則基於雲網絡4-7 層實現最低授權控制策略，提供開放 API108，支持資產發現識別、策略自動綁定、自動化部署。

在Gartner 2019年4月發布的行業報告《Market Guide for Zero-Trust Network Access》中，對ZTNA市場中的服務商以及未來ZTNA市場的增長趨勢作出了預測，報告指出，到2022年，面向生態系統合作夥伴開放的80%的新數字業務應用程式將通過零信任網絡（ZTNA ）進行訪問。到2023年，60％的企業將淘汰大部分遠程訪問虛擬專用網絡（VPN），轉而使用ZTNA。

然而，預測僅僅代表了可能性趨勢，並不排除另一些玩家還在探索零信任安全之外的解決方案。

阿里安全就是這樣一個玩家。鈦媒體從阿里安全了解到，他們已經於3月31日推出了新一代安全架構，這套安全架構採用了與零信任不同的思路。「零信任需要進行基礎設施的轉移，需要淘汰老舊的遺留系統，而在當前的複雜網絡架構中，我們可以通過白名單體系實現微分隔和細粒度邊界規則，來保證動態訪問控制。」阿里安全高級安全專家靈聞對鈦媒體說。

在具體的實施上，靈聞總結了三個構建辦公安全的指導性原則：

第一，要建立統一的終端設備的準入與認證，任何終端設備都有可能被攻擊，要從傳統的基於可信內網和設備的認證轉向基於端與人的雙重認證，建立無密認證體系。第二，要在安全運營中對威脅提前感知，整合感知和協同處置能力，要讓基礎設施完備，具有整條鏈路的完整檢測、響應和處置能力。同時匯總日誌，協調端和網絡側設備自適應安全策略調整。第三，針對不同用戶分層設置安全策略，重點人群重點保護。針對不同的辦公人群可以分配不同的辦公終端設備，如敏感人群可以配備物理防護設備和安防工作終端等。

「基於當前攻防對抗環境下，任何單點都有可能存在漏洞並被攻擊者利用，不要過度依賴單點的防護能力。由於目前工作環境複雜，在外辦公需求多，因此要針對不同的場景進行分層運營，完善動態行為檢測策略，整體架構設計上儘量簡單。」阿里安全高級安全專家靈聞說。

「我們發現，被洩露的記錄數量眾多，這意味著網絡犯罪分子掌握的信息量越來越大，如同手握進入我們住宅和企業的鑰匙一般。攻擊者不用花時間設計複雜方案來入侵企業，只需利用已知實體即可發起攻擊，比如使用被盜憑證登錄。」IBM X-Force 威脅情報部門副總裁 Wendi Whitmore 一篇公開文章中說。他認為，要保障企業網絡永續安全和確保用戶數據的安全和隱私性，採用多因子認證、單點登錄等保護措施至關重要。

IBM Security 發布的2020 年 IBM X-Force 威脅情報指數報告顯示，網絡釣魚、漏洞的掃描和利用、過往被盜憑證（類似於撞庫）成為網絡安全的三大初始攻擊媒介，其中僅 2019 年洩露的記錄就超過 85 億條 ，報告的數據洩露量同比增長了 200%。Wendi Whitmore 的觀點就是在這樣的背景下提出的。

遠程辦公常態化的當下，網絡安全領域的實踐者們已經摩拳擦掌準備迎接挑戰。但無論是零信任安全還是其他新的解決方案，能否真正降低遠程辦公中網絡安全面臨的威脅，可能還需要更多最佳實踐。（本文首發鈦媒體APP，作者 | 秦聰慧，編輯 | 趙宇航）