如何確保遠端工作資安無虞—給資訊安全長的話

Azure AD條件式存取和Microsoft Intune應用程式防護原則二者併用,有助於管理這些個人裝置上已核准應用程式裡的企業資料,同時確保資料安全,讓員工能維持生產力。

因應許多員工突然之間改為在家工作,有哪些事情是組織跟員工可以做的,以維持生產力又不會增加網路安全的風險呢?

面臨此種遠端工作的狀況,員工勢必會想到如何運用聊天應用程式與同事保持聯繫、共享文件,並改以視訊的方式開會,但他們恐怕不會考慮到網路攻擊的問題。由於組織一夕之間變成分散式管理,資安長與系統管理員必須立即審時度勢,檢視新的攻擊向量,沒有太多時間可以做詳細規劃或試水溫。

根據我們與那些不得不迅速轉變工作環境的客戶的合作經驗,我想在此分享一些能將資訊保護做到滴水不漏的最佳做法。

短期與長期的因應之道

允許員工使用官方的聊天工具,他們便知道能在哪裡集體工作。若您正處於Microsoft Teams免費升級六個月期間,或用「免費加值」模式解除了可加入團隊及排程視訊會議的人數上限,請按照以下步驟讓Teams更有效地協助您遠端工作。Open for Business Hub列出了許多不同廠商免費讓小型企業於疫情爆發期間使用的工具,不論您選哪一種軟體,只要透過Azure Active Directory(Azure AD)進行使用者帳號管理,並設定單一登入,就不必擔憂下載連結在郵件裡到處發送,否則可能導致使用者成為網路釣魚攻擊的受害者。

您可以用Azure AD條件式存取保障雲端應用程式的存取安全,用安全性預設值保護登入者。另外請記得檢視既有原則,確保它們不會阻擋在家工作使用者的存取。若欲與合作夥伴與供應商安全協作,請用Azure AD 企業對企業的共同作業。

Azure AD Application Proxy發表了允許遠端工作的內部部署應用程式,如果您使用受控管的閘道,我們現已支援多種具備Azure AD安全混合式存取的合作夥伴解決方案。

儘管許多員工會在家使用公務筆電,但之後可能會有越來越多員工使用個人裝置存取公司資料。Azure AD條件式存取和Microsoft Intune應用程式防護原則二者併用,有助於管理這些個人裝置上已核准應用程式裡的企業資料,同時確保資料安全,讓員工能維持生產力。

當使用者連接個人裝置時,Intune會自動偵測到新裝置,然後要求使用者註冊該裝置並用公司憑證登入。您可以開啟BitLocker或規定密碼長度來管理不同的裝置,此舉並不影響使用者家庭照片等個人資料。但請務必留心這些變更,確保您訂定原則是為了解決真正的風險,而非為做而做。

欲知更多Azure AD協助遠端工作方式,請詳閱技術社群的內容。

而提到多重要素驗證(MFA),各位可能已聽我說過無數次,就是要用上所有的時間落實在您所有的員工身上。要提升在家工作員工的資訊安全,最有效的唯一方法就是執行多重要素驗證。若您的組織尚不具備此流程,就把它當作是緊急試驗,也要確保有支援人力為不知如何操作的員工解圍。由於您大概無法分配硬體安全性裝置給每一位員工,您可以用Windows Hello生物特徵識別技術與Microsoft Authenticator一類的手機驗證應用程式。

長期而言,我建議安全系統管理員可實施某種如Azure資訊保護的計畫,來找出與標記最關鍵的資料,如此您便能於員工在家工作時追蹤、監看使用狀況。畢竟我們無法假設所有網路都安全無虞,遠端工作的員工也不一定都身在家中。

除此之外,追蹤您的Microsoft 安全分數,瞭解遠端工作如何影響貴組織的合規性與風險面。使用Microsoft Defender 進階威脅防護(ATP)找出偽裝成在家工作員工的攻擊者,但請注意,偵測使用者路徑變更的存取原則,可能會將從住家與咖啡廳的合法登入標記為非法。

如何幫助員工

remote work

隨著越來越多組織因應現況改為遠端工作,僅靠提供工具和執行原則已不足以有效幫助員工,必須結合工具與透明、即時的資訊。

遠端工作者能存取組織的數據、資訊、網路,遠端工作也容易使人心懷不軌。請警告您的員工,他們可能會遭受更多網路釣魚攻擊,尤其是鎖定高重要性憑證的針對性魚叉式網路釣魚。這種時刻最需要嚴密監控,請格外留心違反公司原則、使用煽動性言語且細節稍微有誤的緊急請求,也要告訴員工如何通報這些可疑訊息。

制定一套清楚的溝通原則,能幫助員工正確辨識組織的官方訊息,例如視訊比郵件更難欺騙,Microsoft Stream這種官方頻道就能降低網路釣魚攻擊的機率,又能保持人際聯繫。即使員工有私事要忙,例如學校關閉或旅遊時程變更等等,仍可選擇自己方便的時間觀看串流視訊。

資訊透明至關重要,我們不少最成功的客戶也是透明度最高的。資訊透明是員工信任感的基石,提供員工基本但清楚的資訊,例如讓他們知道如何保護自己的裝置,就能讓組織和員工在遭遇威脅之前搶佔先機。

例如讓員工理解下載與使用消費者或免費VPN是不佳的想法。此種連網方式會在他們渾然不覺時從組織網路擷取敏感資訊。同時,提供員工善加運用組織的VPN指引,並告訴他們公司的VPN擁有安全的連網路徑。

員工還需要對條件式存取原則有基本的認識,以及他們的裝置需要什麼才能連上企業網路,例如是否需要最新的惡意程式防護軟體,如此一來,員工便能了解自己的存取是否被阻擋,該如何尋求支援。

在家工作並不表示孤立無援,請讓員工放心,他們仍可交流互動,與同事保持聯繫,同時維護企業安全。您可在Microsoft 365部落格上閱讀更多關於維持遠端工作生產力的資訊。

Ann Johnson

Written by Ann Johnson 微軟網路安全解決方案全球副總裁

Tags: , , , , , ,

相關文章