派拓網(wǎng)絡(luò)：結(jié)合員工、網(wǎng)絡(luò)瀏覽器與安全技術(shù)的力量，保護(hù)基于網(wǎng)絡(luò)的工作環(huán)境

作者：派拓網(wǎng)絡(luò)SASE平臺(tái)產(chǎn)品管理副總裁Anupam Upadyaya

近年來(lái)，網(wǎng)絡(luò)瀏覽器發(fā)生了巨大的變化，并已成為當(dāng)今最常用的辦公工具之一。但隨著混合辦公和云運(yùn)營(yíng)在企業(yè)中的普及，如何保護(hù)這種辦公工具的安全成為了一個(gè)難題。由于安全基礎(chǔ)設(shè)施的發(fā)展速度不及瀏覽器，因此極易受到網(wǎng)絡(luò)攻擊。而瀏覽器是連接互聯(lián)網(wǎng)的主要網(wǎng)關(guān)，一旦出現(xiàn)安全漏洞就會(huì)導(dǎo)致重大數(shù)據(jù)泄露和運(yùn)營(yíng)中斷。由此可見(jiàn)，了解風(fēng)險(xiǎn)并采取強(qiáng)有力的安全措施對(duì)于保護(hù)當(dāng)今的工作環(huán)境至關(guān)重要。

網(wǎng)絡(luò)應(yīng)用迎來(lái)關(guān)鍵節(jié)點(diǎn)

盡管企業(yè)員工使用網(wǎng)絡(luò)瀏覽器的時(shí)間占到工作日的約85-100%，許多企業(yè)仍然缺乏必要的安全措施以應(yīng)對(duì)可能來(lái)自網(wǎng)絡(luò)瀏覽器的威脅。派拓網(wǎng)絡(luò)的一項(xiàng)調(diào)查發(fā)現(xiàn)，鑒于企業(yè)目前使用的網(wǎng)絡(luò)和SaaS應(yīng)用平均多達(dá)370個(gè)左右，并且預(yù)計(jì)未來(lái)兩年使用的應(yīng)用數(shù)量還將增加50%，這個(gè)問(wèn)題尤其令人擔(dān)憂。那么這些工作應(yīng)用是如何被訪問(wèn)的？答案是脆弱的消費(fèi)級(jí)網(wǎng)絡(luò)瀏覽器。

如果企業(yè)使用大量脆弱的瀏覽器和應(yīng)用，就可能遭受經(jīng)濟(jì)損失、聲譽(yù)受損等巨大影響。比如賬戶接管會(huì)導(dǎo)致敏感信息遭到未經(jīng)授權(quán)的訪問(wèn)，使攻擊者能夠盜取企業(yè)及其客戶的數(shù)據(jù)；惡意瀏覽器擴(kuò)展程序會(huì)引入惡意軟件、提取數(shù)據(jù)，或?yàn)槲磥?lái)的攻擊創(chuàng)建后門(mén)；數(shù)據(jù)泄露可能導(dǎo)致監(jiān)管部門(mén)罰款、客戶信任度下降，以及巨額的修復(fù)和恢復(fù)費(fèi)用。

隨著這些威脅愈發(fā)先進(jìn)，它們對(duì)企業(yè)的潛在危害也逐漸增大，因此企業(yè)需要采取更加先進(jìn)、全面的安全措施。應(yīng)對(duì)此類威脅的關(guān)鍵在于提前采取措施，在網(wǎng)絡(luò)遭到破壞之前解決潛在問(wèn)題。

個(gè)人設(shè)備帶來(lái)的問(wèn)題

在采用混合辦公模式的企業(yè)中，員工會(huì)大量使用個(gè)人設(shè)備訪問(wèn)企業(yè)應(yīng)用。近90%的企業(yè)允許員工使用自己的設(shè)備訪問(wèn)企業(yè)應(yīng)用和數(shù)據(jù)，卻沒(méi)有事先考慮這樣做可能產(chǎn)生的影響。這些個(gè)人設(shè)備往往缺乏企業(yè)設(shè)備上的嚴(yán)格安全控制措施，因此容易成為網(wǎng)絡(luò)攻擊的目標(biāo)。在得逞的勒索軟件攻擊中，有80%都是來(lái)自這些非受管設(shè)備。

在過(guò)去，解決這個(gè)問(wèn)題的辦法是強(qiáng)制為這些員工部署虛擬桌面基礎(chǔ)設(shè)施（VDI），或者通過(guò)為全球所有員工和承包商提供由企業(yè)管理的筆記本電腦來(lái)徹底解決這個(gè)問(wèn)題。但這兩種辦法都很昂貴，即便是小型企業(yè)也很難承受，更不用說(shuō)大型企業(yè)了。尤其是受管筆記本電腦往往會(huì)加長(zhǎng)員工的入職時(shí)間，并且會(huì)在企業(yè)收回離職員工的筆記本電腦時(shí)帶來(lái)一定的麻煩。這兩種辦法均不支持最小權(quán)限訪問(wèn)，因此會(huì)影響用戶體驗(yàn)并使企業(yè)面臨風(fēng)險(xiǎn)。

使用安全訪問(wèn)服務(wù)邊緣（SASE）框架能夠更加有效地解決非受管設(shè)備問(wèn)題。該框架可以保障遠(yuǎn)程訪問(wèn)敏感數(shù)據(jù)和應(yīng)用的安全，防止企業(yè)網(wǎng)絡(luò)遭受未經(jīng)授權(quán)的訪問(wèn)，提高企業(yè)的網(wǎng)絡(luò)安全。SASE原生企業(yè)瀏覽器具有實(shí)時(shí)威脅檢測(cè)和預(yù)防功能，能夠直接解決基于網(wǎng)絡(luò)的工作所面臨的安全問(wèn)題。此類瀏覽器將SASE的安全性擴(kuò)展到非受管設(shè)備，通過(guò)先進(jìn)的威脅情報(bào)和機(jī)器學(xué)習(xí)算法檢測(cè)異常情況、網(wǎng)絡(luò)釣魚(yú)企圖、惡意文件上傳和下載以及數(shù)據(jù)泄露。

網(wǎng)絡(luò)釣魚(yú)攻擊和組織漏洞

盡管目前有許多反釣魚(yú)解決方案，但網(wǎng)絡(luò)釣魚(yú)仍然是當(dāng)今企業(yè)員工所面臨的一個(gè)普遍威脅。因此，提高對(duì)此類威脅的防御能力對(duì)于保護(hù)敏感數(shù)據(jù)和保障企業(yè)彈性至關(guān)重要。

企業(yè)需要能夠阻止訪問(wèn)惡意域、不安全的URL和網(wǎng)絡(luò)釣魚(yú)網(wǎng)站的工具。為了保護(hù)員工不上當(dāng)受騙，此類工具應(yīng)能夠識(shí)別并阻止惡意網(wǎng)站，或者以只讀模式打開(kāi)惡意網(wǎng)站。由于每一次網(wǎng)絡(luò)釣魚(yú)攻擊均涉及瀏覽器，而且瀏覽器存在訪問(wèn)惡意網(wǎng)頁(yè)的風(fēng)險(xiǎn)，因此另一個(gè)有效的辦法是選擇一款能夠與用戶進(jìn)行本地交互，并對(duì)潛在網(wǎng)絡(luò)釣魚(yú)發(fā)出警告的企業(yè)級(jí)瀏覽器。此外，使IT部門(mén)能夠看到員工是否使用未經(jīng)批準(zhǔn)的網(wǎng)站、未經(jīng)許可的軟件或個(gè)人應(yīng)用的工具對(duì)于防范風(fēng)險(xiǎn)同樣至關(guān)重要。

著眼于整體安全

為了保護(hù)公司資產(chǎn)，同時(shí)培養(yǎng)一支具有警惕性和相關(guān)知識(shí)的員工隊(duì)伍，企業(yè)應(yīng)對(duì)所有員工開(kāi)展持續(xù)的網(wǎng)絡(luò)安全培訓(xùn)，并結(jié)合SASE等強(qiáng)大的安全措施，打造一套全面的防御戰(zhàn)略。企業(yè)應(yīng)強(qiáng)調(diào)“每個(gè)人都可以在維護(hù)網(wǎng)絡(luò)安全方面盡一份力”，鼓勵(lì)員工在保護(hù)敏感信息和提高安全彈性方面發(fā)揮積極作用。這種合作能夠提高員工的個(gè)人意識(shí)，同時(shí)加強(qiáng)企業(yè)對(duì)網(wǎng)絡(luò)威脅的整體防御。

零信任架構(gòu)在當(dāng)今的網(wǎng)絡(luò)安全環(huán)境中至關(guān)重要，該方法不信任任何用戶或設(shè)備，并且要求始終驗(yàn)證用戶的真實(shí)身份，并根據(jù)企業(yè)要求和用戶所在位置驗(yàn)證其設(shè)備狀態(tài)是否合規(guī)。這對(duì)于與第三方合作的企業(yè)或離職率較高的行業(yè)尤為重要，因?yàn)檫@些企業(yè)和行業(yè)的證書(shū)和設(shè)備泄露風(fēng)險(xiǎn)更高。通過(guò)使用SASE原生企業(yè)瀏覽器，企業(yè)可直接在瀏覽器中制定細(xì)致的零信任策略，根據(jù)個(gè)人用戶的角色和行為（包括設(shè)備狀態(tài)、位置，甚至SaaS網(wǎng)絡(luò)應(yīng)用特有的策略屬性，比如特定SaaS應(yīng)用中的登錄用戶）實(shí)施嚴(yán)格的訪問(wèn)策略。這能夠提高企業(yè)的安全性，包括更大程度地減少威脅、確保只有經(jīng)過(guò)授權(quán)的人員才能訪問(wèn)敏感數(shù)據(jù)和資源、大幅降低漏洞風(fēng)險(xiǎn)，以及建立更具彈性的安全態(tài)勢(shì)。

團(tuán)結(jié)一切力量

隨著企業(yè)越來(lái)越依賴網(wǎng)絡(luò)瀏覽器和SaaS應(yīng)用，強(qiáng)大的安全措施變得更加重要。在混合辦公環(huán)境中，基于瀏覽器的攻擊和個(gè)人設(shè)備中的漏洞非常普遍，因此需要采取全面的策略保護(hù)敏感信息，并保持運(yùn)營(yíng)的完整性。企業(yè)可以通過(guò)采取先進(jìn)的解決方案（例如將零信任擴(kuò)展到瀏覽器的SASE原生企業(yè)瀏覽器）和持續(xù)開(kāi)展網(wǎng)絡(luò)安全培訓(xùn)，使員工能夠發(fā)現(xiàn)潛在風(fēng)險(xiǎn)，提前防御不斷變化的威脅。這些策略將從根本上保護(hù)企業(yè)資產(chǎn)的安全，支持企業(yè)抵御千變?nèi)f化的網(wǎng)絡(luò)威脅。