新冠肺炎疫情開啟了數字時代較大規模的一次遠程辦公遷徙。這種過去只存在于軟件開發、電子商務和創意設計領域的“革命性”數字化生產方式，在中國這個互聯網巨頭都信奉“996”理念的傳統辦公社會中，從文化上的非主流，搖身變成了中國數字經濟的救世主。

[[314124]]

對于IT互聯網企業來說，遠程辦公并不陌生，但是對于大量傳統行業人員來說，突然性的大規模遠程辦公應用會帶來一系列嚴重的安全問題，尤其是大量隱私和數據安全問題。

因為突然性的全員遠程辦公，意味著大量企業內部人員需要從企業安全邊界外部(包括家中或者不安全的WiFi熱點)訪問任何能夠維持正常工作的賬戶、文檔或數據。而如果相關網絡安全措施、規則和培訓沒有隨之調整，將產生巨大的安全隱患。

非常時期的未知安全威脅如影隨形。例如，你的一位核心開發人員買菜回家突然被帶走隔離了怎么辦?你的一位高管手邊只有一臺裝滿木馬的家庭游戲PC怎么辦?財務主管家里的WiFi路由器漏洞好幾年沒修補了咋辦?企業協作平臺堵塞卡頓后員工紛紛切換到QQ群工作咋辦?

以下是管理遠程團隊，確保遠程辦公數據安全的關鍵舉措：

1. 提高安全免疫力：員工安全教育至關重要

幫助任何遠程團隊維護數據安全最重要的措施就是正確培訓員工。盡管您可能認為您的團隊成員在處理任何技術和互聯網問題方面都是行家里手，但是，相信我，他們一般都會以你意想不到的方式忽視一些最基本(致命)的安全威脅。

這聽起來似乎不太可能，但是在CNBC關于網絡安全風險的研究中，員工的疏忽被證明是最大的威脅?？紤]到這一點，最好在全面啟動遠程辦公前召開全體會議或向公司手冊中添加安全意識相關內容，以免員工的意識出現盲點。即使您的員工分布在全球各地，您也需要利用協作工具召集所有人集中一段時間培訓，以確保每個人都可以理解遠程團隊面臨的諸多安全風險。

遠程辦公的安全意識培訓需要按照威脅等級進行優先級排序，最緊急的培訓內容包括如何發現和處理可疑鏈接和釣魚電子郵件、使用免費/公共Wi-Fi的風險以及如何創建可靠的密碼。此類培訓可以幫助您減輕遠程辦公給公司網絡安全防護帶來的負擔，并將其分散到整個業務環境中，從而創建一個高免疫力的環境，每個人都可以積極地主動應對安全威脅。

2. 確保使用VPN

類似疫區一線醫院的醫生護士在防護物資極度短缺時會降低防護用品的規格和等級要求，特殊時期，大量遠程工作人員經常會使用公共WiFi，例如機場休息室、酒店、咖啡店甚至鄰居網絡，遠程團隊數據安全受攻面成幾何級數放大。您可以精打細算，跨多個時區進行協作，并巧妙地使用最新的管理技術，榨干團隊的每一滴血汗;但是，如果您的團隊沒有使用安全的Wi-Fi連接，那么數據安全的護城河分分鐘就可能決堤。保證安全的最佳方法是讓您的團隊使用虛擬專用網絡，學名VPN。

無論您連接的是哪種WiFi，VPN都可以通過安全連接來提高數據通訊的安全。保護遠程團隊的活動、數據、信息和密碼，免遭各種埋伏在公共WiFi網絡中的不懷好意的(中間)攻擊者窺視和竊取。市場上有大量便宜、靠譜的商業VPN可用，對用戶數據記錄有嚴格的承諾，可以輕松化解公共網絡的安全風險。

3. 實施高熵密碼

黑客破解密碼的難度要比大多數人想象得低得多。例如，一個五個字符的密碼大約需要十秒鐘就能被破解，而六個字符的密碼需要一千秒。

目前最簡單易行的辦法就是確保您和您的團隊成員使用強密碼(高熵密碼)。密碼越長越復雜，破解的難度就越大。NIST最新的密碼管理規范強調密碼復雜性最小化(但加強密碼更新管理，降低密碼重復度)，但這并不適用于大量人員流動到外網的特殊時期。

僅僅通過增加密碼長度、增加單詞字母變體或字符(提高密碼熵值)，就能讓破解所需的時間呈指數增長。最重要的是，您需要設置每隔幾個月更改一次密碼的提醒，并且盡管煩人，也要對不同的帳戶和程序使用不同的密碼。畢竟，那意味著如果一個被破解了，它們也一次都被破解了。

對于遠程團隊來說，一個非常有用的工具是密碼管理器，對于需要使用高熵密碼的團隊來說，密碼管理器能讓密碼管理變得不那么痛苦。

4. 盡可能使用雙因素認證(2FA)

很多時候，你無法阻止黑客獲得密碼，但是如果你啟用了雙因素驗證，那么攻擊者即使掌握了密碼，也很難更進一步。

但是安全團隊需要注意的是，目前已經出現很多能夠繞過雙因素甚至多因素認證的中間人攻擊和自動化釣魚攻擊工具及手法。在釣魚網站上，因為受害者必須手動輸入這些驗證碼，那些基于短信驗證碼和移動驗證軟件的解決方案尤其容易受到攻擊。這意味著2FA不是一個完美的解決方案，只能應付一般性的路過攻擊。此外，由于一次性密碼驗證軟件Google Autheticator會加密備份云中2FA密鑰，因此Authy是一個更好的替代品。

對于包括管理層在內的企業遠程團隊中的高價值目標，目前能夠確保不被代理釣魚攻擊突破的2FA措施就是使用支持U2F標準的USB硬件密鑰。因為USB硬件密鑰通過瀏覽器建立了與合法網站的加密驗證連接，而不是通過攻擊者的反向代理。

綜上，在您所屬的任何遠程團隊中，雙因素認證都必須是強制性的，對于高價值和高風險目標則需要啟用硬件密鑰或生物認證。如果你重點防護的員工沒有或者忘記了硬件密鑰，那么快遞密鑰將會是一個很重要的應急戰術動作。

5. 強化RDP

在安全牛的遠程桌面工具投票中，Windows Remote Desktop獲得了最高票(下圖)。顯然，RDP依然是IT團隊支持遠程辦公的最愛，但不幸的是近年來RDP的安全隱患正在不斷累積。

2019年5月，微軟多個Windows版本曝出RDP安全漏洞——BlueKeep(CVE-2019-0708)，受影響的操作系統包括Windows 2000、Windows XP、Windows Vista、Windows 7、Windows Server 2003、Windows Server 2003 R2、 Windows Server 2008和Windows Server 2008 R2。

2019年9月初，Metasploit滲透測試工具的開發者Rapid7宣布發布BlueKeep漏洞利用模塊;11月，根據ZDNET和WIRED報道，有關BlueKeep的漏洞利用大增，雖然這些攻擊的成功率不高——大約91%的易受攻擊的計算機崩潰并出現停止錯誤(aka錯誤檢查或藍屏死機)，但是依然有9%的攻擊成功在目標計算機上安裝了門羅幣挖礦軟件。

一方面BlueKeep漏洞利用日益猖獗，另一方面企業安全部門面臨著更大的安全挑戰——2020年1月微軟停止了對Windows Server 2008和Windows 7的支持。大量依然運行上述操作系統并通過互聯網使用RDP直接訪問的計算機給企業帶來了巨大風險。

當然，Windows7的“停服”并不意味著你需要立即停止使用RDP，以下這些強化措施有助于保護計算機免受基于RDP的攻擊。

另外建議使用免費的BlueKeep(CVE-2019-0708)工具檢查運行Windows計算機是否容易受到攻擊。

BlueKeep免費檢查工具：

https://download.eset.com/com/eset/tools/diagnosis/bluekeep_checker/latest/esetbluekeepchecker.exe

6. 將工作移至云端

遠程團隊成員在全國甚至全球各地進行遠程工作，基于云計算的數據存儲訪問、通訊和協作應用是最好的解決方案，云服務讓遠程團隊可以安全地訪問他們需要的任何內容。

越來越多的云服務公司提供安全的在線存儲和易于訪問的工作環境，這為遠程團隊提供了理想的選擇。知名云計算公司將提供自己的主動安全性，能夠預防并快速解決問題。例如，遠程員工即使弄失了筆記本電腦，仍然可以用新設備訪問云端文件。

對于安全團隊來說，疫情期間“全員上云”帶來的BYOD、數據安全、端點安全、身份與訪問管理、云服務連續性(例如節后第一天企業微信因為負載過大而短時癱瘓)都是新的難題和挑戰。

【本文是51CTO專欄作者“李少鵬”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文