随着远距工作成为疫后新常态,愈来愈多人在家工作,并用个人的装置存取公司资料,而这却有可能成为资安的新破口。趋势科技近日发布调查报告“Head in the Clouds”,显示有近四成的员工会使用个人装置来存取企业资料,由于工作与家庭生活的界线正日益模糊,相关个人装置、智慧家庭装置与应用程序将会是企业网络资安防线的一大弱点。
Head in the Clouds 研究调查了 27 国、共 13,000 多名远距工作的员工在疫情期间的生活与工作习惯。结果显示,有 39% 的员工会使用个人装置来存取企业资料,通常是经由云端服务与云端应用程序。
趋势科技强调,这些属于个人的智能手机、平板、笔记型电脑不仅在上网安全防护方面不如企业所配发的装置,而且还暴露于家用网络中各种 IoT 应用程序与装置的资安弱点。比方说,有超过三分之一(36%)的受访员工,其个人装置并非都有最基本的密码保护。
此外,该研究也显示,全球有超过一半(52%)的远距工作者都会使用一些连上家用网络的 IoT 装置,其中有 10% 使用的是较不知名的厂牌。这些装置很多都含有众所周知的弱点,例如固件中含有尚未修补的漏洞或是不安全的登入密码。理论上,这些都会让骇客有机会骇入家用网络,然后再将这些缺乏防护的个人装置当成跳板来骇入它们所连上的企业网络。
趋势科技首席资安策略分析师 Bharat Mistry 指出,IoT 让一些简单的装置具备了运算及连线能力,但却不一定拥有足够的资安防护。这让骇客可以轻易地在这些装置上安装后门,藉以轻松骇进企业网络。在远距工作的时代,当工作与私人装置的界线开始模糊之后,这样的威胁将变得更加明显,不论个人资料或企业资料都很容易遭到攻击。
对此,趋势科技建议企业应确保远距工作的员工都确实遵守企业资安政策,必要的话,更应调整目前的一些规定,像是将 BYOD 与 IoT 装置与应用程序所衍生的威胁也纳入规范,并应重新评估那些经由家用网络存取企业资讯的员工是否拥有足够的资安防护。此外,若能改用云端式防护,也可相当经济有效地消除许多远距工作者所带来的风险。
(首图来源:趋势科技)
