派拓網(wǎng)絡(luò)：結(jié)合員工、網(wǎng)絡(luò)瀏覽器與安全技術(shù)的力量，保護基于網(wǎng)絡(luò)的工作環(huán)境

作者：派拓網(wǎng)絡(luò)SASE平臺產(chǎn)品管理副總裁Anupam Upadyaya

近年來，網(wǎng)絡(luò)瀏覽器發(fā)生了巨大的變化，并已成為當(dāng)今最常用的辦公工具之一。但隨著混合辦公和云運營在企業(yè)中的普及，如何保護這種辦公工具的安全成為了一個難題。由于安全基礎(chǔ)設(shè)施的發(fā)展速度不及瀏覽器，因此極易受到網(wǎng)絡(luò)攻擊。而瀏覽器是連接互聯(lián)網(wǎng)的主要網(wǎng)關(guān)，一旦出現(xiàn)安全漏洞就會導(dǎo)致重大數(shù)據(jù)泄露和運營中斷。由此可見，了解風(fēng)險并采取強有力的安全措施對于保護當(dāng)今的工作環(huán)境至關(guān)重要。

網(wǎng)絡(luò)應(yīng)用迎來關(guān)鍵節(jié)點

盡管企業(yè)員工使用網(wǎng)絡(luò)瀏覽器的時間占到工作日的約85-100%，許多企業(yè)仍然缺乏必要的安全措施以應(yīng)對可能來自網(wǎng)絡(luò)瀏覽器的威脅。派拓網(wǎng)絡(luò)的一項調(diào)查發(fā)現(xiàn)，鑒于企業(yè)目前使用的網(wǎng)絡(luò)和SaaS應(yīng)用平均多達370個左右，并且預(yù)計未來兩年使用的應(yīng)用數(shù)量還將增加50%，這個問題尤其令人擔(dān)憂。那么這些工作應(yīng)用是如何被訪問的？答案是脆弱的消費級網(wǎng)絡(luò)瀏覽器。

如果企業(yè)使用大量脆弱的瀏覽器和應(yīng)用，就可能遭受經(jīng)濟損失、聲譽受損等巨大影響。比如賬戶接管會導(dǎo)致敏感信息遭到未經(jīng)授權(quán)的訪問，使攻擊者能夠盜取企業(yè)及其客戶的數(shù)據(jù)；惡意瀏覽器擴展程序會引入惡意軟件、提取數(shù)據(jù)，或為未來的攻擊創(chuàng)建后門；數(shù)據(jù)泄露可能導(dǎo)致監(jiān)管部門罰款、客戶信任度下降，以及巨額的修復(fù)和恢復(fù)費用。

隨著這些威脅愈發(fā)先進，它們對企業(yè)的潛在危害也逐漸增大，因此企業(yè)需要采取更加先進、全面的安全措施。應(yīng)對此類威脅的關(guān)鍵在于提前采取措施，在網(wǎng)絡(luò)遭到破壞之前解決潛在問題。

個人設(shè)備帶來的問題

在采用混合辦公模式的企業(yè)中，員工會大量使用個人設(shè)備訪問企業(yè)應(yīng)用。近90%的企業(yè)允許員工使用自己的設(shè)備訪問企業(yè)應(yīng)用和數(shù)據(jù)，卻沒有事先考慮這樣做可能產(chǎn)生的影響。這些個人設(shè)備往往缺乏企業(yè)設(shè)備上的嚴格安全控制措施，因此容易成為網(wǎng)絡(luò)攻擊的目標(biāo)。在得逞的勒索軟件攻擊中，有80%都是來自這些非受管設(shè)備。

在過去，解決這個問題的辦法是強制為這些員工部署虛擬桌面基礎(chǔ)設(shè)施（VDI），或者通過為全球所有員工和承包商提供由企業(yè)管理的筆記本電腦來徹底解決這個問題。但這兩種辦法都很昂貴，即便是小型企業(yè)也很難承受，更不用說大型企業(yè)了。尤其是受管筆記本電腦往往會加長員工的入職時間，并且會在企業(yè)收回離職員工的筆記本電腦時帶來一定的麻煩。這兩種辦法均不支持最小權(quán)限訪問，因此會影響用戶體驗并使企業(yè)面臨風(fēng)險。

使用安全訪問服務(wù)邊緣（SASE）框架能夠更加有效地解決非受管設(shè)備問題。該框架可以保障遠程訪問敏感數(shù)據(jù)和應(yīng)用的安全，防止企業(yè)網(wǎng)絡(luò)遭受未經(jīng)授權(quán)的訪問，提高企業(yè)的網(wǎng)絡(luò)安全。SASE原生企業(yè)瀏覽器具有實時威脅檢測和預(yù)防功能，能夠直接解決基于網(wǎng)絡(luò)的工作所面臨的安全問題。此類瀏覽器將SASE的安全性擴展到非受管設(shè)備，通過先進的威脅情報和機器學(xué)習(xí)算法檢測異常情況、網(wǎng)絡(luò)釣魚企圖、惡意文件上傳和下載以及數(shù)據(jù)泄露。

網(wǎng)絡(luò)釣魚攻擊和組織漏洞

盡管目前有許多反釣魚解決方案，但網(wǎng)絡(luò)釣魚仍然是當(dāng)今企業(yè)員工所面臨的一個普遍威脅。因此，提高對此類威脅的防御能力對于保護敏感數(shù)據(jù)和保障企業(yè)彈性至關(guān)重要。

企業(yè)需要能夠阻止訪問惡意域、不安全的URL和網(wǎng)絡(luò)釣魚網(wǎng)站的工具。為了保護員工不上當(dāng)受騙，此類工具應(yīng)能夠識別并阻止惡意網(wǎng)站，或者以只讀模式打開惡意網(wǎng)站。由于每一次網(wǎng)絡(luò)釣魚攻擊均涉及瀏覽器，而且瀏覽器存在訪問惡意網(wǎng)頁的風(fēng)險，因此另一個有效的辦法是選擇一款能夠與用戶進行本地交互，并對潛在網(wǎng)絡(luò)釣魚發(fā)出警告的企業(yè)級瀏覽器。此外，使IT部門能夠看到員工是否使用未經(jīng)批準(zhǔn)的網(wǎng)站、未經(jīng)許可的軟件或個人應(yīng)用的工具對于防范風(fēng)險同樣至關(guān)重要。

著眼于整體安全

為了保護公司資產(chǎn)，同時培養(yǎng)一支具有警惕性和相關(guān)知識的員工隊伍，企業(yè)應(yīng)對所有員工開展持續(xù)的網(wǎng)絡(luò)安全培訓(xùn)，并結(jié)合SASE等強大的安全措施，打造一套全面的防御戰(zhàn)略。企業(yè)應(yīng)強調(diào)“每個人都可以在維護網(wǎng)絡(luò)安全方面盡一份力”，鼓勵員工在保護敏感信息和提高安全彈性方面發(fā)揮積極作用。這種合作能夠提高員工的個人意識，同時加強企業(yè)對網(wǎng)絡(luò)威脅的整體防御。

零信任架構(gòu)在當(dāng)今的網(wǎng)絡(luò)安全環(huán)境中至關(guān)重要，該方法不信任任何用戶或設(shè)備，并且要求始終驗證用戶的真實身份，并根據(jù)企業(yè)要求和用戶所在位置驗證其設(shè)備狀態(tài)是否合規(guī)。這對于與第三方合作的企業(yè)或離職率較高的行業(yè)尤為重要，因為這些企業(yè)和行業(yè)的證書和設(shè)備泄露風(fēng)險更高。通過使用SASE原生企業(yè)瀏覽器，企業(yè)可直接在瀏覽器中制定細致的零信任策略，根據(jù)個人用戶的角色和行為（包括設(shè)備狀態(tài)、位置，甚至SaaS網(wǎng)絡(luò)應(yīng)用特有的策略屬性，比如特定SaaS應(yīng)用中的登錄用戶）實施嚴格的訪問策略。這能夠提高企業(yè)的安全性，包括更大程度地減少威脅、確保只有經(jīng)過授權(quán)的人員才能訪問敏感數(shù)據(jù)和資源、大幅降低漏洞風(fēng)險，以及建立更具彈性的安全態(tài)勢。

團結(jié)一切力量

隨著企業(yè)越來越依賴網(wǎng)絡(luò)瀏覽器和SaaS應(yīng)用，強大的安全措施變得更加重要。在混合辦公環(huán)境中，基于瀏覽器的攻擊和個人設(shè)備中的漏洞非常普遍，因此需要采取全面的策略保護敏感信息，并保持運營的完整性。企業(yè)可以通過采取先進的解決方案（例如將零信任擴展到瀏覽器的SASE原生企業(yè)瀏覽器）和持續(xù)開展網(wǎng)絡(luò)安全培訓(xùn)，使員工能夠發(fā)現(xiàn)潛在風(fēng)險，提前防御不斷變化的威脅。這些策略將從根本上保護企業(yè)資產(chǎn)的安全，支持企業(yè)抵御千變?nèi)f化的網(wǎng)絡(luò)威脅。