派拓網(wǎng)絡：結合員工、網(wǎng)絡瀏覽器與安全技術的力量，保護基于網(wǎng)絡的工作環(huán)境

作者：派拓網(wǎng)絡SASE平臺產(chǎn)品管理副總裁Anupam Upadyaya

近年來，網(wǎng)絡瀏覽器發(fā)生了巨大的變化，并已成為當今最常用的辦公工具之一。但隨著混合辦公和云運營在企業(yè)中的普及，如何保護這種辦公工具的安全成為了一個難題。由于安全基礎設施的發(fā)展速度不及瀏覽器，因此極易受到網(wǎng)絡攻擊。而瀏覽器是連接互聯(lián)網(wǎng)的主要網(wǎng)關，一旦出現(xiàn)安全漏洞就會導致重大數(shù)據(jù)泄露和運營中斷。由此可見，了解風險并采取強有力的安全措施對于保護當今的工作環(huán)境至關重要。

網(wǎng)絡應用迎來關鍵節(jié)點

盡管企業(yè)員工使用網(wǎng)絡瀏覽器的時間占到工作日的約85-100%，許多企業(yè)仍然缺乏必要的安全措施以應對可能來自網(wǎng)絡瀏覽器的威脅。派拓網(wǎng)絡的一項調查發(fā)現(xiàn)，鑒于企業(yè)目前使用的網(wǎng)絡和SaaS應用平均多達370個左右，并且預計未來兩年使用的應用數(shù)量還將增加50%，這個問題尤其令人擔憂。那么這些工作應用是如何被訪問的？答案是脆弱的消費級網(wǎng)絡瀏覽器。

如果企業(yè)使用大量脆弱的瀏覽器和應用，就可能遭受經(jīng)濟損失、聲譽受損等巨大影響。比如賬戶接管會導致敏感信息遭到未經(jīng)授權的訪問，使攻擊者能夠盜取企業(yè)及其客戶的數(shù)據(jù)；惡意瀏覽器擴展程序會引入惡意軟件、提取數(shù)據(jù)，或為未來的攻擊創(chuàng)建后門；數(shù)據(jù)泄露可能導致監(jiān)管部門罰款、客戶信任度下降，以及巨額的修復和恢復費用。

隨著這些威脅愈發(fā)先進，它們對企業(yè)的潛在危害也逐漸增大，因此企業(yè)需要采取更加先進、全面的安全措施。應對此類威脅的關鍵在于提前采取措施，在網(wǎng)絡遭到破壞之前解決潛在問題。

個人設備帶來的問題

在采用混合辦公模式的企業(yè)中，員工會大量使用個人設備訪問企業(yè)應用。近90%的企業(yè)允許員工使用自己的設備訪問企業(yè)應用和數(shù)據(jù)，卻沒有事先考慮這樣做可能產(chǎn)生的影響。這些個人設備往往缺乏企業(yè)設備上的嚴格安全控制措施，因此容易成為網(wǎng)絡攻擊的目標。在得逞的勒索軟件攻擊中，有80%都是來自這些非受管設備。

在過去，解決這個問題的辦法是強制為這些員工部署虛擬桌面基礎設施（VDI），或者通過為全球所有員工和承包商提供由企業(yè)管理的筆記本電腦來徹底解決這個問題。但這兩種辦法都很昂貴，即便是小型企業(yè)也很難承受，更不用說大型企業(yè)了。尤其是受管筆記本電腦往往會加長員工的入職時間，并且會在企業(yè)收回離職員工的筆記本電腦時帶來一定的麻煩。這兩種辦法均不支持最小權限訪問，因此會影響用戶體驗并使企業(yè)面臨風險。

使用安全訪問服務邊緣（SASE）框架能夠更加有效地解決非受管設備問題。該框架可以保障遠程訪問敏感數(shù)據(jù)和應用的安全，防止企業(yè)網(wǎng)絡遭受未經(jīng)授權的訪問，提高企業(yè)的網(wǎng)絡安全。SASE原生企業(yè)瀏覽器具有實時威脅檢測和預防功能，能夠直接解決基于網(wǎng)絡的工作所面臨的安全問題。此類瀏覽器將SASE的安全性擴展到非受管設備，通過先進的威脅情報和機器學習算法檢測異常情況、網(wǎng)絡釣魚企圖、惡意文件上傳和下載以及數(shù)據(jù)泄露。

網(wǎng)絡釣魚攻擊和組織漏洞

盡管目前有許多反釣魚解決方案，但網(wǎng)絡釣魚仍然是當今企業(yè)員工所面臨的一個普遍威脅。因此，提高對此類威脅的防御能力對于保護敏感數(shù)據(jù)和保障企業(yè)彈性至關重要。

企業(yè)需要能夠阻止訪問惡意域、不安全的URL和網(wǎng)絡釣魚網(wǎng)站的工具。為了保護員工不上當受騙，此類工具應能夠識別并阻止惡意網(wǎng)站，或者以只讀模式打開惡意網(wǎng)站。由于每一次網(wǎng)絡釣魚攻擊均涉及瀏覽器，而且瀏覽器存在訪問惡意網(wǎng)頁的風險，因此另一個有效的辦法是選擇一款能夠與用戶進行本地交互，并對潛在網(wǎng)絡釣魚發(fā)出警告的企業(yè)級瀏覽器。此外，使IT部門能夠看到員工是否使用未經(jīng)批準的網(wǎng)站、未經(jīng)許可的軟件或個人應用的工具對于防范風險同樣至關重要。

著眼于整體安全

為了保護公司資產(chǎn)，同時培養(yǎng)一支具有警惕性和相關知識的員工隊伍，企業(yè)應對所有員工開展持續(xù)的網(wǎng)絡安全培訓，并結合SASE等強大的安全措施，打造一套全面的防御戰(zhàn)略。企業(yè)應強調“每個人都可以在維護網(wǎng)絡安全方面盡一份力”，鼓勵員工在保護敏感信息和提高安全彈性方面發(fā)揮積極作用。這種合作能夠提高員工的個人意識，同時加強企業(yè)對網(wǎng)絡威脅的整體防御。

零信任架構在當今的網(wǎng)絡安全環(huán)境中至關重要，該方法不信任任何用戶或設備，并且要求始終驗證用戶的真實身份，并根據(jù)企業(yè)要求和用戶所在位置驗證其設備狀態(tài)是否合規(guī)。這對于與第三方合作的企業(yè)或離職率較高的行業(yè)尤為重要，因為這些企業(yè)和行業(yè)的證書和設備泄露風險更高。通過使用SASE原生企業(yè)瀏覽器，企業(yè)可直接在瀏覽器中制定細致的零信任策略，根據(jù)個人用戶的角色和行為（包括設備狀態(tài)、位置，甚至SaaS網(wǎng)絡應用特有的策略屬性，比如特定SaaS應用中的登錄用戶）實施嚴格的訪問策略。這能夠提高企業(yè)的安全性，包括更大程度地減少威脅、確保只有經(jīng)過授權的人員才能訪問敏感數(shù)據(jù)和資源、大幅降低漏洞風險，以及建立更具彈性的安全態(tài)勢。

團結一切力量

隨著企業(yè)越來越依賴網(wǎng)絡瀏覽器和SaaS應用，強大的安全措施變得更加重要。在混合辦公環(huán)境中，基于瀏覽器的攻擊和個人設備中的漏洞非常普遍，因此需要采取全面的策略保護敏感信息，并保持運營的完整性。企業(yè)可以通過采取先進的解決方案（例如將零信任擴展到瀏覽器的SASE原生企業(yè)瀏覽器）和持續(xù)開展網(wǎng)絡安全培訓，使員工能夠發(fā)現(xiàn)潛在風險，提前防御不斷變化的威脅。這些策略將從根本上保護企業(yè)資產(chǎn)的安全，支持企業(yè)抵御千變萬化的網(wǎng)絡威脅。