【笑談資安事,長老話你知】遙距營商の謎思
在新冠肺炎肺炎疫情下,僱員在家工作是遙距營商的主要安排,遙距工作成為新常態「New Normal」。而視像會議已變成工作和生活的一部分,上班要參加或主持視像會議,而下班後又要教子女用視像會議上課,連老婆上的烹飪班,都話要用視像會議學餸。突然,原是 IT 從業員的你同我,都變成視像會議從業員,好像升了「呢」。
市場上視像會議軟件多不勝數,如老牌子 LogMeIn 的 Goto Meeting、CISCO 的 WebEx,新來的有微軟的 Teams、Google的 Hangout Meeting、Amazon 的 Chime等,也有其他人用專用的企業級視像會議系統,亦有人用 Facebook 的 Message及微信 (WeChat) 來做視像會議或電話會議,五花八門,各適其適。我個人比較喜歡用 Zoom (https://www.zoom.us/), 因為其免費版本功能已經非常強大,即使是收費版本也很便宜,只需美元 14.99 一個月,購買一年的費用是美元 149.9,性價比相當高。因為可以月付,很多企業在「遙距營商計劃」中,都是用 Zoom 作為「網上會議工具」為其主要的申請項目。下一篇 Zoom の 謎思,將會詳細探討這間在 2019 年 4 月,在美國 IPO 以美元 36 元上市,但現價美元 560 的公司。
現在來談談「防疫抗疫基金」的「遙距營商計劃」: 創新科技署在 2020 年 4 月推出「遙距營商計劃」,以支援企業在疫情期間繼續營運和提供服務,計劃透過所謂「快速批核」,資助企業採用資訊科技方案,開拓遙距營商業務。政府又於 6 月 26 日宣布在原來的五億元撥款外,再增撥十億元推行計劃,讓更多企業受惠。這個「遙距營商計劃」令很多 IT 公司滾動起來,安排了大量的人手和資源去推廣這計劃,很多公司在「遙距營商計劃」中,都申請「網上會議工具」為其主要申請項目,但是 3 個月又 3 個月,已經 6 個月了,從市場上的反響,很多已獲批的項目還在安排簽合同當中,因為要申請的公司要與政府簽合同,才能開始申請的項目,申請的公司和企業只有等待,IT 公司也在等, 「快速批核」變成「龜速批核」,不禁想起劉華同偉仔的「有沒有終點,誰能知道….」 。
美國微軟公司 (Microsoft) 發出內部通告,在新冠肺炎肺炎疫情下,安排新的彈性上班政策。通告指,員工可以把不多於一半上班時間,改在家中完成;若有意永久在家工作,向上司申請並批准後,其位於微軟辦公室內的工作空間將被騰空,但仍然可以在辦公室內的共享空間工作。Facebook 創辦人朱克伯格(Mark Zuckerberg)早前表示,公司數萬名員工已逐步過度至遙距上班,半數員工可以在未來五年至十年,選擇永久留家工作。
遙距上班留家工作已成為新的趨勢,很多人都關注過 VPN 的安全性和漏洞,這個題目已變成老生常談;在疫情初期到現在,有不少公司和朋友,諮詢我如何在遙距上班留家工作時,避免敏感資料洩漏,公司專用 Notebook 加上 VPN、VDI、 Secure Remote Desktop、安裝防病毒軟件、USB Port 的監控、應用軟件監控、硬盤加密、軟件更新、SSL SSH、Firewall、 WAF、2FA等等,是常識和必須的手段。
有些公司在遙距上班留家工作的環境下,已執行以上的資安保護手段,他們還是擔心僱員或其他人在家中會用相機(或手機)把顯示在電腦屏幕的敏感資料拍照,家中的 WebCam可能被黑客入侵,造成大量的敏感資料洩漏事故,一般我都我建議以下三種方案:
1. 安裝 Anti-Screen Capture 軟件,僱員不能在電腦屏幕截圖。這是基本的要求,僱員不能把敏感資料利用截圖儲存下來。
2. 安裝 Print Watermark 軟件,僱員在打印預覽中或打印的文件上,都會有大小不同的水印標誌該僱員的系統登入名稱、IP 地址、系統時間日期、文件名稱、保安級別等等。若是敏感資料是被打印出來,我們從水印中可以知道是誰把敏感資料從打印文件來洩漏。不論僱員的打印行為是在本地或是通過公司的網絡進行,打印的日誌都會記錄下來,日誌會轉送到公司的 SIEM 系統去分析,增加僱員的機會成本。
3. 如果僱員會用相機(或手機)把顯示在電腦屏幕的敏感資料拍下, 建議安裝 Screen Watermark軟件; 系統開動後, 無論在哪一個應用中, 電腦屏幕都會有一個屏幕水印含系統登入名稱, IP 地址, 系統時間日期, 文件名稱,保安級別等等資料. 若是敏感資料是被打印出來或在網上發佈, 我們可以從相片中的水印知道是誰把敏感資料拍下來洩漏。
所謂道高一尺魔高一丈, 資安與黑客的抗爭是一場沒有硝煙的戰爭, 也是沒有落幕的時候, 充實自己 知道黑客的伎倆, 知己知彼,方為上策。
近日,有公司舉辦Cyber Defense Challenge 2020網絡對抗比賽, 希望通過是次比賽, 提高業界對CyberSecurity的認識, 整個活動包含線上線下的研討會,工作坊, 初賽和複賽,歡迎業界朋友參加, 參加表格和詳情,請瀏覽一下連結:https://forms.gle/MRozGrEAqErC4bJX9
作者:資安長老(Frankie Leung)
超過32年資訊安全工作經驗,現為UDS是Data Systems Ltd的的創辦人和首席資訊安全顧問,為香港政府、大企業、金融界提供資訊安全方案、顧問報告和資安培訓工作。