混合辦公下惡意攻擊倍增如何防?微軟分享軟體使用和企業資安觀點

作者 | 發布日期 2022 年 01 月 13 日 10:45 | 分類 Microsoft , 資訊安全 , 軟體、系統 Telegram share ! follow us in feedly


歷經這 2 年疫情的嚴峻挑戰,混合辦公(Hybrid Work)模式越來越普遍,台灣也因去年 5 月本土疫情興起,使企業開始嘗試新的模式。在家上班很直覺會使用家中的個人電腦,部分企業也可能來不及提供足夠裝置讓員工在家使用;那麼,使用自己的個人電腦工作、處理文件,是否會有什麼疑慮和風險?台灣微軟 Microsoft 365 事業部副總經理朱以方接受科技新報專訪,分享在遠距工作下的軟體使用和資安防護觀點。

從買斷型到訂閱制,差別何在?

微軟多數產品已採時下主流的訂閱制,像是自 2020 年起 Office 365 改名為「Microsoft 365」,提供進階功能的 Office 軟體(Word、Excel、PowerPoint、Outlook)、1TB OneDrive 雲端儲存空間,並加入 Microsoft Teams 與 Microsoft Family Safety。不過,也有人偏好傳統的買斷型模式,例如去年 10 月隨 Windows 11 上市的 Office 2021,目前在台灣已能購買,支付一次性費用就能為一部電腦取得 Office 軟體。

以大家熟知的 Office 軟體來看,訂閱制與買斷型的差異在於,前者可由微軟持續提供新的功能,並且能在多部 PC、Mac、平板、手機上使用;後者則是一次取得 Office 2021 的完整服務,雖然整體花費看似比較少,但不再享有新功能,而且只限一部電腦使用。還有一大差異不少人未注意到,Microsoft 365 其實涵括 Outlook 的電子郵件服務以及 OneDrive 的雲端儲存空間,郵件服務與雲端空間對用戶來說不可或缺,也使多數人願意採許訂閱制。

微軟也呼籲應以正當管道購買正版軟體,若未透過指定代理商則容易購買到盜版軟體,其中可能夾帶後門程式、惡意病毒,尤其前陣子國外就曾爆出盜版的 Windows、Office 軟體藏有惡意病毒,意圖竊取電腦中的加密貨幣資產,讓用戶不得不留心。

遠距工作未用合規裝置,增添企業資安威脅

經歷了疫情,現在混合辦公(Hybrid Work)模式越來越普遍,具有彈性工作方式,國外由於疫情嚴峻已有 2 年的時間,多數企業採取在家上班;台灣則因去年 5 月本土疫情興起,也開始嘗試新的模式。

在家上班直覺地會以家中的個人電腦優先使用,另一方面部分企業可能來不及提供足夠裝置讓員工在家使用。自己的個人電腦適不適合用來工作、處理文件?當然是可以的!

不過,使用個人電腦工作的風險在於「自己的電腦是否安全?」其實個人電腦或多或少潛藏安全問題,安全保護程度通常沒有公司電腦來得嚴密,加上多數人的資安意識不足;試想當處理完工作上的重要文件寄給同事或客戶,若是個人電腦暗藏惡意軟體而不自知,它將隨著文件感染給其他人,甚至進入企業內網環境。

疫情期間,有 90% 的惡意攻擊來自電子郵件和勒索軟體,這也是為何疫情這 2 年來盛行混合辦公下,惡意攻擊竟成長 5 倍之多。現在許多惡意行為是無檔案形式,會找出個人電腦是否存在漏洞再加以攻擊,許多用戶懶得更新系統、不修補漏洞,就成了駭客眼中的肥羊。

為此企業應該如何因應?朱以方點出個人電腦可讓企業 IT 納管,進而提供企業等級的安全性,並為個人電腦設定合規要求。IT 人員可讓個人電腦連進公司網域處理文件,同時能以可視化平台得知誰未更新系統。

保護智慧財產不外流,微軟以「防禦縱深」對應

駭客喜歡從端點破口切入企業內網,然後到處蹲點觀察,IT 人員通常擁有目錄權限,一旦駭客掌握擁目錄權限就能發號施令,先是竊取重要資料,再利用勒索軟體把所有人的電腦鎖起來,這些是典型的駭客攻擊行為。

試想如開發半導體、疫苗等至關重要的產品資料,易被商業間諜竊取智慧財產。當企業受到惡意攻擊而帶來的資料外洩,是相當大的資產損失,不僅伴隨法律問題、股價下跌,更重要的是失去用戶的信任。

企業應思考如何保護最核心、最有價值的智慧財產,萬一不慎已遭竊取資料,如何把損失降到最低,微軟的「防禦縱深」策略已設想到。

實際上,企業所採用的微軟產品具有更多資安與管理的功能,比方說現今許多電子郵件暗藏惡意連結,一點擊立刻轉址出去進而中標,這方面微軟於全球累積龐大資料庫,可以從中判斷哪些連結存有風險,提供事先警告;選用等級較高的 Microsoft 365,就有 Microsoft Defender 來保護電子郵件的用戶身分與使用安全。

另一方面則是讓企業部署軟體更容易,若以前段談到的買斷型來看,IT 人員若要每部電腦啟用買斷型產品需要花非常多時間,若是面對千人、萬人的企業更不可能一台一台啟用,也無法將產品金鑰直接授予員工自行安裝。於是微軟為企業客戶提供大量部署的服務,為整個公司部門部署上百、上千套軟體,並視部門需求設定使用規範,不同員工身分具有不同權限;舉例來說,某份文件相當機密,可以設定加密讓只有總經理室的人才能開啟,若是買斷型產品則無這樣的功能對應不同員工身分。

養成良好習慣,保護個人資料安全

除此之外,微軟產品的用戶應養成哪些習慣,以保護個人資料安全?朱以方分享 3 個觀點,第一在於隨時確保產品更新修補檔案;第二是應啟用多因素驗證,常見如登入帳號的同時會在用戶手機進行驗證,根據微軟統計,全球啟用多因素驗證的用戶僅 18%,若未開啟這項功能增添保障實在可惜;第三則是當員工需要使用個人電腦,企業 IT 應加以納管,透過微軟裝置管理措施確保這部電腦合規使用。她也補充說到,企業還要經常教育員工具備資安意識、培養好的習慣,從個人第一線使用防範惡意攻擊。

(首圖為台灣微軟 Microsoft 365 事業部副總經理朱以方;首圖來源:微軟)