在网上,搜寻 Remote Work 这个关键词。就能搜到一海票关于 Remote 的工作 Tips。这本书与网上的文章不太一样的地方。在于网上都是著重于一些原则。而这本书著重于如何实践。
为什么在网上搜到的 Remote 文章,很难带你入门呢?
有几个原因:Remote 这个工作方法源于欧美软件团队。有一些特定的方法与哲学只适于软件团队而已。
再来,我说过「Remote」的工作方法「需要有人带」,不太能是在网站上看文章,就能轻松导入。这是因为网上撰写文章的人多半是「Remote 用户」,也就是公司的远程协作框架,并不是写作文章的这个人所「设计」的。
因此这些作者只能写出「感觉」,而写不出背后细节。
再来,长久以来的 Remote 老用户,都知道大概哪一些软件公司规模较大。比较有成熟的工作体系。知道哪里去找到这些资源与有效框架。而一般刚入门 Remote 的公司,光解决沟通问题,就快要筋疲力竭。哪有可能知道这里面眉角这么多呢?
这本书,就是以远程框架设计者的角度去撰写的。
在这一章我们会来谈一个篇网路上比较没有人谈的章节内,资安篇。
资安这个议题十分重要。特别是在 2020 年的这个乱世。我大概在 2020 年初疫情刚爆发(2月初)时,就跟周遭朋友预警,今年骇客与犯罪事件会十分频繁。要特别注意自己的财产安全。
为什么?
这个逻辑十分简单:
- 因为疫情关系。许多人在这个关键时间点,重点在于保住性命,在家避难。如果公司资产遭受到损失,警察可能也很难顾及。更别说追踪。
- 失去公司的安全保护。有一些公司的网路,本身是有安全防御的。也就是在公司上网,是使用相对安全的线路。但是在家里,一般人的家用网路是没有这种安保等级的。
- 一般安全常识的不足。因为大家都是在家远程工作。很多工作上的信息,都是透过各样聊天软件传递。「密码」与「敏感资讯」也是。而一般人的帐号密码,十分脆弱。十分好入侵。所以一破就会全部都被破。
我们公司内部关于敏感的信息。一律是禁止使用任何通讯软体传递。甚至是 Slack 也不行。也不能写在 Wiki 上。
取而代之的。我们是使用 1Password 企业版去管理内部密码
需要任何密码,在 1Password 里面拿。而不是用 Slack 传来传去。
用 1Password Team 管密码有一些额外的好处
像我们公司光一套服务。相关的密码就有 250 套。用记事本与 Wiki 根本管不来。因此一定得用软件管理这些密码。而这些密码又需要一定的安防等级。这就是我们选择 1Password 的原因。
不是所有部门都需要知道所有密码。1Password Team 可以让公司依据部门不同职能切分员工能够 access 密码的等级。
同样的。也能够轻易的在员工 离职时,revoke 相关的密码权限。如果要换掉员工能够存取的密码。也可以用相同的访法捞出来,一个一个改掉。
骇客能够入侵公司网路服务,是有一个固定套路的。就是针对员工密码撞库。
网路上很多的社交网站,其实密码早已都泄漏了。所以现在很多骇客,都是使用自动撞库的方式,去针对高价值服务的使用者帐号去攻击。
如交易所帐号、Github 开发者帐号、公司 Slack 帐号、私人 Email 帐号等等。。。。
找到高价值帐号,再社交工程钓出相关高价值的一连串帐号。
如果你的帐号,没有 Two Factor 保护。那么密码被猜到就会瞬间沦陷了。
当然,现在某些成熟的网路在侦测到某些帐号,被不同地域的 IP 登入,系统会发信警告用户,甚至强制要进行 Email 再度认证。
但那毕竟是少数。有些服务设计者是没有这个警觉性的。
因此,这就有赖于企业里面的资安内控。
最快速也最有效的方法,就是在能够开 Google 2FA 的服务上,强制所有员工都必须开上这个验证。
诸如 项目案管理系统、Github 帐号、公司 Slack 帐号、公司 Email 等等。
这里解释一下什么是 Google 2FA。这是 Google 推出的一个验证使用者为本人的服务。
使用者必须用手机绑定网站提供的加密种子,之后在登入时,输入根据时间演算推出来的通行密码,以证明是本人。
这样就算骇客掌握到了密码。也无法登入,提供了一定程度上的安全性。
因为 Work From Home 的因素,所以员工在家都是使用相对低安全的网路。而咖啡厅与旅馆这一些,更是危险的公共网路。
我就有听说过有其他公司的员工,因为在旅馆上,许多密码被窃听入侵的故事。
要防止这件事的方式,就是提供员工 VPN。
凡是在非安全地区(家以外的公共网路),都必须使用 VPN 加密线路,才能存取公司内部后台讯息。
甚至,我们公司的某些重要架构以及后台网址。都必须是锁公司 VPN 地址的 IP 才能连入。甚至后台网址甚至都不是网际网路能够存取的公开网址,而是连入 VPN 以后才能正确解析。
读者读到这里可能非常讶异。但是其实我在这本书里面写到的都是入门级别的资安架构设计,一般小公司就能简单的导入。
真正的复杂防御架构,都可以整章拉出去专门写成一本书。
对于远程工作。因为所有信息都透过网路传递。不是每个员工都有严密的安全意识。
在这本书的第一章,我们提到,远程给团队带来的最大困扰,就是沟通频次与沟通质量的下降。
主要是面对面与人之间的温度,有可能在视频与连线之间,就消失了。所以一些坏处与「恶」,在 Office 里面不存在,在远程时很容易随之滋生出来。
所以在远程时,更要设计一些相关架构去防御出现当「恶」与「不慎」产生的损失。
随著不同团队的规模、资产、业务型态。我会建议团队里面至少要有这些防火墙:
- 密码禁止透过通讯软体传递
- 公司档案只能用公司的公槽传递,禁止放在外面的云盘
- 与对外的合约书只能透过公司 Email 传递。
这是基本的原则。
什么是高风险业务。就是公司源代码、数据,泄漏或入侵会造成公司重大损失。
比如说互联网公司技术部门
- 在外上网连公司,要透过 VPN
- 重要机器必须要开双因子,登入必开双因子
- 重要机器限制 IP 登入。有异常 pattern 立刻发简讯通知管理员
- 代码不放 Github 民用版本,而是改用企业内部架设版
- 文件不放外部协作软件民用版本,而是改用企业内部架设版
- 群聊改用企业内部架设版
- 公司内部文件设上浮印。
这一个章节深入讲下去有非常多细节。有兴趣的朋友可以上网看我另外一本公开书籍「互联网资安风控实战」。
凡牵涉到金钱的板块
- 必须是双人以上签核。
- 大金额的呈报,必须至少是电话与视迅会议当面确认,而非透过讯息传话就做成重大决议。
当然,这里举的只是一些简单的例子与方向。但至少经过了一小轮检核,可以降低很多公司因为低级错误造成的损失。
当然,如果员工本人要搞公司,蓄意泄漏公司资讯,或是恶意盗取公司财产。很难有一个万能框架可以防御所有漏洞。不过,这些事情,不管在 inhouse 团队与 remote 团队都有概率发生。而这样的问题,可以透过法律手段设计,这一点我们会在其他的章节里面涵盖这个话题。
在远程协作时,因为团队大量使用网路工具沟通。现在有黑客团体,也是利用这样的协作形式。进行钓鱼工程。
钓鱼工程一般的手法,主要是先假装客户,发送钓鱼文件。表面上是正常的客服请求,实际邮件里面暗藏恶意图片或网址。客服在不知不觉中,就被骗走了自己的密码。
而黑客拿到了第一个公司内部员工的密码后,开始扫描这个同事平常的通讯路上有谁。继续重复类似的操作,只是这次讲装成同事。
用同样的手法骗到更多的内部帐号与密码。再开始找公司的聊天软件、共享软件上,有什么值得偷取或拿来勒索的档案。
而甚至这样的流程。甚至现在黑客团体都有软件能完成全自动钓鱼。
要有效阻断的这样的流程。方法思路如下:
- 禁止客服点击由客户提供的连结
- 所有员工一律上 2FA。密码被盗了还是开不了邮件
- 诡异决策一律电话确认
这样能一定程度降低被人顺藤摸瓜进来的概率。
一般来说。我们在确保办公室资安时,会检核以下节点:
- 设备:办公设备是否被恶意软件劫持,种下木马监听信息。
- 用户:同事的密码是否为万用密码,是否密码已在外泄漏。
- 数据:哪些经手的资料,是属于敏感信息。比如财务数据。
- 网路:同事在用的网路是否属于安全环境,是否容易被同网路的不肖份子监听到数据。
- 权限:每个同事是否只能拿到该职级拥有的访问权限。
- 行为:谁、什么时候、进了什么系统。是否有 Log 记录行为,以及自动阻挡反常行为。
但是在远程时,因为混用了家用电脑、公共网路、以及大量的 SaaS 软件,就相对难以确保每个节点的安全。
当然,资安在许多团队尚处于混乱时期,甚至连生产力提升都还做不到时,是较难以顾及的一个环节。
但我认为,当远程协作架构开始成形之后,这些环节都必须要请团队之内的 IT 逐一检核以及设计机制。而本章所提到的一些内部 Policy 更是必须要在第一时间 apply。