Splunk：遠距離辦公如何做好資訊安全管控

「早在疫情開始之前，Splunk即在內部討論企業在實現遠距辦公後當如何進行其資安管理。」Splunk認證架構師同時也是Splunk安全主題專家許力仁告訴大眾Splunk對遠距辦公的新資訊環境早有資安設想。

而今年隨著疫情的發展，企業不得不加速改變工作模式，模式的改變也意味著企業原有的資安防護也必須跟隨轉移，轉移成新的防護型態，此對企業而言是一項挑戰，而Splunk可以協助企業因應此一挑戰。

企業因應疫情而有的調整涉及多個層面，例如人員分地分班工作，部份人員需要居家隔離或就醫，在工作的同時也要照顧家人，或者部份人員需要停工或放無薪假等。

在溝通聯繫方面，居家上班若要存取公司網路與內部資訊系統則需要透過虛擬私有網路，同仁開會需要透過視訊會議，同仁比過往更頻繁、更倚重運用雲端服務以便能持續工作。

而這些調整對資安管理來說更加困難，異地多地上班使資安資訊難以即時同步，要展開資安相關調查工作比過往麻煩。而更多的資安因應調整還包含檢視每個由外部連到公司內的連線行為、對人員帳號的加強監控、加強身份認證、對視訊會議進行可用性監控、對詐騙攻擊提高防範等。

有關虛擬私有網路的防護、遠端用戶的異常登入等Splunk提供RWI(Remote Work Insights)的因應方案，另外針對勒索軟體Splunk提供各種偵測檢視能力，包含偵測日誌內容被清除、偵測橫向移動行為、顯示出防火牆放行的SMB流量，搜索出被勒索軟體加密的文件檔案，以此降低勒索軟體的衝擊影響。

進一步來看，Splunk運用機器學習技術可自動找出特殊長度的指令碼，進而發現端點的惡意程式，以及藉由Splunk UBA可發現惡意內部人士的異常行為等。另外詐騙手法日益高明，新的Deepfakes工具可以偽造某人的影像與語音欺騙他人，還有社交工程釣魚信件氾濫等問題，這些均可透過Splunk的分析而偵測防範。

更重要的是，零信任安全(Zero Trust)已是資安領域的新趨勢，所有的資訊請求都以最低所需權限(least-to-have)為前提進行，Splunk也同樣支援呼應零信任的實施，包含支援單簽登入(SSO)、雲端存取安全代理(CASB)、防火牆、代理伺服器(Proxy)、應用程式日誌以及雲端儲存。

最後許力仁給企業資管人員多項建議，在跨地理性的多個資安管控區上必須檢視每個連線行為，同時持續更新電腦以減少漏洞；在遠端存取與端點安全監控方面可導入零信任的安全端點防護與監控；此外當提升雲端資安管理能力，同樣是以零信任落實安全防護。

至於異地資安管理如何提升效率許力仁則建議導入人工智慧、機器學習與自動化技術，以自動化作業來降低人力損失的影響，同時有助於降低工作交接難度，最終能獲得更有效率的協同工作。