受疫情影響,企業(yè)員工突然轉(zhuǎn)移到遠(yuǎn)程工作環(huán)境��,這使企業(yè)面臨前所未有的網(wǎng)絡(luò)安全攻擊�����,特別是勒索軟件和網(wǎng)絡(luò)釣魚攻擊����。很多員工在不安全家庭網(wǎng)絡(luò)中使用個(gè)人設(shè)備��,這無(wú)疑為黑客和詐騙者提供更多機(jī)會(huì)�,使他們可以輕松訪問和竊取企業(yè)數(shù)據(jù)。
為了降低風(fēng)險(xiǎn)并確保數(shù)據(jù)安全���,IT安全主管正在重新評(píng)估如何在這種分布式環(huán)境中維護(hù)網(wǎng)絡(luò)安全��。
評(píng)估當(dāng)前安全級(jí)別
Liberty Mutual Insurance公司高級(jí)副總裁兼首席信息安全官Katie Jenkins在2020年麻省理工學(xué)院斯隆CIO數(shù)字學(xué)習(xí)系列會(huì)議上發(fā)表講話時(shí)說����,企業(yè)需要更全面地了解他們的合作伙伴和供應(yīng)商,以評(píng)估所有新風(fēng)險(xiǎn)���。
除了對(duì)企業(yè)的安全狀況進(jìn)行自我評(píng)估外��,Jenkins還聘請(qǐng)第三方專家進(jìn)行獨(dú)立評(píng)估����,并將這兩種觀點(diǎn)結(jié)合起來(lái)以分解結(jié)果���。
她說:“我們不只是向內(nèi)部看����,對(duì)于像Liberty Mutual這樣的企業(yè)�,我們會(huì)利用很多值得信賴的供應(yīng)商��。僅通過我們的盡職調(diào)查來(lái)建立這些關(guān)系�,并監(jiān)視這些合作伙伴展現(xiàn)出的持續(xù)安全性,不足以確保我們的安全性�。”
Jenkins說��,評(píng)估供應(yīng)商對(duì)其員工的遠(yuǎn)程工作安排�,可幫助Liberty Mutual了解如何維護(hù)網(wǎng)絡(luò)安全�����,并確保供應(yīng)商的員工可以安全地連接到Liberty Mutual的數(shù)據(jù)集并遵循內(nèi)部協(xié)議�����。
Veeam Software公司首席技術(shù)官Danny Allan表示�,利用安全的軟件開發(fā)生命周期是確保員工遵循與構(gòu)建軟件相關(guān)的最佳實(shí)踐的重要部分����。
他在小組討論中說:“在軟件業(yè)務(wù)中,你是在生態(tài)系統(tǒng)中工作���,其中涉及你正在運(yùn)行的硬件��,以及從多個(gè)不同的位置提取軟件組件����,所有這些都會(huì)影響你的安全狀況或安全態(tài)勢(shì)����!
Veeam Software公司還采用了NIST網(wǎng)絡(luò)安全框架����,該框架包括五種不同的功能:識(shí)別����、保護(hù)��、檢測(cè)����、響應(yīng)和恢復(fù)。他說:“我們利用網(wǎng)絡(luò)安全框架來(lái)衡量我們整個(gè)企業(yè)的工作��,這是傳遞給首席執(zhí)行官和董事會(huì)的最終衡量標(biāo)準(zhǔn)������!
但是,全球甜食���、寵物食品和其他食品制造商瑪氏公司的首席信息安全官Andrew Stanley表示,這并不總是關(guān)于企業(yè)有多么安全�。他指出:“我們已經(jīng)做好了應(yīng)對(duì)的準(zhǔn)備����!
隨著攻擊的增加����,Stanley及其團(tuán)隊(duì)將重點(diǎn)放在衡量他們能夠阻止攻擊的速度����,以及掃描工具和常規(guī)滲透測(cè)試。
他說:“你有成千上萬(wàn)的系統(tǒng)和用戶分布在各個(gè)國(guó)家和地區(qū)�����。因此��,我們需要評(píng)估我們能夠多快地做出響應(yīng)并從這些事件中恢復(fù)��。這反映出你的安全級(jí)別����、你可預(yù)見到安全事件的程度以及最終你做出響應(yīng)、阻止和恢復(fù)的能力�。”
部署員工網(wǎng)絡(luò)安全措施和演習(xí)
隨著企業(yè)使用更多的數(shù)字工具來(lái)支持遠(yuǎn)程環(huán)境辦公���,IT安全領(lǐng)導(dǎo)者正在弄清楚如何維護(hù)網(wǎng)絡(luò)安全�����,他們?cè)噲D讓員工參加很多演習(xí)���。
Allan談到與軟件開發(fā)團(tuán)隊(duì)合作時(shí)說道:“我們是主動(dòng)還是被動(dòng)?你當(dāng)然不希望處于被動(dòng)狀態(tài)�,你會(huì)希望人員和流程以及你所使用的技術(shù)����,可使你積極主動(dòng)應(yīng)對(duì)每天的威脅�����!
在Liberty Mutual公司�����,Jenkins開始通過演習(xí)來(lái)評(píng)估員工的網(wǎng)絡(luò)安全意識(shí)����,并確保在疫情期間對(duì)于檢測(cè)威脅,每個(gè)人都保持敏銳的態(tài)度�。例如�����,Jenkins的團(tuán)隊(duì)向員工發(fā)送了一封名為Zoom的電子郵件,要求他們更新其登陸信息�。該郵件提示他們單擊鏈接。如果員工單擊該鏈接���,則打開的網(wǎng)頁(yè)將讓他們知道他們沒有成功應(yīng)對(duì)網(wǎng)絡(luò)釣魚��。
此外�����,Jenkins還與該公司的執(zhí)行領(lǐng)導(dǎo)團(tuán)隊(duì)一起進(jìn)行了各種網(wǎng)絡(luò)危機(jī)演習(xí)����。她說:“對(duì)于我們來(lái)說�����,在我們處于遠(yuǎn)程狀態(tài)時(shí)�����,網(wǎng)絡(luò)危機(jī)桌面演習(xí)非常重要,這將以不同的方式測(cè)試我們的能力和決策能力�����。這些事情可幫助我們回答‘我們準(zhǔn)備得如何呢?’等問題��������!
Jenkins表示�,該公司還將網(wǎng)絡(luò)安全目標(biāo)作為所有員工的績(jī)效目標(biāo)���,而不僅僅是針對(duì)安全領(lǐng)域的員工�����!拔覀円庾R(shí)到,網(wǎng)絡(luò)安全需要所有員工共同承擔(dān)責(zé)任�����,如果我們必須在企業(yè)內(nèi)部獨(dú)立運(yùn)行����,而沒有其他員工的合作�,那么我認(rèn)為我們將很難成功������!
在瑪氏�,Stanley最近還與員工一起完成了反網(wǎng)絡(luò)釣魚活動(dòng)。正常情況下����,該公司每六周進(jìn)行一次類似活動(dòng),但通常他們會(huì)等待更長(zhǎng)時(shí)間���,因?yàn)樗麄冃枰懻撨@樣做的必要性���。盡管他想利用疫情帶來(lái)的漏洞并幫助教育員工,但他認(rèn)為這樣做不公平���。
他說:“在瑪氏的文化中����,這會(huì)疏遠(yuǎn)員工,因?yàn)榇蠹叶颊?jīng)歷著這場(chǎng)危機(jī)���,無(wú)論是身體上還是經(jīng)濟(jì)上����,而這樣的演習(xí)就像在剝削他們一樣�。”
最后Stanley和他的團(tuán)隊(duì)決定每10個(gè)星期而不是6個(gè)星期后執(zhí)行網(wǎng)絡(luò)安全演習(xí)�,他們確實(shí)會(huì)看到漏洞的增加,但是他們還發(fā)現(xiàn)員工更愿意改變行為�。
他說:“因此,我們看到更多員工參與培訓(xùn)�,以及更多圍繞培訓(xùn)的對(duì)話。這告訴我們�����,由于這場(chǎng)危機(jī)����,人們已經(jīng)準(zhǔn)備好改變以及接受改變�����!
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
