當(dāng)我們都適應(yīng)遠(yuǎn)程工作時(shí)�,世界各地的安全團(tuán)隊(duì)正在應(yīng)對(duì)一個(gè)非常嚴(yán)峻的挑戰(zhàn)。我們的公司幾乎一夜之間就改變了�����。完善的程序正在被重寫,最佳實(shí)踐正在迅速被重新思考����,政策也已到了崩潰的地步。
業(yè)務(wù)轉(zhuǎn)型總是一種安全風(fēng)險(xiǎn)���。新技術(shù)和工作實(shí)踐需要新的安全措施��;但通常情況下�,這種風(fēng)險(xiǎn)是經(jīng)過仔細(xì)和長期的管理的�。Covid-19沒有給我們提供這種奢侈。對(duì)于一些企業(yè)來說����,這種變化的規(guī)模和速度將是前所未有的。它也是非常公開的�;攻擊者已經(jīng)意識(shí)到了這種情況并已經(jīng)利用了它。以下是安全小組在未來幾周將面臨的一些最嚴(yán)重的威脅����。
對(duì)收件箱應(yīng)用謹(jǐn)慎和常識(shí)
變化帶來新奇,新奇給騙子帶來機(jī)會(huì)。在過去48小時(shí)內(nèi)��,內(nèi)部安全小組將一直在競相推出必要的遠(yuǎn)程工作工具����。下載新軟件的鏈接,更改我們驗(yàn)證服務(wù)的方式�。當(dāng)你不知道該期待什么的時(shí)候,員工關(guān)于識(shí)別社會(huì)工程的培訓(xùn)就消失了��。員工和IT部門都應(yīng)警惕意外的呼叫和請(qǐng)求:
“嗨����,我正在打電話給你,請(qǐng)你把你的2FA碼讀給我���,確認(rèn)你已經(jīng)轉(zhuǎn)換到新的雙人系統(tǒng)了����,好嗎���?”
“嗨�,我忘記了我的O365密碼��,你能給我的個(gè)人Gmail發(fā)一個(gè)重置碼嗎����?”
此類請(qǐng)求可能是合法的,可能需要在正常渠道之外解決���。個(gè)人有責(zé)任謹(jǐn)慎行事����,運(yùn)用常識(shí)��,并酌情加以驗(yàn)證�。
斯皮爾釣魚網(wǎng)站也將有大量機(jī)會(huì)模仿第三方和客戶:
“嗨,約翰�����,我需要把下周的會(huì)議改到遠(yuǎn)程���。請(qǐng)參閱下面的鏈接�,以獲取縮放呼叫的邀請(qǐng)�。“
同時(shí)放松安全控制����,以便利使用非標(biāo)準(zhǔn)網(wǎng)絡(luò)會(huì)議軟件和通過電子郵件共享文件��,將加劇這些風(fēng)險(xiǎn)���。攻擊者既有機(jī)會(huì)也有手段。
擴(kuò)大威脅范圍
安全控制的削弱遠(yuǎn)遠(yuǎn)超出了放松防火墻規(guī)則和電子郵件政策的范圍���。許多現(xiàn)有的安全層不適用于遠(yuǎn)程工作者���。員工們突然把工作電腦帶回家,會(huì)發(fā)現(xiàn)自己在用辦公網(wǎng)絡(luò)換家庭Wi-Fi時(shí)被剝奪了保護(hù)�����。如果沒有internet代理���、NAC���、ID和NGFW,客戶端設(shè)備現(xiàn)在將暴露在可能受到危害的設(shè)備之間的潛在不安全網(wǎng)絡(luò)上�����。端點(diǎn)安全性將不得不承受保護(hù)的全部沖擊。
內(nèi)部網(wǎng)絡(luò)安全也可能受到損害����;員工可能需要訪問以前只能在一個(gè)位置的有線網(wǎng)絡(luò)上訪問的資源��。為了使它可以通過VPN訪問����,內(nèi)部分段可能需要扁平化。這將打開惡意軟件傳播和橫向移動(dòng)的大門�������?赡苄枰P(guān)閉保護(hù)web服務(wù)的客戶端證書身份驗(yàn)證����,以使BYOD能夠?yàn)闆]有公司筆記本電腦的員工工作。
必須仔細(xì)記錄這些更改�,并理解依賴關(guān)系。額外的負(fù)擔(dān)將不得不轉(zhuǎn)移到其他地方:也許可以收緊主機(jī)AV策略以補(bǔ)償缺乏網(wǎng)絡(luò)保護(hù)�����,也許可以重新配置員工設(shè)備以使用安全的外部DNS提供程序�,而不是prem DNS服務(wù)器。
新一波攻擊
除了現(xiàn)有控制措施的削弱���,新基礎(chǔ)設(shè)施的建設(shè)將帶來新的風(fēng)險(xiǎn)����。一月份,我們看到了大量針對(duì)面向web的Citrix基礎(chǔ)設(shè)施的攻擊�。公司將迅速部署VPN網(wǎng)關(guān),過渡到Sharepoint��,并擴(kuò)大面向互聯(lián)網(wǎng)的范圍�����。這個(gè)快速增加的攻擊面需要監(jiān)視和保護(hù)��。安全團(tuán)隊(duì)?wèi)?yīng)該提高對(duì)暴力和服務(wù)器端攻擊的警惕�����。DDoS保護(hù)也將變得比以往任何時(shí)候都更加重要����;對(duì)于許多公司來說�,這將是第一次DDoS攻擊通過阻止遠(yuǎn)程工作者通過互聯(lián)網(wǎng)訪問服務(wù)來削弱其業(yè)務(wù)�����。我們應(yīng)該預(yù)料到這兩種形式的襲擊會(huì)立即急劇上升�����。
不要草率決定
“把它放到一個(gè)S3桶里”��,“讓我們用join.me代替”�,“我會(huì)通過WeTransfer發(fā)送給你”��。
IT部門和個(gè)人員工都將面臨阻礙��。他們的需求不會(huì)有一個(gè)授權(quán)的解決方案�����,而且這些需求可能非常緊急����。在企業(yè)極度擔(dān)心自己的財(cái)務(wù)狀況和經(jīng)營能力之際,人們將面臨著向風(fēng)吹草動(dòng)����、保護(hù)“一切照��!钡膲毫��。這種壓力甚至可能來自高層�����。安全領(lǐng)導(dǎo)層必須盡最大努力��,既要抵制草率的決定���,又要提供創(chuàng)造性的解決方案。
善意的員工會(huì)變得富有創(chuàng)造力�����,而團(tuán)隊(duì)領(lǐng)導(dǎo)的責(zé)任將被賦予“做所需”����。安全部門可能不可能對(duì)這一點(diǎn)進(jìn)行集中監(jiān)控,但需要對(duì)危險(xiǎn)行為和違規(guī)行為進(jìn)行監(jiān)控���。這說起來容易做起來難����;SOC將被要求在變化的海洋中監(jiān)測事件。現(xiàn)有的用例和規(guī)則將不適用�����,公司將需要一個(gè)更加主動(dòng)和動(dòng)態(tài)的方法來檢測和響應(yīng)�。
你的家是一個(gè)“零信任”的商業(yè)環(huán)境
不幸的是,我們公司內(nèi)部會(huì)有人想趁我們不景氣時(shí)把我們踢出去����。突然的遠(yuǎn)程工作對(duì)惡意的內(nèi)部人員來說是天賜良機(jī)�����。數(shù)據(jù)現(xiàn)在可以很容易地從一個(gè)公司的設(shè)備通過USB在他們自己的家里的隱私���。安全監(jiān)視可能會(huì)完全癱瘓或禁用��。這種風(fēng)險(xiǎn)很難解決�����。它可能不是可消除的���,但它可以與對(duì)生產(chǎn)力和數(shù)據(jù)訪問的需求相平衡����。
我們也應(yīng)該提防身邊的人��。我們都希望我們能信任和我們一起生活的人����。但從公司的角度來看,員工之家是零信任的環(huán)境���。保密談話現(xiàn)在將在竊聽者的范圍內(nèi)進(jìn)行�。知識(shí)產(chǎn)權(quán)將在全國各地客廳的屏幕和顯示器上可見����。對(duì)于年輕人來說,這種風(fēng)險(xiǎn)更大��,可能是合租房子��,但對(duì)于所有工人�����、送貨員、到家的訪客來說����,這種風(fēng)險(xiǎn)仍然存在——他們都有可能從廚房的桌子上偷走公司的筆記本電腦。對(duì)員工特別是風(fēng)險(xiǎn)群體的教育將是關(guān)鍵����。
適應(yīng)新常態(tài)
能夠不斷進(jìn)化和適應(yīng)變化的人工智能系統(tǒng)將提供檢測錯(cuò)誤配置、攻擊和危險(xiǎn)行為的最佳機(jī)會(huì)——當(dāng)你不知道要尋找什么時(shí)��,你需要能夠識(shí)別模式和量化風(fēng)險(xiǎn)的技術(shù)��。當(dāng)團(tuán)隊(duì)無法阻止惡意活動(dòng)時(shí)�,自主響應(yīng)技術(shù)還可以通過手術(shù)干預(yù)來阻止惡意活動(dòng),保護(hù)設(shè)備和系統(tǒng)�,同時(shí)允許基本操作繼續(xù)不受影響。
上述所有的變化和風(fēng)險(xiǎn)都給soc帶來了一場監(jiān)控噩夢�。我們正進(jìn)入一個(gè)數(shù)字未知的時(shí)期�����,變化將成為新的常態(tài)���。數(shù)據(jù)流和拓?fù)浣Y(jié)構(gòu)將改變�����。將部署新技術(shù)和新服務(wù)�����。日志記錄格式將不同���。需要12個(gè)月開發(fā)的SIEM用例需要在一夜之間被廢棄��。在接下來的幾周里��,商業(yè)慣例將迅速轉(zhuǎn)變���。
靜態(tài)防御和規(guī)則將無法跟上,無論我們多么努力和迅速地重寫它們�����。既然連接來自世界各地的數(shù)千個(gè)不同地點(diǎn)���,您將如何在審核日志中發(fā)現(xiàn)對(duì)O365的惡意登錄嘗試����?企業(yè)需要利用技術(shù),使其能夠在不確定性中繼續(xù)運(yùn)營����,而不會(huì)在這個(gè)關(guān)鍵時(shí)刻扼殺生產(chǎn)力。更重要的是����,控制這些威脅是至關(guān)重要的——如果一臺(tái)受感染的機(jī)器幾天內(nèi)無法重新成像或更換,完全隔離它是不可行的��。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
