“我們應(yīng)該如何調(diào)整我們的網(wǎng)絡(luò)安全控制,以應(yīng)對(duì)在家工作(WFH)的新現(xiàn)實(shí)?”這個(gè)問(wèn)題是首席信息官和安全主管們的頭等大事。在談到后COVID時(shí)代的網(wǎng)絡(luò)安全時(shí),每個(gè)首席信息官都需要回答以下的三個(gè)關(guān)鍵問(wèn)題:
1.在我的IT環(huán)境中,使用模式和架構(gòu)有了什么變化?
2.這些變化將帶來(lái)哪些風(fēng)險(xiǎn)?
3.我需要對(duì)我的網(wǎng)絡(luò)安全態(tài)勢(shì)和控制環(huán)境進(jìn)行哪些更改?
使用模式和架構(gòu)的變化
對(duì)于許多組織來(lái)說(shuō),在家工作并不常見(jiàn),尤其是對(duì)于那些從事財(cái)務(wù)、人力資源、市場(chǎng)營(yíng)銷等橫向業(yè)務(wù)職能的傳統(tǒng)辦公室工作人員來(lái)說(shuō)。而且,當(dāng)他們需要什么東西的時(shí)候,他們更加習(xí)慣于到別人的辦公桌前。這在兩方面影響了使用:遠(yuǎn)程訪問(wèn)現(xiàn)在對(duì)許多員工來(lái)說(shuō)是至關(guān)重要的,而溝通和協(xié)作解決方案對(duì)許多員工的工作效率也非常重要。
尤其是那些通常在獨(dú)立網(wǎng)絡(luò)上運(yùn)行的最敏感的應(yīng)用程序。這不僅給保護(hù)需求帶來(lái)了問(wèn)題,也給遵守全球和行業(yè)法規(guī)帶來(lái)了問(wèn)題。
風(fēng)險(xiǎn)將如何變化
風(fēng)險(xiǎn)是某種不良事件發(fā)生的可能性及其對(duì)組織的影響的函數(shù)。在網(wǎng)絡(luò)安全中,這種可能性受攻擊者的活動(dòng)和在系統(tǒng)正常、合法使用的背景下的IT環(huán)境的脆弱性的影響。其影響包括了攻擊對(duì)機(jī)密性、完整性、可用性、生產(chǎn)力或適當(dāng)性的影響程度。要了解COVID-19和架構(gòu)變化的影響,我們必須了解這些變化所帶來(lái)的威脅、弱點(diǎn)和沖擊。
與節(jié)假日、體育賽事或自然災(zāi)害等任何大范圍的事件一樣,在大流行期間,我們也看到了黑客活動(dòng)的增加,垃圾郵件和釣魚(yú)攻擊也在增加。此外,由于使用上的變化,有時(shí)還會(huì)使用新方法進(jìn)行欺詐或以其他的方式損害組織。例如,一旦Zoom被廣泛用于了會(huì)議,黑客的“Zoom轟炸”就成了定局。
當(dāng)WFH成為了許多人的新現(xiàn)實(shí),當(dāng)公路戰(zhàn)士把他們的活動(dòng)和常規(guī)做法從wi-fi熱點(diǎn)帶到了他們的家庭環(huán)境中時(shí),風(fēng)險(xiǎn)更高的將是他們對(duì)家庭網(wǎng)絡(luò)的重新關(guān)注。雖然筆記本電腦通常在這些情況下可以被很好地加固,但家庭網(wǎng)絡(luò)在過(guò)去并不是重要的目標(biāo),可能需要更多的關(guān)注。
在漏洞方面,服務(wù)器和應(yīng)用程序資源可能會(huì)受到更多的攻擊,這僅僅是因?yàn)镮T環(huán)境將網(wǎng)絡(luò)連接擴(kuò)展到了家庭;這也可能會(huì)暴露筆記本電腦、家庭網(wǎng)絡(luò)和跨更多組件的應(yīng)用程序的新漏洞(考慮網(wǎng)絡(luò)中斷或路由)。已經(jīng)習(xí)慣于隨時(shí)隨地進(jìn)行計(jì)算的公司知道如何處理這些環(huán)境,但是新的使用模式和體系結(jié)構(gòu)對(duì)其他公司來(lái)說(shuō)將會(huì)是重大的變化。由于組織和商業(yè)伙伴之間的相互聯(lián)系,認(rèn)識(shí)到這些伙伴(比如供應(yīng)鏈中的伙伴)正在經(jīng)歷類似的挑戰(zhàn)可能是有用的:因此,整個(gè)相互關(guān)聯(lián)的環(huán)境正承擔(dān)著更大的風(fēng)險(xiǎn)。在這種情況下,可能會(huì)有第三、第四、甚至是第五方參與到活動(dòng)中來(lái)。
最后,COVID-19帶來(lái)了對(duì)通信和協(xié)作應(yīng)用程序的一個(gè)全新的依賴程度,這可能是以前所不存在的。這也可能是關(guān)于風(fēng)險(xiǎn)最具挑戰(zhàn)性的概念--即使在技術(shù)上沒(méi)有任何改變(雖然不是真的),其影響也會(huì)增加,而這是企業(yè)在這個(gè)充滿挑戰(zhàn)的時(shí)代努力維持生存的一種可能的情況。由于資源的分散性,技術(shù)支持也在受到影響。任何類型的分類或惡意軟件的感染等都會(huì)產(chǎn)生更大的影響,僅僅是因?yàn)樾枰~外的后勤工作來(lái)解決問(wèn)題。
對(duì)網(wǎng)絡(luò)安全控制環(huán)境的影響
在歷史上,通過(guò)尋址物理位置(通常是數(shù)據(jù)中心)、網(wǎng)絡(luò)和服務(wù)器/主機(jī),IT環(huán)境受到了“自下而上”的保護(hù)。通過(guò)將所有計(jì)算設(shè)備放在同一個(gè)房間內(nèi)(數(shù)據(jù)中心、接線柜等),在物理安全方面可以獲得規(guī)模經(jīng)濟(jì);而在網(wǎng)絡(luò)安全方面,也可以通過(guò)將所有設(shè)備放在同一個(gè)物理網(wǎng)絡(luò)上并使用防火墻進(jìn)行隔離來(lái)實(shí)現(xiàn)。通過(guò)使用站點(diǎn)到站點(diǎn)的VPN、web安全網(wǎng)關(guān)和其他解決方案,這些規(guī)模經(jīng)濟(jì)得到了擴(kuò)展。
雖然規(guī)模經(jīng)濟(jì)效益不高,但端點(diǎn)安全在多年來(lái)得到了增強(qiáng),如今的企業(yè)筆記本電腦也具有較強(qiáng)的安全性。然而,智能手機(jī)、平板電腦和員工所擁有的筆記本電腦則是另一回事。一些組織已經(jīng)建立了一個(gè)包含所有內(nèi)容的安全計(jì)劃,而其他組織則仍然基于對(duì)完全資產(chǎn)所有權(quán)的預(yù)期。當(dāng)然,隨著分布式計(jì)算、互聯(lián)網(wǎng)、虛擬化、云和軟件定義了一切,許多其他因素都在這些年中發(fā)生了變化。然而,許多相同的原則也都已經(jīng)得到了應(yīng)用。但COVID-19將會(huì)改變這一切。
在第一次留守令發(fā)布后的一天內(nèi),COVID-19帶來(lái)了明顯的改變。對(duì)許多組織來(lái)說(shuō),第一個(gè)大的障礙是如何確保用戶能夠在家安全地訪問(wèn)必要的應(yīng)用程序。當(dāng)然,VPN是第一道防線,而且非常常見(jiàn),但是解決性能和管理問(wèn)題的需要也變得至關(guān)重要。改變網(wǎng)絡(luò)安全訪問(wèn)限制和規(guī)則對(duì)一些人來(lái)說(shuō)會(huì)是一個(gè)巨大的負(fù)擔(dān)。
然而,其他的一些公司只是在創(chuàng)新曲線上走得更遠(yuǎn)一些,就幾乎沒(méi)有什么重大問(wèn)題了。這些公司經(jīng)常會(huì)對(duì)谷歌的BeyondCorp架構(gòu)或其他零信任功能進(jìn)行建模,以引入分配給用戶和應(yīng)用程序的動(dòng)態(tài)規(guī)則,這些規(guī)則會(huì)隨著位置的變化而變化。他們?cè)谡麄€(gè)環(huán)境中都部署了多因素身份驗(yàn)證。它們有效地將安全級(jí)別提升到了更高的水平,能夠聚焦于用戶、數(shù)據(jù)和應(yīng)用程序,而不管通常使用的設(shè)備或網(wǎng)絡(luò)是什么,也不管它們存儲(chǔ)在哪里。
網(wǎng)絡(luò)安全專業(yè)人士早就意識(shí)到,需要更有力的控制措施來(lái)保護(hù)日益復(fù)雜的計(jì)算環(huán)境。對(duì)于一些已經(jīng)完成了工程和集成工作的程序來(lái)說(shuō),現(xiàn)在可能是考慮緩慢推出新架構(gòu)的好時(shí)機(jī)了。
然而,對(duì)于其他落后的項(xiàng)目則必須更加保守。在平衡未來(lái)攻擊的風(fēng)險(xiǎn)和阻礙合法用戶生產(chǎn)力的負(fù)面影響之間的界限從未如此清晰。現(xiàn)在不是以增強(qiáng)安全的名義破壞生產(chǎn)率的時(shí)候。但這并不意味著可以忽視它,而是意味著需要非常小心。
WFH下的10個(gè)長(zhǎng)期任務(wù)清單
下面的建議會(huì)假設(shè)與現(xiàn)有控制環(huán)境篩選相關(guān)的火災(zāi)都已被撲滅,而且環(huán)境暫時(shí)是穩(wěn)定的。
在接下來(lái)的六個(gè)月里
•自動(dòng)化、自動(dòng)化、自動(dòng)化--想方設(shè)法確保補(bǔ)丁、密碼重置、變更控制、事件管理和其他手動(dòng)流程在任何可能的地方和任何時(shí)間都實(shí)現(xiàn)了自動(dòng)化。
•到處部署多因素身份驗(yàn)證--任何人都應(yīng)該清楚的一個(gè)教訓(xùn)是,你不能依靠密碼來(lái)做任何事情,即使是在組織內(nèi)部。雖然不是靈丹妙藥,但多因素可能是最接近靈丹妙藥的東西,它可以在任何地方降低風(fēng)險(xiǎn)。
•制定BYOD計(jì)劃,即使你通常不允許BYOD,也要確保你有辦法能夠讓非托管設(shè)備訪問(wèn)組織資源而不犧牲安全性。其中也包括需要注意家庭的網(wǎng)絡(luò)安全。
•檢查數(shù)據(jù)治理策略和程序--確保能夠識(shí)別所有者,并解決與內(nèi)容相關(guān)的任何策略問(wèn)題,如云環(huán)境的管轄權(quán)問(wèn)題。
•升級(jí)第三方/第四方合規(guī)計(jì)劃--創(chuàng)建一個(gè)不需要實(shí)地考察的持續(xù)合規(guī)計(jì)劃。依賴于第三方審計(jì),活動(dòng)和控制的持續(xù)性報(bào)告,以及健壯的架構(gòu)來(lái)進(jìn)行保護(hù)。
•評(píng)估對(duì)位置或資產(chǎn)導(dǎo)向控制的需求--努力消除應(yīng)用程序在某個(gè)設(shè)備上運(yùn)行、在某個(gè)位置或某個(gè)網(wǎng)絡(luò)上運(yùn)行的需要,以便提供保護(hù)。
在未來(lái)18個(gè)月內(nèi)
•創(chuàng)建一個(gè)虛擬SOC--無(wú)論是通過(guò)MSSP還是利用SaaS解決方案,構(gòu)建一個(gè)可隨時(shí)隨地監(jiān)控的SOC。
•將應(yīng)用程序和數(shù)據(jù)與網(wǎng)絡(luò)和設(shè)備安全分開(kāi)--確保從任何網(wǎng)絡(luò)路徑上的任何設(shè)備訪問(wèn)應(yīng)用程序和數(shù)據(jù)時(shí)都將受到保護(hù)。
•實(shí)現(xiàn)一個(gè)云安全網(wǎng)關(guān)或環(huán)境--創(chuàng)建一個(gè)基于云的環(huán)境,以路由任何網(wǎng)絡(luò)流量,并應(yīng)用合適的安全保護(hù)。
•開(kāi)發(fā)一個(gè)分布式的完整架構(gòu)--將加密和完整性整合到數(shù)據(jù)和應(yīng)用程序當(dāng)中。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)