随着新型冠状病毒(COVID-19)的危机持续在全球范围内蔓延,全球各地的企业别无选择,只能做出改变并将业务持续性计划付诸行动。从一线员工到内部部门,工作重心的转移几乎在向所有人施加压力。当然,那些被要求快速且安全地部署在家办公环境的安全领导者们更是敏锐地感受到了这种压力。
从过去几周监测到的网络攻击活动可见,网络犯罪分子正在利用恐慌来制造新的网络钓鱼和恶意软件活动。安全领导者也正忙于鼓励员工在家进行更大规模的工作,同时教育员工有关远程办公的新风险等知识。
不过,这还只是在这段艰难时期内,安全部门必须完成的所有工作的一个起点而已。
大多数安全领导者信心十足地表示,到目前为止,他们已经了解到如何在新冠肺炎肆虐的情况下确保在家办公的业务安全。
1. 正确乐观的心态将使我们度过危机
CoreView的首席技术官(CTO) Ivan Fioravanti表示:
“在米兰,我们正处于新冠病毒爆发的震中。考虑到三四周前意大利甚至还没有任何感染者,我们确实受到了不可预见的风暴的侵袭。”
IT一直以来都被视为“成本/费用中心”,包含“进程缓慢”的冗员项目,无法跟上技术发展步伐、不断降低的生产效率、无法满足公司业务需求等等问题。但是现在,在这个不同寻常的时期,这种态度必须改变。IT必须成为拯救企业的“英雄”。通过基于云和基于SaaS的技术堆栈以及出色的连接性,远程工作成为了可能。但是,真正的推动力其实是思维定势——人们必须明白,如今,正是这些技术工具成就了零生产率与完全生产率、零人际关系和良好人际关系之间的差别。IT部门现在有责任维持业务安全、平稳地运转,并且他们必须为此承担一些风险,他们必须尽可能地维持生产力和安全性之间的平衡。
2. 快速修复可能会导致更多问题
Awake Security公司的首席信息安全官(CISO)Malcolm Harkins表示:
“在过去的几周里,我与许多企业组织进行了数十次会话,这些组织都希望以前所未有的规模确保远程办公人员的安全。例如,一家企业希望在不到一周的时间内,将他们的远程办公人员增加50%(数千人)。无论是人们开始从各种各样可能受到‘污染’的家庭网络环境连接办公网络,亦或是正值企业IT预算缩减之际(病毒导致企业收益减少,IT预算也随之降低),都会极大地增加组织的攻击面。”
对于大多数企业组织而言,这时候面临的困境主要是,在增加远程办公人员的同时还要降低安全性和IT预算。你可以理解成,他们只是在“拆东墙补西墙”,通过使另一个问题不断恶化的方式来解决一个问题。但是,偷工减料可能会导致更严重的违规行为,甚至会造成业务崩溃,这时候就不仅仅是给企业造成伤害的问题了。
3. 员工需要了解远程办公的风险
HighSide公司总裁兼首席安全官(CSO)Aaron Turner表示,随着许多组织使用Office 365、G-Suite、Zoom、Slack等软件即服务(SaaS)平台,员工在远程办公时可能需要共享数据,这时候他们就有必要了解这些系统中的漏洞。例如,Slack在其官方文件中非常透明地指出,无法保证流经其系统的信息的安全性。任何能够访问位于用户和SaaS服务之间的网络基础架构的人,都可以通过相对简单的攻击来拦截、操纵和更改发送到Office365或G-Suite的每条信息。”
4. 安全最终关系到人
Unisys公司的首席信息安全官(CISO)Mat Newfield表示,我相信许多组织都必须面对这样一个现实,我们所作的大部分工作都是与人相关的业务。您如何保护与您一起工作的人的安全?您如何确保自己正在做的所有事情都是正确的?这些都是人们在准备培训期间应该询问的问题,而不要真正等到事情发生之后才问。
5. 正确的人会让事情变得更容易
Gett公司的首席信息安全官(CISO)Eyal Sasson表示,仅仅关注与高概率情况相关的风险是很容易的,但是我们应该始终尝试为极端事件做准备,并在我们(参与)的风险之间找到适当的平衡。也可以说,当发生这种重大事件时,企业还应该意识到聘请专业团队来解决问题的价值所在。要知道,一次好的招聘将会是一份不断创造惊喜的礼物!
6. 摒弃尖锐冷漠的安全态度
Akamai公司的首席安全官(CSO)Andy Ellis表示,随着新型冠状病毒(COVID-19)在全球范围内传播扩散,可以这么说,它其实就像是人类应对新威胁的缩影。我们越来越多地看到人们从最初的漠视——“哦,小问题,不必紧张”,转变为震惊和惶恐——“哦,我的天哪,太可怕了!”,而且突然地隔离通常会让人措手不及。作为安全专家,这是一个向同事表达关爱的绝佳机会,而不是传播更多的负面情绪。
7. 这里的教训是学习教训
Veracode公司的首席信息安全官兼首席技术官Chris Wysopal表示,我经常听到首席信息安全官们说这样一句话:“不要浪费任何一次数据泄露”。他们的意思是,要将每一次违规行为视为一个机会,以发现您的安全程序中存在的漏洞,并鉴于眼前的紧急情况来获取资金修补这些漏洞。几天前,我们正计划测试让整个公司远程运行的潜力,以发现我们业务连续性计划中存在的任何漏洞。我认为这是改进我们的计划的绝佳时机,我们不应该浪费这次新冠病毒肆虐的时机。我们可以利用这种紧迫性来获取所有业务职能,以改善公司在疫情期间持续开展业务的计划。
8. 在危机期建立信任
Kenna Security公司的首席安全工程师Jerry Gamblin表示,如果您的公司要等到疫情爆发后才开始考虑让团队在家办公的可能性,那您就落后太多了。您必须保持灵活性并充分信任您的员工。您必须授权员工在危机期间为自己和公司做出最佳决策。根据他们的“个人风险模型”(类似于我们国家的防疫安全码,即基于他们每天与谁互动所建立的模型),让他们可以灵活地控制何时需要远程办公或旅行。
9. 这也是网络犯罪分子的一个机会
Hold Security公司的首席信息安全官(CISO)Alex Holden表示,关于冠状病毒的网络钓鱼电子邮件正在增加,这也进一步加剧了危机以及虚假新闻、产品短缺和恐慌现象。除此之外,总体威胁形势也正在恶化。在隔离期间,越来越多人闲赋在家,由于无事可做,他们便转而进行网络犯罪。因此,公司需要从此次危机中预见网络犯罪分子的下一步行动。
10. 受信任的技术可能不再承受新的压力
AppGate Federal公司的总裁Greg Touhill表示,虚拟专用网(VPN)技术正在显示其落后性,以及缺乏应对危机的敏捷性。通过与众多CIS和CISO进行交谈,我发现他们正在努力尝试实现大规模的企业范围内的安全信息访问。大多数人一直在使用VPN技术让一定比例的员工远程访问企业内部信息。在这场危机期间,他们发现当前的基础架构和许可所具备的能力已经远不能满足人们的访问需求。而且,实施昂贵的VPN扩展也远远超出了他们的能力范围。我们看到,许多组织正在研究软件定义边界(SDP)技术,以提供敏捷和高弹性的功能,实现安全的远程访问,同时降低实际部署成本(包括时间和资金)。
11. 物理安全也需要考虑进去
English Blinds公司的首席信息安全官Alison Davies表示,我们还应该考虑那些用于家庭办公且通常不会带到公司的设备的物理安全性问题,以及员工使用自己的个人设备和/或在公司与个人之间传输、接收数据所构成的等效威胁。
12. 业务连续性计划仍然至关重要
Agio公司网络安全执行总监Andrew Werking表示,业务连续性计划带来了丰厚的回报。一项最新的业务连续性计划、call tree以及角色和职责;一份定义明确的工作流程、应用程序、基础架构、人员和第三方依赖项;以及经过测试和证明的持续性操作程序都是必须具备的条件,以避免服务中断并顺利维持运营。无数的事实也凸显了投资于连续性计划的公司与未投资于连续性计划的公司之间的明显差距。
13. 我们必须更好地为未来做准备
CloudShare公司的首席技术官 Muly Gottlieb表示,这件事提醒我们,我们习惯把个人或专业环境中的某些事情看成是理所当然的存在,例如学习行业会议上的最新安全技术或认证。我们应该不断质疑那些看似显而易见的基础知识和事物,并努力为所有“已知未知数”做好准备。我们还应该在任何可能的范围内为“未知的未知数”做好计划,这也就意味着确保业务连续性计划涵盖物理和数字活动方案,尤其是管理外部力量或我们无法控制的环境因素所带来的风险。