冠状病毒大流行的网络安全策略
大流行使公司更难以维护安全性和业务连续性。但是新策略可以帮助网络安全领导者保护其组织。网络安全方案-
COVID-19大流行给首席信息安全官(CISO)及其团队提供了两个紧迫的优先事项。现在,组织已告知员工停止旅行和聚会,而且许多地方的政府官员已建议或命令其员工尽可能多地呆在家里,因此,以前所未有的规模确保在家工作的安排。另一个是随着流量的激增,保持面向消费者的网络流量的机密性,完整性和可用性,部分原因是人们在家中花费了更多时间。网络安全方案
最近与网络安全领导者进行的讨论表明,某些行动对于实现这两个优先级特别有用。在本文中,我们列出了网络安全领导者认为有效的技术修改,员工敬业度方法和流程更改。网络安全方案
快速广泛地采用“在家工作”工具给安全团队带来了很大压力,安全团队必须保护这些工具,而又不致使员工难以工作。与亚洲,欧洲和北美的CISO进行有关如何确保这些新的在家工作安排的对话,突显了这些高管在技术,人员和流程三个方面所做的改变。网络安全方案
技术:确保所需的控件到位
随着公司推出使员工能够在家工作并保持业务连续性的技术,网络安全团队可以采取以下措施来减轻网络安全风险:
Acceleratepatching for critical systems. 加快关键系统的修补程序。缩短对远程工作必不可少的系统(例如虚拟专用网络(VPN),端点保护和云接口)的补丁程序周期,将有助于公司在发现漏洞后立即消除漏洞。保护远程基础架构的补丁值得特别注意。
Scale upmultifactor authentication扩大多因素身份验证。应该要求远程工作的员工使用多因素身份验证(MFA)来访问网络和关键应用程序。扩大MFA可能是一个挑战:增加保护将增加短期产能。几种做法使MFA的推出更加易于管理。一种是优先处理具有较高特权(例如域和系统管理员以及应用程序开发人员)并使用关键系统(例如汇款)的用户。在规模适中的试点项目中针对这些用户,网络安全团队将可以从经验中学习并利用这些知识来制定更广泛的实施计划。网络安全团队还可以受益于使用MFA技术(例如由多个云提供商提供的应用程序网关),这些技术已经与现有流程集成在一起。网络安全方案
Installcompensating controls for facility-based applications migrated to remote access为迁移到远程访问的基于设施的应用程序安装补偿控件。某些应用程序,例如银行柜员界面和小区中心Wiki,仅对在其组织机构现场工作的用户可用。为了使此类基于设施的应用程序可供远程工作者使用,公司必须使用特殊控件保护这些应用程序。例如,公司可能要求员工激活VPN并使用MFA来访问原本基于设施的资产,同时允许他们在访问公司环境的其他部分时仅使用MFA。网络安全方案
Account forshadow IT影子IT帐户。在许多公司中,员工使用所谓的影子IT系统,这些系统是在未经IT部门正式批准或支持的情况下建立和管理的。扩展的在家办公操作将暴露这种系统,因为一旦员工发现自己无法访问这些资源,依赖于办公室中影子IT的业务流程就会崩溃。IT和安全团队应做好过渡,支持和保护关键业务影子资产的准备。他们还应密切注意员工使用或创建的新型影子IT系统,以简化在家工作,补偿他们无法访问的办公室内功能或避开障碍。网络安全方案
Quicken devicevirtualization加快设备虚拟化。基于云的虚拟化桌面解决方案可以使员工在家中工作更容易,因为与本地解决方案相比,它们中的许多可以更快地实施。请记住,新的解决方案将需要强大的身份验证协议,例如,复杂的密码以及第二个身份验证因素。
人员:帮助员工了解风险
People: Help employees understand the risks
即使有了更强大的技术控制,在家工作的员工仍必须行使良好的判断力,以维护信息安全。许多人认为增加的压力会使他们更容易受到社会工程学的攻击。一些员工可能会注意到,他们的行为并没有像在办公室那样受到监控,因此选择从事使他们面临其他威胁的做法,例如访问受办公室网络阻止的恶意网站。建立“人为防火墙”将有助于确保在家工作的员工发挥自己的作用,以确保企业安全。网络安全方案-
Communicatecreatively创造性地交流。与危机有关的大量通信很容易淹没网络安全风险的警告。安全团队将需要使用多种方法来传达他们的信息。其中可能包括建立双向沟通渠道,使用户可以发布和查看问题,实时报告事件并共享最佳实践;在弹出窗口或通用锁定屏幕上发布公告;鼓励创新使用现有的通讯工具,以弥补走廊,休息室和其他办公室环境中非正式互动的损失。网络安全方案
Focus on whatto do rather than what not to do专注于做什么而不是不做什么。告诉员工不要使用他们认为需要完成工作的工具(例如消费者Web服务)会适得其反。相反,安全团队必须说明使用批准的消息传递,文件传输和文档管理工具来完成其工作的好处,例如安全性和生产率。为了进一步鼓励安全行为,安全团队可以促进使用认可的设备,例如,通过提供津贴购买认可的硬件和软件。
Increaseawareness of social engineering提高社会工程学的意识。以COVID-19为主题的网络钓鱼,网络钓鱼(语音网络钓鱼)和网络钓鱼(文本网络钓鱼)运动已经激增。安全团队必须为员工做好准备,以免受到欺骗。这些团队不仅应该通知用户攻击者将利用他们的恐惧,压力和不确定性,而且还应考虑针对钓鱼,诱骗和欺骗性活动转向针对特定危机的测试主题。网络安全方案
Identify andmonitor high-risk user groups识别和监视高风险用户组。某些用户(例如使用个人身份信息或其他机密数据的用户)比其他用户承担更大的风险。应识别并监视高风险用户的行为(例如异常带宽模式或企业数据的大量下载),这些行为可能表明存在安全漏洞。
流程:提升弹性
Processes: Promote resilience
很少有业务流程旨在支持家庭中的大量工作,因此大多数业务流程缺少正确的嵌入式控件。例如,由于亲自启动VPN的要求,从未从事高风险远程工作且未设置VPN的员工可能会发现无法这样做。在这种情况下,互补的安全控制流程可以减轻风险。这些安全过程包括:
Supportingsecure remote-working tools支持安全的远程工作工具。安全和IT服务台应增加容量,同时大量员工正在安装和设置基本安全工具,例如VPN和MFA。在呼叫中心临时部署安全团队成员以提供额外的一线支持可能是实际的。网络安全方案
Testing andadjusting IR and BC/DR capabilities测试和调整IR和BC / DR功能。即使流量增加,通过验证远程通信和协作工具,公司仍可以支持事件响应(IR)和业务连续性(BC)/灾难恢复(DR)计划。但是公司可能必须调整计划以涵盖与当前危机相关的情况。要找到计划中的薄弱环节,请在办公室中没人进行简短的IR或BC / DR桌面练习。
Securingphysical documents保护物理文件。在办公室中,员工通常可以随时使用数字文档共享机制,碎纸机和用于打印材料的安全处理箱。在家里,员工可能缺乏相同的资源,敏感信息可能最终会变成垃圾。设置保留和销毁物理副本的规范,即使这意味着要等到组织恢复正常业务后再进行。网络安全方案
Expandmonitoring扩展监视。出于两个原因,扩大组织范围内的监视活动的范围(尤其是数据和端点)的范围很重要。首先,网络攻击激增。其次,基本的边界保护机制(例如代理,Web网关或网络入侵检测系统(IDS)或入侵防御系统(IPS))不会保护在家,不在企业网络中且未连接的用户的安全到VPN。根据安全性堆栈的不同,不需要使用VPN或仅要求使用VPN来访问有限资源集的组织可能在很大程度上不受保护。为了扩大监视范围,安全团队应使用新的规则集和发现的针对新型恶意软件的哈希更新安全信息和事件管理(SIEM)系统。他们还应增加安全运营中心(SOC)的人员配备,以帮助弥补基于网络的安全功能(例如非公司资产的端点保护)的损失。如果发现基于网络的安全功能下降,团队应相应地扩展其IR和BC / DR计划。网络安全方案
Clarifyincident-response protocols澄清事件响应协议。当发生网络安全事件时,SOC团队必须知道如何报告这些事件。网络安全领导者应在响应协议中添加冗余选项,以确保在无法到达决策者或由于人们在家工作而中断正常的升级路径时,响应不会停止。网络安全方案
Confirm thesecurity of third parties确认第三方的安全性。几乎每个组织都使用承包商和异地供应商,并且大多数都集成了IT系统并与合同或非合同第三方(例如税务或执法机关)共享数据。当组织评估必须将哪些控制扩展到员工以确保新的在家工作协议时,他们应该对可能会管理其操作和安全协议的类似变更的第三方用户和连接执行相同的操作。例如,询问提供商是否进行了任何远程IR或BC / DR桌面演练,如果有,请他们共享结果。如果任何第三方未能展示出足够的安全控制措施和程序,请考虑限制甚至暂停其连接,直到他们纠正弱点为止。网络安全方案-
Sustain goodprocurement practices维持良好的采购规范。旨在弥补与在家工作相关的主要安全漏洞的快速采购应遵循标准的尽职调查流程。对某些安全和IT工具的需求似乎很紧迫,但是供应商选择不当或草率部署可能弊大于利。
即使有了更强大的技术控制,在家工作的员工仍必须行使良好的判断力,以维护信息安全。网络安全方案
Even with stronger technologycontrols, employees working from home must still exercise good judgment tomaintain information security.
Supportinghigh levels of consumer-facing network traffic
挑战网络流量的机密性,完整性和可用性(CIA)的在线活动水平正在加快。无论您的组织是提供连接性,为消费者服务还是为交易提供支持,确保网络活动的CIA都应是任何想要在此漏洞日益严重的时期内保护消费者免受网络破坏的高管团队的头等大事。在组织加强对企业网络的内部保护的过程中,管理面向消费者的网络和相关技术的组织中的安全团队将需要扩大其技术能力并快速修改流程。网络安全方案
技术:确保足够的容量
Technology: Ensure sufficient capacity
允许员工在家工作的公司必须通过部署技术构建模块(例如Web应用程序防火墙,安全套接字层(SSL)认证,网络监控,反分布式)来实现更高的在线网络流量和交易量拒绝服务和欺诈分析。随着面向网络的流量的增长,组织应采取其他措施以最大程度地减少网络风险:网络安全方案
Enhanceweb-facing threat-intelligence monitoring增强面向Web的威胁情报监视。为了预测威胁并采取预防措施,安全团队必须了解增加的消费者流量如何改变面向Web的企业活动的威胁环境。例如,要确定攻击者是否对组织的面向Web的技术越来越感兴趣,组织可以进行更多的被动域名扫描,以测试针对企业域定制的新恶意签名或针对企业的对抗性扫描的数量。网络以及其他威胁。网络安全方案
Improvecapacity management改善产能管理。过度扩展的面向Web的技术更难监控,更容易受到攻击。安全团队可以监视应用程序的性能,以识别可疑的恶意软件或低价值的安全代理,甚至可以建议删除占用网络容量的功能(例如非关键功能或客户门户上的图形)。
流程:整合和标准化安全活动
Processes: Integrate and standardize securityactivities
客户,员工和供应商都在维护面向Web的网络的机密性,完整性和可用性方面发挥着一定作用。几个步骤可以帮助组织确保这些利益相关者的活动是一致的并且很好地整合在一起的:
Integratefraud-prevention capabilities with the SOC将防欺诈功能与SOC集成在一起。支持金融交易执行的组织应考虑将其现有欺诈分析与SOC工作流集成在一起,以加快对欺诈交易的检查和补救。网络安全方案
Account forincreased costs.解决增加的费用。许多SOC工具和受管安全服务提供商都会根据使用情况收取费用,例如,所分析的日志记录量。随着使用量随网络流量的增加而增加,采用基于使用量的费用安排的组织将需要考虑任何相应的成本增加。
Help consumerssolve CIA problems themselves帮助消费者自己解决CIA问题。对于媒体提供商而言,使客户能够不间断地访问内容至关重要,但是使用量的增加会危害可用性。公司不妨提供指南,向用户展示如何减轻访问问题,尤其是在高峰使用期间。网络安全方案
确保远程工作安排并维持面向客户网络的CIA,对于确保在此颠覆时期的运营连续性至关重要。我们在本文中描述的操作虽然不全面,但已帮助许多组织克服了他们面临的安全困难并维持了在客户和其他利益相关者中的地位。网络安全方案-