在我的IT环境中,使用模式和架构有了什么变化?
这些变化将带来哪些风险?
我需要对我的网络安全态势和控制环境进行哪些更改?
使用模式和架构的变化
对于许多组织来说,在家工作并不常见,尤其是对于那些从事财务、人力资源、市场营销等横向业务职能的传统办公室工作人员来说。而且,当他们需要什么东西的时候,他们更加习惯于到别人的办公桌前。这在两方面影响了使用:远程访问现在对许多员工来说是至关重要的,而沟通和协作解决方案对许多员工的工作效率也非常重要。
尤其是那些通常在独立网络上运行的最敏感的应用程序。这不仅给保护需求带来了问题,也给遵守全球和行业法规带来了问题。
风险将如何变化
风险是某种不良事件发生的可能性及其对组织的影响的函数。在网络安全中,这种可能性受攻击者的活动和在系统正常、合法使用的背景下的IT环境的脆弱性的影响。其影响包括了攻击对机密性、完整性、可用性、生产力或适当性的影响程度。要了解COVID-19和架构变化的影响,我们必须了解这些变化所带来的威胁、弱点和冲击。
与节假日、体育赛事或自然灾害等任何大范围的事件一样,在大流行期间,我们也看到了黑客活动的增加,垃圾邮件和钓鱼攻击也在增加。此外,由于使用上的变化,有时还会使用新方法进行欺诈或以其他的方式损害组织。例如,一旦Zoom被广泛用于了会议,黑客的“Zoom轰炸”就成了定局。
当WFH成为了许多人的新现实,当公路战士把他们的活动和常规做法从wi-fi热点带到了他们的家庭环境中时,风险更高的将是他们对家庭网络的重新关注。虽然笔记本电脑通常在这些情况下可以被很好地加固,但家庭网络在过去并不是重要的目标,可能需要更多的关注。
在漏洞方面,服务器和应用程序资源可能会受到更多的攻击,这仅仅是因为IT环境将网络连接扩展到了家庭;这也可能会暴露笔记本电脑、家庭网络和跨更多组件的应用程序的新漏洞(考虑网络中断或路由)。已经习惯于随时随地进行计算的公司知道如何处理这些环境,但是新的使用模式和体系结构对其他公司来说将会是重大的变化。由于组织和商业伙伴之间的相互联系,认识到这些伙伴(比如供应链中的伙伴)正在经历类似的挑战可能是有用的:因此,整个相互关联的环境正承担着更大的风险。在这种情况下,可能会有第三、第四、甚至是第五方参与到活动中来。
最后,COVID-19带来了对通信和协作应用程序的一个全新的依赖程度,这可能是以前所不存在的。这也可能是关于风险最具挑战性的概念--即使在技术上没有任何改变(虽然不是真的),其影响也会增加,而这是企业在这个充满挑战的时代努力维持生存的一种可能的情况。由于资源的分散性,技术支持也在受到影响。任何类型的分类或恶意软件的感染等都会产生更大的影响,仅仅是因为需要额外的后勤工作来解决问题。
对网络安全控制环境的影响
在历史上,通过寻址物理位置(通常是数据中心)、网络和服务器/主机,IT环境受到了“自下而上”的保护。通过将所有计算设备放在同一个房间内(数据中心、接线柜等),在物理安全方面可以获得规模经济;而在网络安全方面,也可以通过将所有设备放在同一个物理网络上并使用防火墙进行隔离来实现。通过使用站点到站点的虚拟专用网、web安全网关和其他解决方案,这些规模经济得到了扩展。
虽然规模经济效益不高,但端点安全在多年来得到了增强,如今的企业笔记本电脑也具有较强的安全性。然而,智能手机、平板电脑和员工所拥有的笔记本电脑则是另一回事。一些组织已经建立了一个包含所有内容的安全计划,而其他组织则仍然基于对完全资产所有权的预期。当然,随着分布式计算、互联网、虚拟化、云和软件定义了一切,许多其他因素都在这些年中发生了变化。然而,许多相同的原则也都已经得到了应用。但COVID-19将会改变这一切。
在第一次留守令发布后的一天内,COVID-19带来了明显的改变。对许多组织来说,第一个大的障碍是如何确保用户能够在家安全地访问必要的应用程序。当然,虚拟专用网是第一道防线,而且非常常见,但是解决性能和管理问题的需要也变得至关重要。改变网络安全访问限制和规则对一些人来说会是一个巨大的负担。
然而,其他的一些公司只是在创新曲线上走得更远一些,就几乎没有什么重大问题了。这些公司经常会对谷歌的BeyondCorp架构或其他零信任功能进行建模,以引入分配给用户和应用程序的动态规则,这些规则会随着位置的变化而变化。他们在整个环境中都部署了多因素身份验证。它们有效地将安全级别提升到了更高的水平,能够聚焦于用户、数据和应用程序,而不管通常使用的设备或网络是什么,也不管它们存储在哪里。
网络安全专业人士早就意识到,需要更有力的控制措施来保护日益复杂的计算环境。对于一些已经完成了工程和集成工作的程序来说,现在可能是考虑缓慢推出新架构的好时机了。
然而,对于其他落后的项目则必须更加保守。在平衡未来攻击的风险和阻碍合法用户生产力的负面影响之间的界限从未如此清晰。现在不是以增强安全的名义破坏生产率的时候。但这并不意味着可以忽视它,而是意味着需要非常小心。
WFH下的10个长期任务清单
下面的建议会假设与现有控制环境筛选相关的火灾都已被扑灭,而且环境暂时是稳定的。
在接下来的六个月里
自动化、自动化、自动化--想方设法确保补丁、密码重置、变更控制、事件管理和其他手动流程在任何可能的地方和任何时间都实现了自动化。
到处部署多因素身份验证--任何人都应该清楚的一个教训是,你不能依靠密码来做任何事情,即使是在组织内部。虽然不是灵丹妙药,但多因素可能是最接近灵丹妙药的东西,它可以在任何地方降低风险。
制定BYOD计划,即使你通常不允许BYOD,也要确保你有办法能够让非托管设备访问组织资源而不牺牲安全性。其中也包括需要注意家庭的网络安全。
检查数据治理策略和程序--确保能够识别所有者,并解决与内容相关的任何策略问题,如云环境的管辖权问题。
升级第三方/第四方合规计划--创建一个不需要实地考察的持续合规计划。依赖于第三方审计,活动和控制的持续性报告,以及健壮的架构来进行保护。
评估对位置或资产导向控制的需求--努力消除应用程序在某个设备上运行、在某个位置或某个网络上运行的需要,以便提供保护。
在未来18个月内
创建一个虚拟SOC--无论是通过MSSP还是利用SaaS解决方案,构建一个可随时随地监控的SOC。
将应用程序和数据与网络和设备安全分开--确保从任何网络路径上的任何设备访问应用程序和数据时都将受到保护。
实现一个云安全网关或环境--创建一个基于云的环境,以路由任何网络流量,并应用合适的安全保护。
开发一个分布式的完整架构--将加密和完整性整合到数据和应用程序当中。