我们从新型冠状病毒肺炎(COVID-19)学到的安全经验
随着新型冠状病毒(COVID-19)的危机持续在全球范围内蔓延,全球各地的企业别无选择,只能做出改变并将业务持续性计划付诸行动。从一线员工到内部部门,工作重心的转移几乎在向所有人施加压力。当然,那些被要求快速且安全地部署在家办公环境的安全领导者们更是敏锐地感受到了这种压力。
从过去几周监测到的网络攻击活动可见,网络犯罪分子正在利用恐慌来制造新的网络钓鱼和恶意软件活动。安全领导者也正忙于鼓励员工在家进行更大规模的工作,同时教育员工有关远程办公的新风险等知识。
不过,这还只是在这段艰难时期内,安全部门必须完成的所有工作的一个起点而已。
大多数安全领导者信心十足地表示,到目前为止,他们已经了解到如何在新冠肺炎肆虐的情况下确保在家办公的业务安全。
1. 正确乐观的心态将使我们度过危机
CoreView的首席技术官(CTO) Ivan Fioravanti表示:
“在米兰,我们正处于新冠病毒爆发的震中。考虑到三四周前意大利甚至还没有任何感染者,我们确实受到了不可预见的风暴的侵袭。”
IT一直以来都被视为“成本/费用中心”,包含“进程缓慢”的冗员项目,无法跟上技术发展步伐、不断降低的生产效率、无法满足公司业务需求等等问题。但是现在,在这个不同寻常的时期,这种态度必须改变。IT必须成为拯救企业的“英雄”。通过基于云和基于SaaS的技术堆栈以及出色的连接性,远程工作成为了可能。但是,真正的推动力其实是思维定势——人们必须明白,如今,正是这些技术工具成就了零生产率与完全生产率、零人际关系和良好人际关系之间的差别。IT部门现在有责任维持业务安全、平稳地运转,并且他们必须为此承担一些风险,他们必须尽可能地维持生产力和安全性之间的平衡。
2. 快速修复可能会导致更多问题
Awake Security公司的首席信息安全官(CISO)Malcolm Harkins表示:
“在过去的几周里,我与许多企业组织进行了数十次会话,这些组织都希望以前所未有的规模确保远程办公人员的安全。例如,一家企业希望在不到一周的时间内,将他们的远程办公人员增加50%(数千人)。无论是人们开始从各种各样可能受到‘污染’的家庭网络环境连接办公网络,亦或是正值企业IT预算缩减之际(病毒导致企业收益减少,IT预算也随之降低),都会极大地增加组织的攻击面。”
对于大多数企业组织而言,这时候面临的困境主要是,在增加远程办公人员的同时还要降低安全性和IT预算。你可以理解成,他们只是在“拆东墙补西墙”,通过使另一个问题不断恶化的方式来解决一个问题。但是,偷工减料可能会导致更严重的违规行为,甚至会造成业务崩溃,这时候就不仅仅是给企业造成伤害的问题了。
3. 员工需要了解远程办公的风险
HighSide公司总裁兼首席安全官(CSO)Aaron Turner表示,随着许多组织使用Office 365、G-Suite、Zoom、Slack等软件即服务(SaaS)平台,员工在远程办公时可能需要共享数据,这时候他们就有必要了解这些系统中的漏洞。例如,Slack在其官方文件中非常透明地指出,无法保证流经其系统的信息的安全性。任何能够访问位于用户和SaaS服务之间的网络基础架构的人,都可以通过相对简单的攻击来拦截、操纵和更改发送到Office365或G-Suite的每条信息。”
4. 安全最终关系到人
Unisys公司的首席信息安全官(CISO)Mat Newfield表示,我相信许多组织都必须面对这样一个现实,我们所作的大部分工作都是与人相关的业务。您如何保护与您一起工作的人的安全?您如何确保自己正在做的所有事情都是正确的?这些都是人们在准备培训期间应该询问的问题,而不要真正等到事情发生之后才问。
5. 正确的人会让事情变得更容易
Gett公司的首席信息安全官(CISO)Eyal Sasson表示,仅仅关注与高概率情况相关的风险是很容易的,但是我们应该始终尝试为极端事件做准备,并在我们(参与)的风险之间找到适当的平衡。也可以说,当发生这种重大事件时,企业还应该意识到聘请专业团队来解决问题的价值所在。要知道,一次好的招聘将会是一份不断创造惊喜的礼物!
6. 摒弃尖锐冷漠的安全态度
Akamai公司的首席安全官(CSO)Andy Ellis表示,随着新型冠状病毒(COVID-19)在全球范围内传播扩散,可以这么说,它其实就像是人类应对新威胁的缩影。我们越来越多地看到人们从最初的漠视——“哦,小问题,不必紧张”,转变为震惊和惶恐——“哦,我的天哪,太可怕了!”,而且突然地隔离通常会让人措手不及。作为安全专家,这是一个向同事表达关爱的绝佳机会,而不是传播更多的负面情绪。
7. 这里的教训是学习教训
Veracode公司的首席信息安全官兼首席技术官Chris Wysopal表示,我经常听到首席信息安全官们说这样一句话:“不要浪费任何一次数据泄露”。他们的意思是,要将每一次违规行为视为一个机会,以发现您的安全程序中存在的漏洞,并鉴于眼前的紧急情况来获取资金修补这些漏洞。几天前,我们正计划测试让整个公司远程运行的潜力,以发现我们业务连续性计划中存在的任何漏洞。我认为这是改进我们的计划的绝佳时机,我们不应该浪费这次新冠病毒肆虐的时机。我们可以利用这种紧迫性来获取所有业务职能,以改善公司在疫情期间持续开展业务的计划。
8. 在危机期建立信任
Kenna Security公司的首席安全工程师Jerry Gamblin表示,如果您的公司要等到疫情爆发后才开始考虑让团队在家办公的可能性,那您就落后太多了。您必须保持灵活性并充分信任您的员工。您必须授权员工在危机期间为自己和公司做出最佳决策。根据他们的“个人风险模型”(类似于我们国家的防疫安全码,即基于他们每天与谁互动所建立的模型),让他们可以灵活地控制何时需要远程办公或旅行。
9. 这也是网络犯罪分子的一个机会
Hold Security公司的首席信息安全官(CISO)Alex Holden表示,关于冠状病毒的网络钓鱼电子邮件正在增加,这也进一步加剧了危机以及虚假新闻、产品短缺和恐慌现象。除此之外,总体威胁形势也正在恶化。在隔离期间,越来越多人闲赋在家,由于无事可做,他们便转而进行网络犯罪。因此,公司需要从此次危机中预见网络犯罪分子的下一步行动。
10. 受信任的技术可能不再承受新的压力
AppGate Federal公司的总裁Greg Touhill表示,虚拟专用网(VPN)技术正在显示其落后性,以及缺乏应对危机的敏捷性。通过与众多CIS和CISO进行交谈,我发现他们正在努力尝试实现大规模的企业范围内的安全信息访问。大多数人一直在使用VPN技术让一定比例的员工远程访问企业内部信息。在这场危机期间,他们发现当前的基础架构和许可所具备的能力已经远不能满足人们的访问需求。而且,实施昂贵的VPN扩展也远远超出了他们的能力范围。我们看到,许多组织正在研究软件定义边界(SDP)技术,以提供敏捷和高弹性的功能,实现安全的远程访问,同时降低实际部署成本(包括时间和资金)。
11. 物理安全也需要考虑进去
English Blinds公司的首席信息安全官Alison Davies表示,我们还应该考虑那些用于家庭办公且通常不会带到公司的设备的物理安全性问题,以及员工使用自己的个人设备和/或在公司与个人之间传输、接收数据所构成的等效威胁。
12. 业务连续性计划仍然至关重要
Agio公司网络安全执行总监Andrew Werking表示,业务连续性计划带来了丰厚的回报。一项最新的业务连续性计划、call tree以及角色和职责;一份定义明确的工作流程、应用程序、基础架构、人员和第三方依赖项;以及经过测试和证明的持续性操作程序都是必须具备的条件,以避免服务中断并顺利维持运营。无数的事实也凸显了投资于连续性计划的公司与未投资于连续性计划的公司之间的明显差距。
13. 我们必须更好地为未来做准备
CloudShare公司的首席技术官 Muly Gottlieb表示,这件事提醒我们,我们习惯把个人或专业环境中的某些事情看成是理所当然的存在,例如学习行业会议上的最新安全技术或认证。我们应该不断质疑那些看似显而易见的基础知识和事物,并努力为所有“已知未知数”做好准备。我们还应该在任何可能的范围内为“未知的未知数”做好计划,这也就意味着确保业务连续性计划涵盖物理和数字活动方案,尤其是管理外部力量或我们无法控制的环境因素所带来的风险。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
挑战 TensorFlow 与 PyTorch,3 月深度学习框架集中爆发
2016 年,百度发布深度学习开源框架 PaddlePaddle(飞桨); 2020 年 3 月, 华为开源自研全场景 AI 计算框架 MindSpore; 旷视开源深度学习框架 MegEngine(天元); 清华大学发布基于元算子和动态编译的深度学习框架 Jittor(计图) ; …… 2016 年百度推出深度学习开源框架 PaddlePaddle,此后长时间内,似乎没有出现一款让人惊艳的同量级与同类型的国产开源框架。然而,今年 3 月份,突然的爆发打破了宁静——华为、旷视与清华大学在今年 3 月相继开源各自研发的深度学习框架,吸引了众多国内外开发者的关注——深度学习开源框架这把火在开源大浪潮的今天要在国内燎原了。 深度学习框架对人工智能的发展来说意义重大。要知道,AI 开发者不能每开发一个功能就从最底层重新来过,所以想要进行算法训练、模型开发、应用部署,就必须在一定的开发平台上来完成。从前,主流的深度学习框架都由国外机构或公司研发,从最开始蒙特利尔大学与伯克利大学推出的 Theano、Caffe 框架,到现在谷歌维护的 TensorFlow、Facebook 推出的 PyTorch...
- 下一篇
灵魂 36 问,让你快速熟悉一个系统
面对一个完全陌生的系统,如何快速的熟悉并上手?本文将从三个方面进行总结,提供一个系统的方法,同时也可以用来 review 已有的系统,查漏补缺。 前言 开发人员经常会面临下面一些场景: 新人入职,需要学习已有系统,作为 landing 的一部分,如何学习? 被拉过去参与一个陌生系统的迭代开发或者系统维护(bugfix),如何快速上手? 同事离职或转岗,需要把系统交接给你,怎么去接?内心 os:这是一口锅吗? 这样的场景多了,就需要去梳理常见问题以及应对方法,方便后续遇到类似场景可以快速应对。本文总结熟悉系统主要分三部分:业务学习、技术学习、实战。每部分会梳理一些在学习过程中需要解答的问题,这些问题随着经验的积累需要逐步补充完善。 业务学习 业务学习就是从业务角度去学习系统,我们需要了解系统的客户是谁、使用人是谁、带来了什么价值,系统提供了哪些功能等。不清楚业务,就等于不知道系统在干什么。技术是为业务落地而服务,清楚了业务才知道怎样用技术更好地服务业务,所以业务学习是熟悉一个系统的首要任务。这块主要的学习方式有跟产品、运营、开发沟通,学习产品设计文档文档、PRD、自己使用系统,还有一些常...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Mario游戏-低调大师作品
- CentOS关闭SELinux安全模块
- CentOS7,CentOS8安装Elasticsearch6.8.6
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- Docker安装Oracle12C,快速搭建Oracle学习环境
- Red5直播服务器,属于Java语言的直播服务器
- CentOS8编译安装MySQL8.0.19
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS6,CentOS7官方镜像安装Oracle11G