技术总监Andrew Tsonchev（星期四）2020年3月19日星期四随着我们都适应远程工作，全世界的安全团队都在应对一个非常严峻的挑战。几乎一夜之间，我们的公司发生了变化。完善的程序正在被改写，最佳实践很快被重新考虑，政策也被拉到了崩溃的地步重点。生意转型总是一个安全风险。新技术和工作实践需要新的安全措施；但通常，这种风险是经过一段时间谨慎管理的。Covid-19并没有给我们这样的奢华。对一些企业来说，这种变化的规模和速度将是前所未有的。它也是非常公开的；攻击者知道这种情况并已经在利用它。以下是安全团队未来几周将面临的最严重威胁。电子邮件诈骗带来新鲜感，新鲜感给骗子带来机会。在过去48小时内，内部安全小组将竞相推出必要的远程工作工具。下载新软件的链接，更改我们如何认证服务。当你不知道该期待什么时，员工关于发现社会工程的培训就不见了。员工和IT部门都应警惕意外的电话和请求："嗨，我是IT部门打来的，请您向我宣读您的2FA代码，以确认您已过渡到新的Duo系统吗？"嗨，我忘记了我的O365密码，你能给我的个人Gmail发一个重置码吗？"此类请求可能是合法的，可能需要在正常渠道之外解决。个人有责任谨慎行事，运用常识并验证合适。那里这也将是鱼叉钓鱼者模仿第三方和客户的充分机会："嗨，约翰，我需要把我们下周的会议改为远程会议。请参阅下面的链接以获取Zoom呼叫的邀请。"为了方便使用非标准web会议软件和通过电子邮件共享文件，同时放松安全控制将加剧这些风险。攻击者既有机会，也有手段。削弱安全控制削弱安全控制远不止放松防火墙规则和电子邮件策略。许多现有的安全层将不适用于远程工作者。员工们突然把工作电脑带回家，会发现自己被剥夺了保护，因为他们用办公网络换了家里的Wi-Fi。如果没有internet代理、NAC、IDS和NGFW，客户机设备现在将暴露在潜在的不安全网络上，这些设备可能会受到危害。端点安全性将不得不承受保护。内部网络安全也可能受到损害；员工可能需要访问以前只能在一个位置的有线网络上访问的资源。为了使它可以通过VPN访问，内部分段可能需要平坦化。这将为恶意软件的传播和横向移动打开大门。可能需要关闭保护web服务的客户端证书身份验证，以使BYOD能够为没有公司的员工工作笔记本电脑。这些必须仔细记录更改，并理解依赖关系。额外的负担将不得不转移到其他地方：也许可以收紧主机AV策略以弥补网络保护的不足，也许可以重新配置员工设备以使用安全的外部DNS提供商，而不是prem DNS服务器。对远程工作的基础设施的攻击除了削弱现有控制之外，还将启动新的基础设施，这将带来新的风险。一月份，我们看到了一系列针对面向web的Citrix基础设施的攻击。公司将迅速部署VPN网关，过渡到Sharepoint，并扩大面向互联网的范围。这种迅速增加的攻击面需要监控和保护。安全团队应该对暴力和服务器端攻击保持高度警惕。DDoS保护也将变得比以往任何时候都更加重要；对于许多公司来说，这将是第一次DDoS攻击通过阻止远程工作人员通过互联网访问服务而削弱其业务。我们预计这两种形式的攻击会立即急剧增加。错误和创造性的解决方案"把它放在S3桶里"加入我取而代之的是："我会通过WeTransfer发送给你的。"it部门和员工个人都将面临阻碍。他们的需求不会有一个授权的解决方案，而这些需求很可能是非常紧迫的。在企业极度担心自己的财务状况和经营能力的时候，会有压力将谨慎抛诸脑后，保护"一切如常"。这种压力甚至可能来自上层。安全领导层必须尽其所能，既要抵制鲁莽的决定，又要提供创造性解决方案。嗯-这意味着员工将获得创造性，并将责任下放给团队领导，以"尽力而为"。安全部门可能不可能集中对此进行监控，但需要保持警惕，以发现危险行为和违规行为。这说起来容易做起来难；SOC将被要求在变化的海洋中监测事件。现有的用例和规则将不适用，公司将需要一个更主动和动态的方法来检测和响应。恶意的内部人士和恶意的室友幸运的是，我们公司内部会有人想趁我们不景气的时候踢我们。突然的远程工作对恶意的内部人员来说是天赐之物。数据现在可以很容易地从一个公司的设备通过USB在他们自己家的隐私。安全监控可能会完全失效或失效。这种风险更难解决。它可能无法消除，但它可以与生产力和获取信息的需要相平衡数据。我们也要提防身边的人。我们都希望我们能信任和我们一起生活的人。但从公司的角度来看，员工之家是零信任环境。保密谈话现在将在窃听者的范围内进行。知识产权将在世界各地客厅的屏幕和显示器上看到。这种风险对于年轻人来说更大，可能是合租房子，但对于所有工人、送货人员、到访房屋的访客来说，他们都有可能从厨房的桌子上偷走一台公司的笔记本电脑。对员工特别是风险群体的教育钥匙。找到了数字变化的海洋中的方向所有上述变化和风险为SOC制造了一场监控噩梦。我们正进入一个数字未知的时期，变化将成为新的常态。数据流和拓扑结构将发生变化。将部署新的技术和服务。日志记录格式将有所不同。历时12个月开发的SIEM用例需要一夜之间被废弃。在接下来的几周里，商业惯例将发生转变很快。静止防御和规则将无法跟上，无论我们多么努力和迅速地重写它们。既然连接来自世界各地数千个不同的位置，您将如何在审计日志中发现恶意登录O365的尝试？企业需要利用技术，使它们能够在不确定的情况下继续经营，而不会在这个关键时刻扼杀生产力。更关键的是，控制这些威胁是最重要的——如果不能对受感染的机器进行重新成像或更换，就不可能对其进行完全隔离天.AI能够不断进化和适应变化的系统将提供检测错误配置、攻击的最佳机会，以及风险行为——当你不知道该寻找什么时，你需要能够识别模式并量化风险的技术。当团队无法阻止恶意活动时，自主响应技术还可以进行外科干预以阻止恶意活动，保护设备和系统，同时允许基本操作继续进行不受影响。进化：面对这些威胁，迎接挑战并非易事。这将需要努力工作、创造力和新技术的结合，同时需要对新工作方式的开放，以及愿意接受动态、主动防御的意愿，而不是传统的僵化政策。然而，当我们的静态防御失败时，信任防御系统以自主保护员工将是保持弹性和安全性的唯一最有效方法美国，在我们正在努力帮助我们的客户在这个困难时期从他们的网络人工智能平台获得更多的价值，并减轻工作负担忙碌的保安队伍。我们知道，有了正确的工具和技术——从自主响应和网络AI分析师，到Darktrace移动应用程序——这些团队将能够在这片风暴中航行。在这个前所未有的不确定性时期，对安全性的需求从未像现在这样随着数字业务的变化而发展更棒，安德鲁TsonchevAndrew是网络安全技术专家，为Darktrace的战略客户提供先进的威胁防御、人工智能和自主响应方面的建议。他拥有威胁分析和研究背景，拥有牛津大学一流的物理学学位和伦敦国王学院的一流哲学学位。他对网络安全和国家重要基础设施受到威胁的评论已经在包括CNBC和BBC在内的国际媒体上报道世界。分享在LinkedIn上的FacebookTweetShare发送电子邮件