受疫情影响,企业员工突然转移到远程工作环境,这使企业面临前所未有的网络安全攻击,特别是勒索软件和网络钓鱼攻击。很多员工在不安全家庭网络中使用个人设备,这无疑为黑客和诈骗者提供更多机会,使他们可以轻松访问和窃取企业数据。
为了降低风险并确保数据安全,IT安全主管正在重新评估如何在这种分布式环境中维护网络安全。
评估当前安全级别
Liberty Mutual Insurance公司高级副总裁兼首席信息安全官Katie Jenkins在2020年麻省理工学院斯隆CIO数字学习系列会议上发表讲话时说,企业需要更全面地了解他们的合作伙伴和供应商,以评估所有新风险。
除了对企业的安全状况进行自我评估外,Jenkins还聘请第三方专家进行独立评估,并将这两种观点结合起来以分解结果。
她说:“我们不只是向内部看,对于像Liberty Mutual这样的企业,我们会利用很多值得信赖的供应商。仅通过我们的尽职调查来建立这些关系,并监视这些合作伙伴展现出的持续安全性,不足以确保我们的安全性。”
Jenkins说,评估供应商对其员工的远程工作安排,可帮助Liberty Mutual了解如何维护网络安全,并确保供应商的员工可以安全地连接到Liberty Mutual的数据集并遵循内部协议。
Veeam Software公司首席技术官Danny Allan表示,利用安全的软件开发生命周期是确保员工遵循与构建软件相关的最佳实践的重要部分。
他在小组讨论中说:“在软件业务中,你是在生态系统中工作,其中涉及你正在运行的硬件,以及从多个不同的位置提取软件组件,所有这些都会影响你的安全状况或安全态势。”
Veeam Software公司还采用了NIST网络安全框架,该框架包括五种不同的功能:识别、保护、检测、响应和恢复。他说:“我们利用网络安全框架来衡量我们整个企业的工作,这是传递给首席执行官和董事会的最终衡量标准。”
但是,全球甜食、宠物食品和其他食品制造商玛氏公司的首席信息安全官Andrew Stanley表示,这并不总是关于企业有多么安全。他指出:“我们已经做好了应对的准备。”
随着攻击的增加,Stanley及其团队将重点放在衡量他们能够阻止攻击的速度,以及扫描工具和常规渗透测试。
他说:“你有成千上万的系统和用户分布在各个国家和地区。因此,我们需要评估我们能够多快地做出响应并从这些事件中恢复。这反映出你的安全级别、你可预见到安全事件的程度以及最终你做出响应、阻止和恢复的能力。”
部署员工网络安全措施和演习
随着企业使用更多的数字工具来支持远程环境办公,IT安全领导者正在弄清楚如何维护网络安全,他们试图让员工参加很多演习。
Allan谈到与软件开发团队合作时说道:“我们是主动还是被动?你当然不希望处于被动状态,你会希望人员和流程以及你所使用的技术,可使你积极主动应对每天的威胁。”
在Liberty Mutual公司,Jenkins开始通过演习来评估员工的网络安全意识,并确保在疫情期间对于检测威胁,每个人都保持敏锐的态度。例如,Jenkins的团队向员工发送了一封名为Zoom的电子邮件,要求他们更新其登陆信息。该邮件提示他们单击链接。如果员工单击该链接,则打开的网页将让他们知道他们没有成功应对网络钓鱼。
此外,Jenkins还与该公司的执行领导团队一起进行了各种网络危机演习。她说:“对于我们来说,在我们处于远程状态时,网络危机桌面演习非常重要,这将以不同的方式测试我们的能力和决策能力。这些事情可帮助我们回答‘我们准备得如何呢?’等问题。”
Jenkins表示,该公司还将网络安全目标作为所有员工的绩效目标,而不仅仅是针对安全领域的员工。“我们意识到,网络安全需要所有员工共同承担责任,如果我们必须在企业内部独立运行,而没有其他员工的合作,那么我认为我们将很难成功。”
在玛氏,Stanley最近还与员工一起完成了反网络钓鱼活动。正常情况下,该公司每六周进行一次类似活动,但通常他们会等待更长时间,因为他们需要讨论这样做的必要性。尽管他想利用疫情带来的漏洞并帮助教育员工,但他认为这样做不公平。
他说:“在玛氏的文化中,这会疏远员工,因为大家都正经历着这场危机,无论是身体上还是经济上,而这样的演习就像在剥削他们一样。”
最后Stanley和他的团队决定每10个星期而不是6个星期后执行网络安全演习,他们确实会看到漏洞的增加,但是他们还发现员工更愿意改变行为。
他说:“因此,我们看到更多员工参与培训,以及更多围绕培训的对话。这告诉我们,由于这场危机,人们已经准备好改变以及接受改变。”