資安長(CSO)洞見:在新常態不只談基礎設施的安全問題

DataBank資安長Mark Houpt提供資安洞見,強調從公司和客戶的角度所面臨的挑戰和經驗學習。

新冠狀病毒(COVID-19,俗稱武漢肺炎) 疫情爆發已經持續了數個月,它讓全球企業的經營方式發生了巨大變化。Covid-19為企業和員工所帶來的新現實是 – 嚴重依賴遠端工作來維持企業運作。事實上,員工可能至少要持續這樣的工作模式到2021年中,在某些案例中甚至是永久的。

對DataBank資安長(CISO)Mark Houpt來說,遠端工作並不是件困難的改變。畢竟他在Covid-19出現前就已經這樣做了。但當疫情爆發後,就跟全球無數其他公司一樣,DataBank必須幫助大多數員工安全平穩地過渡到虛擬工作模式。這裡突顯出幾個重要的安全考量,包括持續監控 – 不只是基礎設施,還有(更重要的是)員工的福祉。

Houpt擁有超過25年的資訊安全和資訊技術合規經驗,負責制定和維護網路安全計劃,讓DataBank及其客戶能夠繼續安全地營運。在這次的採訪中,他與趨勢科技分享了一些企業可以考慮的重要安全注意事項,使遠端團隊可以始終保持能見度和安全性在最前線。他還從自己獨特的角度讓企業了解安全該有的樣子,從公司和客戶的角度來強調挑戰和經驗學習。

過渡到在家工作:從公司和客戶的角度

即便是在Covid-19疫情爆發前,大多數企業就已經為部份員工提供遠端工作的模式。雖然如此,大多數人都是遠端工作的情況仍是少見。即使是DataBank(它替鹽湖城和達拉斯等9個地方的客戶提供全年無休的資料中心服務和管理解決方案)也沒有為多數員工提供這樣的工作模式。

對關鍵任務系統進行壓力測試是必要的,確保它們能夠承受員工在辦公室外工作時的沉重負載及不同的挑戰。「每當我們的團隊從辦公室搬到家裡,我們就必須應對一些挑戰。其中大多數與測試我們所擁有的技術設備有關,我們一直有人在遠端工作,但從來沒有讓所有人都這樣做。因此,我們必須完成一些壓力測試,結果發現我們完全有能力應對這些問題。」Houpt分享道。

確保首次在家工作的員工能夠輕易取得工作所需的支援和訓練也很重要:從確保網路不會因配偶或孩子在家裡共享網路連線時過載,到教導員工一些必要的在家工作建議。

「我們之中有些人一直都在家工作,但有些人沒有,所以他們會面臨在開會時如何應付孩子和寵物等問題。那些過去必須得在家工作的人能夠分享經驗,以及該如何在這種情況下工作,並協助人們解決這類問題。」Houpt說。

遠端工作時還需優先使用虛擬專用網路(VPN),來保護網路連線不受駭客或其他威脅攻擊。同樣重要的是要盡可能保持順暢的溝通管道,為員工提供提問和取得即時協助的地方。「為此,我們建立了一個Slack頻道 – 作戰室,你也可以這麼做,就如同應對緊急情況時的事件回應計劃會有一個作戰室,人們可以用來提出他們的問題。我們有個團隊一直都在線上。他們可以分流並解決這些問題。」Houpt解釋說。

遺憾的是,轉移到遠端工作並非對所有的DataBank客戶來說都是一帆風順,尤其是那些屬於娛樂或旅行等重災產業的客戶。在這情況下,彈性地提供常規以外的服務可以幫助陷入全球疫情困境的客戶:「在某些情況下,我們一直在超越自己,在資料中心內部進行遠端操作,甚至做一些我們通常不會做的託管服務功能,因為有些人無法從家裡連上系統。」

隨著在家工作越來越普遍,監控資料中心也就變得越來越重要。Houpt分享說,潛在客戶對將資料中心從本地端部署類型轉移到由其公司以外專業人員進行24/7監控和維護的服務越來越感興趣。

「我們將看到很多人,甚至包含大型企業,都有興趣將其資料中心和機房轉移到雲端或不是由他們自己管理和維護的設施,這樣他們可以確保員工受到保護。」

在疫情期間,可存取性成為業務連續性所面臨的更大挑戰,因此,讓使用者能夠透過網路儲存和處理大量資料以及存取服務和軟體的雲端讓企業可以全力進行業務運作。但只是選擇雲端解決方案還不足以保護企業不受廣泛且不斷變化的威脅環境影響。持續監控對企業的整體安全防護來說仍然至關重要。

與在家工作有關的網路安全風險

雖然在家工作已迅速成為不可或缺的企業文化,但它也有幾個公司需要注意的關鍵障礙。易受攻擊的家庭網路就是障礙之一。Houpt警告說:「針對家庭網路的威脅一直都存在。攻擊者會想辦法利用可用的一切。」

除了利用Covid-19疫情消息發動攻擊外,還可以看到惡意駭客在全球醫療危機期間對公司發動了多次攻擊。例如在疫情爆發開始時,可以看到分散式阻斷服務(DDoS)攻擊的上升,這些攻擊的目的是壅塞網路並造成服務中斷。

「我們在Covid-19剛開始的第一個月時就看到來自殭屍網路一些相當可觀的DDoS攻擊,大多數來自海外。實際上,我們曾遇過一次超過10Gbps的攻擊。」Houpt回憶說。

除了DDoS攻擊外,Houpt還注意到老式網頁竄改(Web Defacement)攻擊的增加,駭客主義者和網路犯罪分子會利用漏洞來竄改網站。事實證明,網頁篡改攻擊雖然毫無新意,但仍被用來散播特定的政治主張。因為疫情影響,有更多人(包括網路犯罪分子和駭客主義者)待在家裡的空閒時間比以前更多。而且在全球疫情危機期間,美國有20%的成人在遠端工作,受攻擊面無疑擴大了:惡意駭客很快就利用這樣的情況來賺取私利。

Houpt還將網頁竄改攻擊的增加歸因於網路基礎設施缺乏適當和及時的修補。「我們在幾週前遇到一個情況,一個本該在三年前修補的應用程式並沒有安裝修補程式,這導致了嚴重的入侵事件。我們已經看到許多WordPress內容管理系統(CMS)類型的攻擊只是因為人們沒有更新擴充套件或沒有更新整體CMS軟體來防禦此類攻擊,」Houpt分享道。

為了讓自己的網站不被竄改,企業需要強制使用強密碼、網頁應用程式防火牆、安全程式開發實作和及時更新修補程式。Houpt評論道:「更新修補程式是每個人都該採納的通用安全良好作法。」但他也很快地強調其他需要企業關注的功能:「從安全的角度來看,如果他們沒有注意其他功能,就很容易會忽略掉。」

透過持續監控來保護雲端應用程式

與流行的觀點相反,將資料儲存或託管在雲端並不一定代表資料就已經能夠抵禦威脅和風險。「許多人認為,當他們將東西放到雲端時,雲端就是一站式安全解決方案。據我所知,地球上沒有任何一家雲端服務商會同意這種說法。」Houpt表示。為了盡可能地保證環境安全,必須實施共同責任模型(使用者和雲端服務商都有自己的責任)。

「無論你是用AWS、Azure、DataBank或其他任何服務都沒關係。如果你沒有訂閱安全服務,自己作為雲端使用者卻沒有保持安全態勢,那麼你就會讓應用程式面臨風險。」

Houpt分享說,他們的諮詢服務有助於確保客戶往雲端的大規模轉移得到正確地指導,且了解各自的職責和任務。「在其他類型的雲端環境,會有人會開啟雲端服務,然後說:「給你,這是你的伺服器,現在你必須自己架起來。用自己想要的方式來保護它。」在DataBank,我們採用實作諮詢來進行這件事,所以我們的客戶在整個過程都有位實作工程師透過電話支援,當事情進展不順利或在過程中遇到問題時可以與之交談。我們還有一位專案經理會在整個過程負責指導所有人,包括客戶和DataBank,讓客戶順利過渡到我們這邊並運行起來。所以這是我們的觀點:諮詢服務是克服一些主要挑戰的關鍵,將資料中心、應用程式或其他類型的IT產品從本地端解決方案轉移到更安全的雲端環境,」Houpt闡述道。

除了諮詢服務,為了加強企業的安全態勢,保護系統和雲端應用程式免於合規問題和風險影響,Houpt還倡導一種關鍵流程。他說:「我想宣揚的最大事情是建立一個持續監控計畫。」

「你需要做的第一件事是選擇一種你想遵循的安全方法論,比方說,如果你是重度PCI使用者,就選擇支付卡產業資料安全標準(PCI),如果你著重在隱私或聯邦工作,就選擇NIST SP800-53R4或ISO/IEC 27002。」

一旦選擇了一種方法論,重要的是要檢查現有控制措施並決定應採用哪種監視等級和頻率。DataBank使用的是NIST 800-53方法論在聯邦中等級別,總共有325個控制措施,其中有些要每日監控。「實際上,我的安全工程師每天都會查看特定類型的問題和功能的報告。通常這些是基於存取控制,如確認人們沒有存取系統或將自己鎖住。然後,你需要進行每週監控、每月監控、季度監控和年度監控。」

為了追蹤需要完成的事情,Houpt建議使用派工系統。根據預設排程為需要監視某些功能的特定團隊自動產生派工單。DataBank還有一項協議來防止團隊成員在不監視某功能的情況下關閉派工單:「在這裡有些監督功能。它需要兩個人才能關閉派工單。所以一個人完成工作,然後交給第二個人來監視或驗證該工作已完成。」

對在任何類型的雲端部署或環境運行並僱用託管式安全服務的公司而言,持續監控也是必不可少,因為這有助於他們檢查服務商是否完成合約規定或有義務執行的事情。「很多時候,我們的客戶會僱用託管式安全服務商,或就僱用託管式服務商來為他們運行雲端功能,而他們自己永遠不會進行檢查,」Houpt說。除了持續監控,對企業而言,透過採用適合自己業務的工具和技術來確保整體安全防護也是同樣地重要。

「所以,最重要的是,持續監控在各個層面都很重要,客戶不能以為到了那裡就已經安全了。這就是經常會讓人陷入麻煩的一件事。他們相信自己安全,只是因為將某些東西放入雲端,這是不正確的。」

不只是基礎設施的全面性網路安全方法

儘管保護網路基礎設施和系統安全並不是個新概念,但迅速轉向遠端工作還是帶來許多安全漏洞,超越了技術上的準備。為了彌補這些差距,Houpt預期企業需要引進新政策來幫助突顯遠端工作時的隱私和安全性。「我認為你會看到一些針對在家工作情況而制定的新安全政策,這些都是過去我們還沒有的政策,」Houpt解釋說。此外,這些政策還需涵蓋遠端工作必須遵守的特定安全標準,如員工該如何設定家庭路由器,或哪些廠商通過公司審核和批准。使用自己裝置進行工作的員工還必須配備強大的VPN和適當的安全解決方案。

企業還必須有具備全面監控能力的工具,這些工具能夠對「自帶裝置(BYOD)」甚至公司筆記型電腦設定有準確的能見度。這樣即使員工在家裡使用自己的裝置和網路工作,企業也能看到各類型的攻擊和惡意活動。對這些監視工具來說,擁有集中資料庫來儲存所有資料和日誌相當重要。這也讓安全團隊可以進行適當的安全事件回應調查。

Houpt還建議企業為其員工配備安全專家來提供多一層的能見度。「在持續監控的基礎上,使用雲端服務的客戶應該為員工配備安全專家或聘請外援,如虛擬CISO,他們可以問他:嘿,最近的安全狀況如何?我們需要監控什麼?我們需要參與什麼?我們需要向雲端服務商問什麼?他們應該和不應該做什麼?」

除了保護應用程式、系統、裝置和基礎設施安全並進行適當監控外,Houpt還指出另一個企業需要監控的重要方面 – 員工福祉。「現實情況是,現在許多人正面臨精神健康問題,因為被要求待在家裡,不能外出以及無法在習慣環境裡工作的困擾。」他說。

對Houpt而言,在做出可能影響員工身心健康的決策時,監測員工表現並將他們的福祉放在心上是至關重要的。「我也擔心,隨著這情況的繼續發展,公司有可能會嘗試過快或不夠快地搬回辦公室。這界線很微妙,取決於你住在哪裡跟你是什麼類型的公司。」Houpt說。

原文出處:CSO Insights: DataBank’s Mark Houpt on Looking Beyond Securing Infrastructures in the New Normal