作者:Michelle Burrows,首席行銷官,Splashtop
Jerry Hsieh 在其 20 多年的職業生涯中一直處於 IT 風險評估和安全的最前沿,最近擔任 Splashtop 的安全與合規高級總監,在過去十年中擔任過各種 IT 和安全職務。 不久前,他與 Splashtop 首席行銷官蜜雪兒·伯羅斯(Michelle Burrows)談到了是什麼促使他早期對安全感興趣,以及他如何看待保持系統安全,特別是隨著過去幾個月高度宣傳的安全漏洞的增加。
Michelle Burrows:Jerry,謝謝你加入我們。 雖然安全性最近一直是新聞,但在過去幾乎是事後的想法。 您最初是如何對安全感興趣的?
謝傑瑞: 你說得完全正確 - 我長期以來一直專注於安全性,很多年前,公司往往不太考慮安全性。 早在2003年,我就有過一次令人震驚的經歷,最終鞏固了我對安全和風險評估的興趣。
Michelle Burrows:這聽起來很不祥,請告訴我更多。
Jerry Hsieh:我工作的公司是SMTP DDoS攻擊的受害者之一,該攻擊最終導致公司電子郵件服務癱瘓,包括大公司和我當時所在的公司。 我清楚地記得那個時間,因為它恰逢我的婚禮,也是我因為辦公室發生的事情而無法真正享受自己的原因。
它還直接向我展示了這樣的事情的影響。 我們曾與一家進行電子郵件過濾的公司合作,以保護像我這樣的公司和其他公司免受此類攻擊,他們最終因這次攻擊而關閉。
我還親眼目睹了另一起事件,該事件發生在AV供應商更新定義後將產品檔歸類為病毒時。 IT 和工程團隊花了無數個夜晚熬夜試圖解決事件,因為每個系統都受到影響,我們有很多工作要做來清理檔,與我們的防病毒供應商合作並修復被定義為攻擊的定義。
Michelle Burrows:哇,我想讓你的婚禮被打斷將是一種令人難忘的方式,可以弄清楚在安全領域不該做的所有事情。 告訴我你早期在安全方面的其他經歷。
謝傑瑞: 我在半導體行業的另一家公司擔任安全工程師。 當時,我們在安全方面的工作主要是為了阻止專利侵權。 該公司僱用了很多保安人員,因為我們比一屋子律師便宜。 這次經歷使我將安全視為保護公司智慧財產權的一種方式。
Michelle Burrows:現在,我們似乎幾乎每天都會聽到一些安全漏洞或勒索軟體攻擊。 公司可以做些什麼來保護自己?
謝傑瑞: 我被問到這個問題並想了很多。 在我看來,最薄弱的環節通常是最終使用者。 大多數馬褲是由一個簡單的錯誤引起的——員工點擊有害連結、保存破壞性檔、使用弱密碼或轉發某些內容。 然後,單個使用者可能會危及整個系統。
Michelle Burrows:有趣的是,一名員工可能會意外造成很多傷害。 我想很多人認為他們不會受到這樣的事件的影響,因為他們有防火牆。 你能否對此發表評論?
謝傑瑞: 防火牆通常會給人們一種虛假的安全感。 我會聽到有人說,“我不會成為攻擊的犧牲品,因為我有防火牆。 他們沒有考慮的是,雖然您可以在網路周圍提供各種保護,但您最大的威脅之一實際上可能是內部威脅。 防火牆不能解決您的安全問題,尤其是當駭客越來越有創意地引誘員工點擊某些內容以進入您的系統時。
Michelle Burrows:如果防火牆不是解決安全漏洞的唯一答案,你有什麼建議?
謝傑瑞: 我推薦三個方面要注意:
最終使用者培訓/意識培訓 - 對我來說,這是最重要的專案之一,自從我加入 Splashtop以來,我不斷發送有關安全風險的提醒。 我確保每個人都能看到這個資訊,所有員工都知道保持警惕的重要性。 我們的首席執行官馬克·李(Mark Lee)跟進向我們公司傳達的信息,強調安全的重要性,這是每個人的責任,這很有説明。 當人們知道這對首席執行官很重要時,他們往往會更加關注。
安全策略 - 許多公司都有安全策略,但他們應該有適當的做法來不斷監視和測試它。 制定政策是良好的第一步,但執行政策更為關鍵。
持續滲透測試 - 持續集成和持續交付/部署 (CI/CD) 已被許多公司採用。 不斷「測試」您的網路、應用程式以查看在軟體開發生命週期 (SDLC) 期間是否創建了任何漏洞非常重要。
Michelle Burrows:我敢肯定,當你告訴人們你靠什麼謀生時,有些人可能會覺得他們需要“承認”自己的不良做法。 什麼有問題的做法讓你最停頓或擔心?
謝傑瑞: 我通常不會有人告訴我他們做了什麼,這可能是也可能不是最佳實踐。 我發現大多數人都不知道網路安全在實踐中是什麼。 他們在電視或電影中看到它,並觀看一個「壞人」如何用一個命令摧毀整個系統。 然後他們也可能認為由於他們的防火牆,他們是安全的。 他們不明白的是,“壞人”可能是您公司的單個使用者。 很少有數據洩露事件是由流氓員工引起的。 公司真正需要採用的是“不信任任何人”的理念。 “不信任任何人”是主要的零信任訪問(ZTA)原則之一,我看到它被越來越廣泛地採用。
有些人對網路安全的另一個誤解是,它是你可以“完成”的事情。 網路安全是永遠不會“完成”的事情,總是有改進的餘地。
Michelle Burrows:現在,從首席執行官到投資者再到董事會,人們對安全問題的關注很多。 企業最應該關注的是什麼?
謝傑瑞: 公司需要關注許多領域。
他們需要進行徹底和誠實的風險評估。 當您的公司受到攻擊時,它會損害您的品牌並侵蝕您的客戶、員工甚至董事會的信任。 您必須定期評估您的風險。
監控網路上的每個軟體、服務提供者和硬體。 許多部門經常爭奪IT的時間,並希望為從客戶調查到行銷,從敏捷開發到費用跟蹤的所有方面引入“最新和最棒”的工具。 但是,每個供應商、軟體或硬體都可能容易受到攻擊。 您必須不斷監控您的漏洞,並確保員工正在更新他們的軟體和/或讓IT團隊通過主動發送更新來主動製作補丁。
做你的研究。 現在有數以百萬計的產品,跟上它們以及它們可能引入您的系統的錯誤是一項永無止境的工作。 您的安全團隊需要不斷監控和研究漏洞。
知道攻擊媒介已更改。 多年來,駭客變得更加聰明,並改變了他們的攻擊方式。 雖然幾年前危險電子郵件可能很明顯,但現在這些電子郵件是個人化的,以便更有可能讓某人點擊。 您必須不斷測試您的員工,以便始終將安全性放在首位。
Michelle Burrows:最近有消息稱VPN是攻擊的網關。在您看來,為什麼VPN(虛擬專用網路)特別容易受到攻擊?
謝傑瑞: 是的,VPN最近一直是系統攻擊的閘道。在我看來,VPN更頻繁地用於勒索軟體攻擊,原因如下:
VPN是古老的技術,於九十年代後期推出。 當一項特定技術已經存在了那麼長時間時,更有可能存在設計缺陷或供應商特定的關鍵軟體錯誤,因為我們當時不知道我們現在所瞭解的一切。 舉個例子,我在 1999 年設置了我的第一個 VPN,純粹依靠命令並使用一些友好的用戶介面 (UI)。 我回想起那次經歷,並沒有發生太多變化,很可能有人配置錯誤。
VPN 取決於您的 IT 部門正確配置它。 我經常看到VPN被利用,因為沒有標準的方式來設置,操作和分發訪問許可權。 每個 IT 部門都將以對他們有意義的方式對其進行配置,這會帶來風險。
家用電腦在 VPN 上使用。 如果員工在家工作並且需要在工作中訪問檔,則沒有簡單的方法可以防止員工使用非公司頒發的系統來建立 VPN 訪問。 有一些工具可以幫助解決這個問題,但它們往往非常昂貴且資源密集。
您可以透過策略來緩解上述問題,該策略指示您的員工只能使用他們的工作電腦存取 VPN。然後引入了另一個風險領域——公共網絡。如果有人正在旅行並且他們透過公共存取網絡透過 VPN 進行連接,他們天生就容易受到攻擊。
Michelle Burrows:公司可以部署哪些替代方案來代替VPN? 這種選擇有什麼缺點嗎?
Jerry Hsieh:我知道這聽起來非常自我推銷,但最好的選擇是利用遠端存取解決方案。而且,是的,這包括 Splashtop。 Splashtop 有助於降低 VPN 固有的風險,因為它使您只能串流傳輸桌面。這意味著您公司網路中的資料受到保護,因為您只能查看資料。所有資料仍在您的公司網路中。
相比之下,當我使用 VPN 時,我可以開始下載我想要的任何東西,這意味著黑客可以這樣做。當我使用Splashtop這樣的工具時,我可以查看和操作或使用該檔案,但我無法下載它。我可以配置它以便只有本地電腦可以存取它。
此外,由於我們正在談論安全性,因此Splashtop提供了許多其他安全功能,例如設備身份驗證,雙因素身份驗證(2FA),單點登錄(SSO)等。 所有這些額外的安全功能都是VPN無法提供的。
您詢問了遠端訪問技術的缺點。 唯一的缺點是,當人們採用遠端訪問解決方案時,存在學習曲線。 但是,由於 Splashtop 最初是為消費者市場設計的,因此學習它所需的時間很少。 我所說的最小,是指普通用戶在幾分鐘內。
Michelle Burrows:告訴我更多關於VPN與Splashtop的資訊?
謝傑瑞: 有時我聽說,當您比較 VPN 和 Splashtop 的定價時,與 Splashtop 提供的訂閱模式相比,差異可能是固定投資。 VPN是一項長期投資,有些人可能會進行一次。 但是,他們忘記了VPN閘道經常出現故障,並且投資備份閘道很昂貴。 此外,VPN 需要維護 - 用於漏洞和補丁升級。 Splashtop 接管維護和安全工作。 Splashtop 免維護,每周 7 天、每天 24 小時提供服務。
Michelle Burrows:當你不癡迷於安全時,你會做什麼來娛樂?
謝傑瑞: 您可能已經意識到,我沒有很多停機時間。 當我有空閒時間時,我喜歡打高爾夫球。 我的妻子可能對我的角色並不瘋狂,但我喜歡跟上安全趨勢和我每天所做的工作。