作者:Splashtop 行銷長 Michelle Burrows
Jerry Hsieh 在其二十多年的職業生涯中一直處於 IT 風險評估和安全領域的前沿,最近擔任Splashtop 的安全與合規高級總監,在過去十年中,他曾擔任過各種 IT 和安全職務。不久前,他與 Splashtop 首席行銷長 Michelle Burrows 談論了是什麼促使他早期對安全產生興趣,以及他如何看待保持系統安全,特別是在過去幾個月備受關注的安全漏洞不斷增加的情況下。
米歇爾·巴羅斯:傑里,感謝您加入我們。儘管最近,安全性一直在新聞中放在新聞中,但過去幾乎幾乎是後來的想法。您是如何第一次對安全感興趣的?
謝傑瑞:你完全對 — 我已經很長時間專注於安全性,多年前,公司傾向於不太關注安全性。我在 2003 年有一個令人驚訝的經歷,最終使我對安全和風險評估的興趣加強了。
米歇爾·巴羅斯:這聽起來很糟糕,請告訴我更多。
Jerry Hsieh:我工作的公司是 SMTP DDoS 攻擊的受害者之一,該公司最終停用了公司電子郵件服務,包括大型公司和當時我在一起的公司。我記得這個時間很清楚,因為它與我的婚禮相同,也是因為我在辦公室後發生了什麼事,因為我無法真正享受自己的原因。
它還親手向我展示了這樣的事情的影響。我們曾與一家公司合作,該公司正在進行電子郵件過濾,以保護我和其他公司免受這樣的攻擊,而他們最終因為這種攻擊而關閉了。
我還親眼目睹了另一起事件,即AV製造商在更新定義後,將產品檔案歸類為病毒。 IT 和工程團隊花了無數個夜晚試圖解決該事件,因為每個系統都受到了影響,我們還有很多工作要做,包括清理文件、與我們的防毒製造商合作以及修復對攻擊的定義。
Michelle Burrows:哇,我猜你的婚禮中斷將是一種難忘的方式來弄清楚在安全領域中不要做的所有事情。告訴我您在保安方面的其他早期經驗。
謝傑瑞:我與另一家半導體行業公司合作,擔任安全工程師。當時,我們在安全方面工作主要是為了阻止專利侵權。公司僱用了很多保安人員,因為我們比一個房間裡的律師便宜。這種經驗使我看到安全是保護公司知識產權的一種方法。
Michelle Burrows:現在我們似乎幾乎每天聽到一些安全漏洞或勒索軟件攻擊。公司可以做些什麼來保護自己?
謝傑瑞:我被問到這個問題,並且很多思考。在我看來,最弱的鏈結通常是最終用戶。 大多數違規行為都是由簡單的錯誤引起的——員工點擊了有害的連結、保存了有害的資料夾、使用了弱密碼或轉發了某些內容。 然後,一個使用者可以破壞整個系統。
米歇爾·伯羅斯:這是非常有趣的是,一個員工可能會意外造成很多傷害。我認為許多人認為他們不會因為這樣的事件而易受到這樣的事件,因為他們有防火牆。您能對此發表評論嗎?
謝傑瑞:防火牆通常會給人們一種虛假的安全感。我會聽到有人說:「我不會因為我有防火牆而成為攻擊的獵物。」他們不考慮的是,雖然您可以在網絡周圍設置各種保護,但您最大的威脅之一實際上可能是內部。防火牆無法解決您的安全問題,尤其是當黑客越來越有創造力吸引員工單擊某些東西以進入您的系統時。
米歇爾·伯羅斯:如果防火牆不是安全漏洞的唯一解決方案,那麼您建議什麼?
謝傑瑞:我推薦三個要注意的領域:
最終使用者培訓/意識培訓 - 對我來說,這是需要關注的最重要的事項之一,自從我加入 Splashtop 以來,我不斷發出有關安全風險的提醒。我確保每個人都看到信息,所有員工都知道警覺的重要性。我們的首席執行官馬克李(Mark Lee)跟進給我們公司的信息,這些信息強調安全的重要性,並且這是每個人的責任。當人們知道這是一件事對首席執行官很重要時,他們傾向於更加關注。
安全政策-許多公司都有安全政策,但他們應該有實踐來不斷監控和測試它。制定原則是好的第一步,但執行原則更為關鍵。
持續滲透測試-許多公司已經採用了持續整合和持續交付/部署(CI/CD)。不斷「測試」您的網路和應用程式以查看在軟體開發生命週期 (SDLC) 期間是否產生任何漏洞非常重要。
米歇爾·伯羅斯:我相信當你告訴別人你做什麼生活時,有些人可能會覺得他們需要「承認」自己的不良做法。什麼可疑的練習讓您最多暫停或擔心?
謝傑瑞:我通常沒有人告訴我他們做什麼,這可能是或不是最好的做法。我發現,大多數人在實際上都不知道網絡安全是什麼。他們在電視或電影中看到它,看著一個「壞人」如何用一個命令擊毀整個系統。然後,他們也可能認為由於防火牆,他們可以避免這種情況。他們不明白的是,「壞人」可能是您公司中的單一用戶。很少數據洩露事件是因為失敗的員工引起的。公司真正需要採用的是「不信任任何人」的理念。「不信任何人」是我看到越來越廣泛採用的主要零信任訪問(ZTA)原則之一。
有些人對網絡安全有的另一個誤解是,它是您可以「完成」的東西。網絡安全是從未「完成」的事情,總是有改進的空間。
米歇爾·伯羅斯:現在,從首席執行官到投資者到董事會,從首席執行官到董事會都關注安全。企業應該最關心的是什麼?
謝傑瑞:公司需要關注一些領域。
他們需要進行徹底且誠實的風險評估。當您的公司遭到攻擊時,它會傷害您的品牌,並破壞客戶,員工甚至董事會的信任。您必須定期評估風險。
監控網路上的每個軟體、服務提供者和硬體。許多部門經常爭奪 IT 的時間,並希望為從客戶意見調查到行銷、從敏捷開發到費用追蹤等各個領域引入「最新、最好」的工具。 但是,每個製造商、每個軟體或硬體都可能容易受到攻擊。 您必須不斷監控您的漏洞並確保員工更新他們的軟體和/或讓 IT 團隊主動發送更新來主動打補丁。
做你的研究。現在有數百萬種產品,跟上它們以及它們可能導致到您的系統的錯誤是一項永無止境的工作。您的安全團隊需要不斷監控和研究漏洞。
知道攻擊向量已改變。多年來,黑客變得更聰明,並改變了他們的攻擊方式。雖然幾年前可能出現危險的電子郵件,但現在這些電子郵件是個性化的,以使其更有可能吸引某人點擊。您必須不斷測試員工,以確保安全性始終是首要的。
米歇爾·巴羅斯:最近有一個公告關於 VPN 是攻擊的門戶。在您的看法,為什麼 VPN(虛擬私人網絡)特別容易受到影響?
謝傑瑞:是的,VPN 最近更是系統攻擊的門戶。在我看來,由於以下幾個原因,VPN 更頻繁地被用於勒索軟件攻擊:
VPN 是一項老技術,是在九十年代末推出的。當某項特定技術已經存在了那麼長時間時,很可能存在設計缺陷或製造商特定的關鍵��軟體錯誤,因為我們當時並不知道我們現在所了解的一切。 舉個例子,我在 1999 年建立了我的第一個 VPN,完全依靠命令並使用比較友善的使用者介面 (UI)。我想起那種經驗,沒有很多變化,並且很可能被某人錯誤配置。
VPN 依賴您的 IT 部門對其進行正確的配置。我經常看到 VPN 遭到惡意利用,因為沒有標準方法來設置,操作和分發訪問權限。每個 IT 部門都會以對他們有意義的方式進行配置,並導致風險。
家用電腦透過VPN使用。如果員工在家工作並需要存取工作文件,則沒有簡單的方法可以阻止員工使用非公司發布的系統建立 VPN 存取。有一些工具可以幫助解決這個問題,但它們往往非常昂貴且資源密集。
您可以使用原始規則來緩解上述問題,該規則指示您的員工只能使用他們的工作電腦存取VPN 。 然後,這會引入另一個風險領域 — 公共網絡。如果有人在旅行並且透過公共接入網路透過 VPN 進行連接,那麼他們就很容易受到攻擊。
米歇爾·伯羅斯:除了 VPN,公司還可以部署哪些替代方案?這種替代方案有什麼缺點嗎?
Jerry Hsieh:我知道這聽起來很超級自我宣傳,但最好的替代方案是利用遠程訪問解決方案。是的,其中包括 Splashtop。Splashtop 有助於減輕 VPN 固有的風險,因為它使您只能串流桌面。這意味著您公司網絡中的數據受到保護,因為您只需查看數據。所有數據仍然存在您的公司網絡內。
相反,當我使用 VPN 時,我可以開始下載任何我想要的東西,這意味著駭客也可以做同樣的事情。當我使用Splashtop之類的工具時,我可以查看和操作或使用檔案,但無法下載。 我可以配置它,使只有本地計算機才能訪問它。
此外,由於我們談論的是安全性,Splashtop 還提供許多其他安全功能,例如裝置身份驗證、雙重認證 (2FA)、單一登入 (SSO) 等。所有這些額外的安全功能都是 VPN 無法提供的。
您詢問遠端存取技術的缺點。唯一的缺點是,隨著人們採用遠程訪問解決方案,會存在學習曲線。但是,由於 Splashtop 最初是為消費市場設計的,因此學習它所需的時間很少。對於一般用戶來說,我的意思是在幾分鐘內。
米歇爾·伯羅斯 (Michelle Burrows):請告訴我更多關於VPN 與 Splashtop 的資訊?
Jerry Hsieh:有時我聽說,當您比較 VPN 和 Splashtop 的價格時,與 Splashtop 提供的訂閱模式相比,差異可能在於固定投資。VPN 是一項長期投資,有些人可能只會做一次。但是,他們忘記了 VPN 網關經常會出現故障,而投資備份網關的成本很高。此外,VPN 需要維護——針對漏洞和修補程式升級。Splashtop 接手維護和安全工作。Splashtop 無需維護,並且每週七天、每天二十四小時可用。
米歇爾·巴羅斯:當你不對安全感到困擾時,你會做什麼好玩?
謝傑瑞:正如你可能已經意識到的那樣,我沒有很多的停機時間。當我有空閒時間時,我喜歡打高爾夫。我妻子可能對我的角色並不瘋狂,但我喜歡跟上安全趨勢和我每天做的工作。
