面對新領(lǐng)域IT安全團(tuán)隊如何實施有效防護(hù)

何靜

隨著工作場所技術(shù)不斷發(fā)展成為SaaSi驅(qū)動的世界，業(yè)務(wù)用戶掌握著控制權(quán)，經(jīng)常與一種資產(chǎn)交互，使每個組織都能正常運(yùn)轉(zhuǎn)，這種資產(chǎn)就是數(shù)據(jù)。不幸的是，安全焦點不在于用戶及其數(shù)據(jù)交互，這是讓組織成為負(fù)面新聞的原因。

如果IT和安全團(tuán)隊能夠更好地了解用戶為完成工作所采取的行動，了解他們在SaaS應(yīng)用程序中正在做什么，與什么進(jìn)行交互，以及與之交互的內(nèi)容是什么，那么今天成為頭條新聞的許多事件都是可以避免的。這些包括共享文件、轉(zhuǎn)發(fā)電子郵件、授予提升權(quán)限、導(dǎo)出報告以及與外部人員協(xié)作。

如果他們有能力接收大量機(jī)密文件下載的警報，或者接收面向公眾的文件或組的警報，他們至少應(yīng)該知道正在發(fā)生的這種情況，如果他們有能力自動糾正，這些錯誤完全可以避免。

企業(yè)應(yīng)當(dāng)注意，安全邊界發(fā)生了很大變化，BetterCloud首席執(zhí)行官兼創(chuàng)始人David Politis提供的行業(yè)信息。

控制正在轉(zhuǎn)移

云創(chuàng)造了一個全新的商業(yè)環(huán)境，引入了一種新的運(yùn)營模式，為各行各業(yè)提供了無與倫比的創(chuàng)新機(jī)會，包括以創(chuàng)紀(jì)錄的速度推出新產(chǎn)品的能力。因此，大多數(shù)組織的整個業(yè)務(wù)模型嚴(yán)重依賴于對多個PaaS，IaaS，SaaS服務(wù)的無縫訪問。不幸的是，它的控制力也減弱了。云計算的巨大且持續(xù)的轉(zhuǎn)變創(chuàng)造了一個環(huán)境，公司不再擁有對自己數(shù)據(jù)的物理控制權(quán)。結(jié)果，數(shù)據(jù)管理充其量是一場噩夢。

有一個新的現(xiàn)狀

當(dāng)代專業(yè)人士完全接受在任何時間、任何地點及使用任何設(shè)備工作的理念。而且，可以理解的是，它正在改變企業(yè)的運(yùn)營方式。以至于SaaS現(xiàn)在是一個記錄系統(tǒng)，SaaS允許組織保持競爭力、協(xié)作性和參與性。然而，由于設(shè)備和數(shù)據(jù)不再駐留在本地，因此安全工作需要同步發(fā)展。

IT需要采用一種方法，考慮到今天的用戶利用一系列非托管設(shè)備———智能手機(jī)、移動設(shè)備、平板電腦、Chromebook和可穿戴設(shè)備等，它們在局域網(wǎng)絡(luò)之外的多個位置都可以這樣做。隨著SaaS的出現(xiàn)，他們希望能夠在一臺設(shè)備上開始工作，然后隨時隨地在另一臺設(shè)備上恢復(fù)工作。傳統(tǒng)的周邊不再有效，因為周邊界不再存在。

黑客正在進(jìn)化

現(xiàn)在的黑客要先進(jìn)得多，可以使用越來越多的工具和策略，為IT和安全專業(yè)人員帶來了一系列新的挑戰(zhàn)。然而，也許對網(wǎng)絡(luò)安全最大的挑戰(zhàn)是橫向移動。一旦受到惡意軟件或勒索軟件等攻擊，或黑客侵入并進(jìn)入網(wǎng)絡(luò)（例如，通過成功的釣魚攻擊或地址欺騙），他們就可以自由地橫向移動。

端點也是一樣。連接到公司網(wǎng)絡(luò)的每個端點都可以訪問敏感數(shù)據(jù)，并代表攻擊者可能的入侵點。一旦黑客進(jìn)入公司防火墻，他們就可以不受限制、不受檢查地訪問有價值的、敏感的業(yè)務(wù)數(shù)據(jù)。這種脆弱性本質(zhì)上使傳統(tǒng)的基于邊界的模型失效。

威脅不再是純粹的外部威脅

研究表明，內(nèi)部威脅是新現(xiàn)實的重要組成部分。事實上，91 %的組織覺得自己很容易受到內(nèi)部威脅，不幸的是，這些內(nèi)部攻擊對整個企業(yè)都有影響。隨著高管層對網(wǎng)絡(luò)安全承擔(dān)更大的責(zé)任，并在制定公司安全戰(zhàn)略方面發(fā)揮更積極的作用，他們可能會更好地理解這種影響。

缺乏必要的可見性

確保用戶訪問是重要的第一步。然而，隨著黑客不斷發(fā)展，找到巧妙規(guī)避身份驗證的方法，在圈子內(nèi)暗中信任用戶的想法是大錯特錯的。“城堡和護(hù)城河”方法假定周邊的每個人都是可信的。但在SaaS時代，這種情況已不復(fù)存在。您的用戶可能有好的想法，但是SaaS應(yīng)用程序的設(shè)計方式（為了開放和協(xié)作）意味著用戶可能在不知情的情況下做危險的事情。或者，您確實有一些惡意用戶正在進(jìn)行邪惡的活動。簡單地說，您需要知道用戶在做什么，您需要了解它們之間的交互，沒有它，您就無法知道是否有數(shù)據(jù)暴露或有可疑活動發(fā)生。

用戶和數(shù)據(jù)是新的邊界

在現(xiàn)代安全環(huán)境中，新的邊界最接近您試圖保護(hù)的數(shù)據(jù)資產(chǎn)，那就是用戶。要從安全威脅開始的地方阻止它，必須從監(jiān)視所有用戶交互活動開始。你試圖阻止你的機(jī)密商業(yè)數(shù)據(jù)、商業(yè)秘密和知識產(chǎn)權(quán)、員工數(shù)據(jù)還有客戶數(shù)據(jù)被泄露，因為用戶和數(shù)據(jù)是活的和不斷變化的。是時候開始關(guān)注誰在訪問敏感數(shù)據(jù)了，不管是意外的還是惡意的，并要了解他們在做什么。他們是否意外地公開了共享文件，他們是否將公司郵件轉(zhuǎn)發(fā)到個人Gmail地址，他們是否與競爭對手分享商業(yè)機(jī)密。