思科內(nèi)部安全團(tuán)隊(duì)努力應(yīng)對(duì)BYOD、惡意軟件
很多公司都有計(jì)算機(jī)安全事件響應(yīng)小組(CSIRT)來應(yīng)對(duì)惡意軟件爆發(fā)以及其他類型的網(wǎng)絡(luò)攻擊和潛在內(nèi)部威脅,在網(wǎng)絡(luò)巨頭思科公司,CSIRT團(tuán)隊(duì)由約60人組成,他們?cè)噲D保護(hù)公司和75000名員工。
思科CSIRT團(tuán)隊(duì)信息安全調(diào)查經(jīng)理Matthew Valites表示:“我們主要負(fù)責(zé)監(jiān)測(cè)和調(diào)查對(duì)思科的政策的違反行為。”這意味著保護(hù)直接由員工使用的企業(yè)IT資產(chǎn)或用于處理目的的業(yè)務(wù)資產(chǎn),使重要信息不外泄。然而,在思科接受BYOD(攜帶自己設(shè)備到工作場(chǎng)所)戰(zhàn)略后,思科的CSIRT關(guān)心的政策執(zhí)行變得更加復(fù)雜。
“隨著用戶攜帶自己的設(shè)備來公司,政策執(zhí)行變得更加困難,”Valites在討論思科的安全事件響應(yīng)做法時(shí)表示,“BYOD是一個(gè)真正的問題。”為了節(jié)約成本,思科不再向員工提供智能手機(jī),而希望員工使用他們自己的手機(jī),除非他們的工作受到政府的監(jiān)管限制而必須使用企業(yè)配備的設(shè)備。Valites承認(rèn):“對(duì)于我的團(tuán)隊(duì)而言,這是一個(gè)很大的問題。”
除了BYOD問題的困擾外,思科CSIRT團(tuán)隊(duì)每天還要面對(duì)不斷涌現(xiàn)的惡意軟件,監(jiān)測(cè)未經(jīng)授權(quán)流量和抵御隱身在線攻擊。另外,還有很多不可避免的問題,例如錯(cuò)誤登錄,但CSIRT最困難的工作之一是試圖確認(rèn)未經(jīng)授權(quán)訪問。
這一切都需要在合規(guī)性的框架內(nèi)完成。Valites指出:“我們?cè)谑ズ稳幸粋€(gè)醫(yī)療中心,在企業(yè)內(nèi)部部署醫(yī)療保健專業(yè)人士被視為對(duì)員工的福利。而這意味著所有相關(guān)的安全和隱私政策都必須符合聯(lián)邦HIPAA法案規(guī)定。”
Valites表示,思科公司高層主管是該團(tuán)隊(duì)的重點(diǎn)保護(hù)對(duì)象,因?yàn)檫@些高管是網(wǎng)絡(luò)間諜和攻擊者最有價(jià)值的目標(biāo)。與其他員工相比,Valites表示,“我們更加注重他們的資產(chǎn)。”
然后是思科的整體團(tuán)隊(duì)(例如整個(gè)實(shí)驗(yàn)室),經(jīng)常受到各種攻擊,他們的計(jì)算機(jī)經(jīng)常冒出各種惡意軟件。Valites表示:“實(shí)驗(yàn)室有點(diǎn)像狂野的西部。”對(duì)于攻擊者,思科CSIRT團(tuán)隊(duì)別無選擇,只能通過額外的控制,例如切斷整個(gè)實(shí)驗(yàn)室的網(wǎng)絡(luò)或者隔離其網(wǎng)絡(luò),使實(shí)驗(yàn)室僅限于內(nèi)部局域網(wǎng)。
對(duì)于CSIRT團(tuán)隊(duì)而言,每天的主要挑戰(zhàn)是獲取對(duì)任何類型安全事件的可視性,然后快速?zèng)Q定何時(shí)以及如何升級(jí)響應(yīng)。思科設(shè)計(jì)了自己的事件響應(yīng)跟蹤系統(tǒng),任何類型的問題都會(huì)被記錄。
當(dāng)一個(gè)事件發(fā)生時(shí),第一項(xiàng)任務(wù)是確定問題計(jì)算機(jī)設(shè)備的特定所有者,Valites表示:“我們需要資產(chǎn)所有者向我們提供必要的信息,但在我們這樣的大型跨國(guó)企業(yè)內(nèi),這是一個(gè)挑戰(zhàn)。雖然我們部署了各種防病毒、VPN、Web應(yīng)用程序控制、入侵檢測(cè)等工具,但最終解決問題還需要依賴于人與人之間的溝通和信息共享。”
CSIRT團(tuán)隊(duì)也需要考慮到潛在的內(nèi)部威脅,在任何企業(yè),都可能存在“流氓”員工或者承包商想要竊取公司數(shù)據(jù)或者做其他破壞行為。這是非常棘手的問題,權(quán)限升級(jí)必須交給人力資源和法律部門來控制。
Valites表示,“我們具有良好的合作伙伴關(guān)系。”并指出,法律顧問很清楚他們?cè)谑录憫?yīng)調(diào)查中的角色,并且它們想要參與關(guān)鍵信息泄露等事情的潛在調(diào)查中。所有類型的調(diào)查都需要計(jì)算機(jī)取證,而思科CSIRT需要負(fù)責(zé)做到一點(diǎn)。
由于思科是一家全球性企業(yè),他們需要跨時(shí)區(qū)和跨北美大陸和亞太地區(qū)來協(xié)調(diào)其CSIRT的工作。Valites表示,思科將受益于物理安全運(yùn)營(yíng)中心(SOC),他表示,思科目前正在建設(shè)兩個(gè)這樣的SOC,一個(gè)在圣何塞,另一個(gè)在印度,其中將利用很多類型的技術(shù),包括思科自己的專用思科網(wǎng)真系統(tǒng)。
