在全球疫情蔓延之际,有许多人都在家办公,企业在布局网络安全时,应该注意些什么?信息风险战略师Mike Landeck阐释了解网络安全风险是一切的基础。
Nolan Johnson:Mike,作为一名网络安全专家,让我们谈谈网络安全问题,虽然有些非常基本的概念几乎适用于任何行业,但我们想特别关注一下制造业的网络安全。能做一下自我介绍、分享一下你的背景和专长吗?
Mike Landeck:我被公认为是软件安全保证领域的安全主题专家(SME)。在惠普和其他一些公司编写软件时,我的专长是测试软件以确保它的安全性,我的另一个专长领域是政府资助的医疗保健。在Medi-Cal或美国医疗保险交易中,有一些非常具体的网络安全要求。我作为安全主题专家,解决一些与网络安全相关的问题。作为一个多面手,我从事网络安全工作已经有20年了。
Johnson:你认为转向远程办公会有什么根本性的改变?仅仅是办公环境的改变吗?
Landeck:是也不是。有些公司已经远程办公很长时间了。对于这些公司来说,笔记本电脑显示不出他们在哪里办公:是在家庭办公室、星巴克,还是公司办公室。电脑通过网络互联工作。从传统上来讲,公司有内部网络,也可以称为内联网、局域网,他们有不受外界影响的网络,当你进入办公室时,把电脑接入无线网络或用网线连接,你的电脑就有权进入这个网络。上世纪90年代后期出现了虚拟专用网络概念,即VPN,VPN是计算机上的一个软件,可以远程进入企业网;实际上,该计算机通过VPN就可进入公司内部网络。
对于长期使用这种方式的公司来说,在家工作并不是什么大事。但对于刚刚使用这种方式的公司来说,他们面临的挑战是如何尽快允许远程进入企业网络。我相信这种情况的公司数量不多。规定禁止在家工作的国家机构或处理非常敏感数据的公司,是有理由不允许从外部计算机进入其网络的。事实上虽然坐在不同环境的办公桌前,但从技术角度看,还没有看出人们的工作方式有什么大的区别。
Johnson:无论是在制造工厂,还是对于分散式的员工办公,你认为实现网络安全的关键点是什么?
Landeck:基本原理是相同的。必须要了解需要保护什么,例如,如果是一家公司,写公告或与公众有关的任何东西,需要限制可以看公告的人的权限,有些人只能看到最基本的东西。如果是一家写知识产权相关内容的公司,就不能让竞争对手看到或不能让他们过早看到,你需要保护的数据级别是非常高的。如果你在医疗保健领域,会有非常具体的法律惩罚措施和具体要求,规定了可以看到个人的医疗信息的级别。第一个关键点是了解你拥有什么以及为什么要保护它。如果你的公司,没有什么是敏感资料,但却试图投资来保护资料,没有太多商业意义。如果你拥有可能会颠覆整个行业的新技术,这样的知识产权保护可能就是一项不错的投资。了解拥有什么,了解为什么要保护它。
如何访问您的信息和技术,有两个概念。首先,有身份认证概念,身份验证就是证明你是你,对于你的手机,可以通过眼睛、人脸、指纹或密码来验证。第二个概念叫做授权,意思是“允许我看吗?”即使我能证明我是Mike Landeck,我可能也没有权限看贵公司的资料。所以了解谁有授权及维护访问控制列表很重要。我们经常看到的错误是,这些列表不及时更新。例如,如果你雇我做软件开发人员,我负责那个项目,那么我拥有完全的访问权,然后公司工作调动,我成为了服务器管理员,我就不再需要看那些源代码了,然而公司并没有更新访问权限列表。如果在我的职业生涯中有一次被授予访问权限,我的余生就有可能一直有这个权限。这个过程叫做访问管理。
最后一个关键点是“监测并回应”,了解你的世界正在发生什么。再拿我举个例子,我是Mike Landeck,你知道我住在萨克拉门托,在太平洋时区,周一到周五的正常工作时间我都在网络系统工作。如果某个使用Mike Landeck帐户的人在周五凌晨3:00从东欧登录,并访问了我不应该看到的源代码,在网络中的某个地方触发了某个事件,有很多日志正在进行,在一个可靠的程序中就会有某种警告提示,“这是个可疑的造访,需要调查。”你可以调查一下,发现我真的在东欧某地度假,登录事件是合法的,因为CEO打电话给我有紧急情况。但重要的是一定要有人看到所发生的事件并做出回应。
这个循环的最后部分是如果你的网络中有人非法造访,你如何切断他们?怎么阻止非法造访?或者已经发生了非法造访,你如何知道系统发生了什么,如何确保不再发生?从中吸取什么教训?
Johnson:公司是否应该有确保网络没有任何漏洞的审核过程?
Landeck:是的。大多数公司都受到不同组织或不同机构的监管。例如,如果你的工作是审核信用卡支付卡行业(PCI),要求每年进行一次非常具体的审核。做审核的人需要得到那个领域的认证。再例如,如果你在医疗领域工作,你会有一些不同的HIPAA审核。在制造业,我不确定那会是什么认证,但通常会有SOC审核,一个由注册会计师完成的可验证的审核报告。大多数与政府有业务往来的上市公司都要求进行SOC审核。SOC审核将涵盖我提到的所有内容。
Dan Feinberg:假设公司内部安全性是稳固的。我有一个客户,他们的内部安全性完全锁定了,他们跟我谈了一个他们要申请的专利。他们说:“我们和你有保密协议,所以我们的谈话要符合协议的要求。”但我想,“他们怎么知道我的设置是安全的?”因我我们是通过Zoom聊天的。
Landeck:这是个很好的问题。这就是SOC审核的切入点,安全性中有一个概念叫做第三方供应商风险管理。如今,没有一家公司是孤立的,公司需要依赖其他公司提供供应链、维护或人员扩充,甚至是清洁人员服务。你提出的问题是,“我怎么知道?”在很大程度上,这就是你的SOC审核。如果你来我公司说“我们想和你们公司做生意”,你合同的一部分很可能是我们每年都要给你一份SOC审核报告,这很常见。
有一个概念叫做零日漏洞。这意味着一个设备或软件存在可以被利用的弱点,但还没有人知道。你可以用你所知道的每一种方式来确保它的安全,网络安全行业的人会说,“你已经做了一切可能的事情。”但仍然始终存在被利用的“零日漏洞”概念;它本质上是一个可以被黑客入侵的漏洞。你可能已经通过了SOC审核,但是,他们可能会在Zoom不经意地向你透露一些你不太愿意知道的东西,因为这些东西很有价值,而你的电脑可能有“零日漏洞”。
Feinberg:你提到了VPN。多年来我所看到的VPN一大弱点就是速度慢。据我所知,一些公司已经推出了一种新的VPN,它可以达到正常速度的95%。你听说过吗,或者你知道他们做了什么改进吗?
Landeck:你说的实际是一个瓶颈。你的网络通常有两件事,有一个数字我们称之为“跃点数”,它指的是距离。现在,这几乎不是问题。然后,就是带宽,也就是一次可以通过连接发送多少数据。当你开始互动视频时,你的带宽会大大增加。问题所在的是阻塞点,或者VPN的最小部分,这可能是因为VPN不够大,意味着带宽不够或处理能力太小。
我家的无线系统不能同时处理整个家庭的视频会议,如果你现在去我家,会发现地板上有一根红色的电缆。我已经和很多人讨论过了,因此他们都把家里的无线网络变成了有线网络。有线网络的优点是它非常稳定和强大,缺点是地板上的网线容易让人绊倒。
Johnson:对于公司来说经历了这个过程,发现自己还有许多工作要做,他们可以利用哪些资源?
Landeck:现在很多公司都在这么做。20年前当我开始做网络安全工作时,这不算什么大事。大学没有对应的课程,大部分人都是自学成才的,没有多少工作要做。我们大多数人一开始都是软件开发人员或管理人员,兼职做这些工作。现在不同了,有两件事在改变这一状况。一是风险,一个公司被黑客攻击后,发现没有安全保护比拥有安全保护成本更昂贵,才开始注重安全性。另一个改变状况的问题是法规。现在几乎所有的行业都要求公司必须有最低限度的安全性。当你去医生办公室时,那里的安全性要求是他们必须或要做好风险管理和法规管理。患者信息的存储和传输(HIPPA)要求是“至少必须保证安全性”。
如果你是萨克拉门托市的一家小型软件公司,你需要与安全顾问讨论做什么是有意义的,我一直强调的一点是成本/收益分析。一家小型的软件公司,不应该在安全性上花费数百万美元,除非你的业务分析告诉你应该这样做。回到我们对话的起点。作为一个公司,弄清楚什么是重要的,要做什么,不必在网络安全方面花很多钱。公司赖以生存的法宝是什么?有知识产权需要保护吗?有你不想失去的客户数据库吗?如果有客户信息,你愿意失去他们的信任吗?
在花很多钱之前,先弄清楚想保护的是什么,然后找顾问来帮助你了解保护的具体事项是什么,以及如何保护。如果发生安全性事件,解决安全性事件的要付出多少成本?
然后,有一个替代损失计算法,勒索软件就是一个例子,如果他们“破坏你的系统”,把你的系统加密到不能再用的程度,而你又不想付赎金,你就必须更换那些设备。当我们谈论知识产权时,更多谈论的是竞争优势,如果我是一家拥有用户数据库的本地公司,用户数据库被破坏后,如果我的竞争对手拿到我的客户清单,我就会失去竞争优势。
当一家公司决定开始实施更多的网络安全措施时,需要弄清楚公司害怕什么样的损失。当分析清楚什么会损害他们的业务时,作为第三方顾问,我可以帮助他们进行量化。可以采用蒙特卡罗分析来创建精算表,给出它们具体的范围。
Happy Holden:让我问一个每个人都不敢问的问题:有多少种不同的方法可以入侵某个系统?
Landeck:电子邮件是最常见的。一个很好的资源是Verizon Breach Report。很多公司每天都会受到攻击,他们有一个庞大的团队来观察所有的漏洞以及它们是如何发生的。报告会分解漏洞发生的缘由百分比,所以他们会根据最近1000次的漏洞事件告诉你,X%是由于电子邮件造成的。回到VPN主题,如果公司有一个受保护的网络,那么有外部网络时,他们有一个称为LAN或WAN的防火墙,有VPN才可以进入。如果我是黑客,想进入你的网络,则必须想办法。
困难的方法是通过外部路由器入侵,然后找出如何通过你的路由器服务器进入,黑客更容易进入LinkedIn。如果我想攻击I-Connect007,我会在LinkedIn上搜索,找到在那里工作的人,比如Barb Hockaday,然后我会搜索到她喜欢狗。作为一名黑客,我会精心制作一封电子邮件,对Barb的电子邮件地址做出合理的猜测,然后给她发送一封电子邮件,说“我是来自拯救狗的公益组织,希望与I-Connect007合作。”这些电子邮件看起来非常真实。如果她点击它,电子邮件就会解锁恶意程序,然后黑客病毒就会感染你的电脑。
下面是我在教学时使用的另一个场景。作为一个黑客,我可以选择一家公司,找出他们的首席信息官或首席信息安全官。然后,我会在LinkedIn上找到他们的几个数据库管理员,并发送一封假电子邮件,假装自己是首席信息官,这样的电子邮件很容易伪造。如果数据库管理员的名字是Bob,我可以说,“Bob,附件是日志的一部分,它显示您的帐户不当访问数据库,并窃取了一些数据,我希望这是个误会。请看一下附件,证明不是你的问题。我同时抄送了人力资源部。” Bob参加过有关钓鱼邮件的每个安全培训,但当收到一封来自首席信息官同时抄送人力资源部声称“被指控在工作中窃取数据”的邮件时,不管他脑子里有多少警告在提醒自己“这可能是个骗局”,都可能会打开这封电子邮件。
对于受害者来说,他们的内心会认为“这是一个风险,可能是一封假邮件。”然而,邮件的内容又会令他们感到“我被错误地指控了。我不想丢了工作,现在必须面对这个问题。”电子邮件网络钓鱼之所以如此危险,是因为有人为因素,比如Bob在网络中有一个VPN。如果我是从公司的网络之外攻击Bob,我不用做很多工作就可以进入公司的网络,而无需直接攻击你的网络。
回到度假的例子,黑客发现CIO正在坎昆度假,未使用电子邮件,而基本上是在社交媒体上交流。我可以假借CIO名义给Bob发一封邮件,说:“我现在正在度假,所以不要给我打电话,但是你必须马上处理这件事。”这时,Bob因无法评估真实性而陷入两难,他可不想冒失业的风险,所以可能会点击可疑的电子邮件或链接。
Johnson:现在制造公司要重点检查的是什么?
Landeck:对于任何行业,都要了解其所存在的风险。网络事件对你的公司有什么破坏?网络攻击有可能会做哪些负面的事情?我知道这个问题的答案令人伤神,但知道这些答案非常有利于公司今后发展。如果有大量的数据备份和快速存储笔记本电脑的能力,可以不在乎勒索软件的攻击,尤其是小型公司。但如果是一家没有知识产权保护的公司,那么只采取锁定文件共享的措施可能并没有实质性的意义。
Feinberg:当然,愚蠢是无法治愈的。
Landeck:我有一个客户被一件相当大的事件攻击了。事件是通过电子邮件发生的,邮件说,“你的网上银行转账有问题。请点击这里修复。”我们找到了零号受害者——即第一个点击它的人。我问她,“你以前在网上做过银行转账吗?”她说,“没有,我从来没转过。”我说,“那你为什么要点击一封说你必须解决网上转账问题的电子邮件?”她的原话是,“我想看看会发生什么。除了好奇,那封邮件对她来说没有任何意义。
Holden:我们都熟悉被黑客入侵的伊朗核设施离心机事件,该事件导致这些离心机旋转失控。他们是偷偷进去的,还是通过某人的电子邮件进入的?
Landeck:你说的是Stuxnet。我们只知道被公开的信息,根据新闻媒体报道,那是封闭的隔离网络,这意味着该网络与外界无网络连接。没有虚拟专用网;你必须物理接触那个设备。造成损坏的恶意程序被放到了USB驱动器上,并被带入。不太可能有一个工厂车间与外界完全隔离。如果你做的东西是敏感的或者受监管的,那是有可能的,但是一般的智能工厂不会是封闭的;它会有所谓的网络边界,保护进出的信息不受病毒感染。
Johnson:尽管如此,关键是如果你想的话,甚至可以攻克封闭的隔离网络。
Landeck:是的,很显然,有些人已经攻克了。
Holden:我们是否更清楚地意识到了网络安全的重要性,正在进行相关的工作,还是我们仍有很长的路要走?
Landeck:我们对手机、笔记本电脑等的依赖程度越高,攻击者就越容易得逞,我们就越需要继续我们的工作。威胁总会存在。总而言之,如果我能在家工作,在工作中使用VPN,用手机聊天,在亚马逊网站上买东西,打开灯,黑客就有可能进入。
Johnson:随着我们的制造设施变得更加数字化,网络上的传感器也越来越多,我们似乎更容易受到勒索软件类型的攻击。如果电子产品生产商遇到这种情况,应该怎么做?
Landeck:让我们把它提升一个层次,分为3类:完整性、保密性和可用性。从完整性开始,攻击者可以登录并更改您的信息吗?Stuxnet是完整的,但仍可登录,更改信息。之后,就是在信用卡盗窃案中看到的保密性漏洞,黑客可以登录并盗窃信息。第3类是可用性。勒索软件想让一家公司下线。如果您的业务依赖于传感器连接,而黑客中断了工厂的连接,您是否有冗余数据连接?如果工厂几乎都是Acme传感器,只有一个非Acme产品,那么这些传感器还能正常工作吗?
我不是让大家关注勒索软件,而是关注可用性。我们看到,随着疫情蔓延,工人不能进入工厂。一个智能工厂应该是无操作工或熄灯的,这意味着工厂完全是无人的。在这场疫情中,如何支持一个无操作工的熄灯工厂其数据驱动制造中心?答案是,如果黑客能想出如何赚钱的办法,终有一天会有风险的。如果你使用的传感器可能会被勒索软件感染,黑客就会有机可乘;所以保护传感器不受网络攻击,将是好的开端。
不过针对网络设备,目前还未有太多的勒索软件。最大的威胁是设备被转换成机器人。因为制造成本低,大多数传感器都有小的CPU和存储器,黑客能够利用密码未更改的漏洞对其进行登录。打个比方,利用监控一根管子的传感器,黑客登录并重新利用,使其从监视管子改为作为分布式拒绝服务(DDOS)攻击的一部分发送垃圾邮件或数字请求。现在,你的传感器成为了攻击的一部分,而丧失监控管子的作用。勒索软件可能很快就会袭击物联网。虽然现在我们注意到勒索软件没有机器人的数量多。
Johnson:Mike,你还有什么其他内容想要与读者分享吗?
Landeck:读者可能想要的是灵丹妙药,“如果买了这个设备,那么我所有的安全需求都会得到满足。”事实上,没有灵丹妙药。Stuxnet就是一个例子,即使是封闭的环境仍然可能被黑客攻击。真正起作用的还是基本的准则。作为公司老板,你在意的是什么?如果你担忧的是员工无法工作,那么你应该为手机、平板电脑、电脑等设备的防病毒终端做相应的保护措施投资;如果担心数据被窃取,你应该在控制访问安全方面投资。
了解你可能会损失什么?了解这些损失是什么?以及保护它们的最具成本效益的方法是什么?持续的审核以确认这种情况是否仍在发生,尤其注意盲点。
Johnson:您分享的信息非常有价值。谢谢你抽出时间接受我们的采访。
Landeck:谢谢!