在疫情后的“随时随地办公”的世界中,你的员工是你网络防御的第一道防线……也是你失败的第一道防线。公司不得不从所有坐在安全保护区内的员工调整到今天高度分散、移动、由员工、供应商、承包商等组成的随时待命的员工队伍。攻击者也做出了调整。你的员工比以往任何时候都更可能成为网络骗子的终极目标。2021 Verizon DRBIR数据的发现进一步支持了这一观点:
85% 的数据泄露违规行为涉及人为因素
61% 的数据泄露违规行为涉及泄露凭据
社会工程学攻击增长了15倍
显然,你的员工就是新的边界。他们的身份是攻击者的目标。大多数社会工程学攻击活动主要涉及锁定和破坏可信用户的帐户。从历史上看,我们一直把人类视为网络安全中“最薄弱的环节”。我们尝试过通过网络钓鱼模拟来训练和引诱员工以便提高员工安全意识。但这些最佳实践未能认识到两个重要的现实:
训练的影响有限,甚至在减少现实世界攻击的可能性或影响方面可能适得其反。(来源:Cyentia 研究报告)
每个终端用户都是不同的:有些人的决策比其他人更好;有些人有特权进入,而有些人没有;有些人比其他人更容易受到攻击。
我们需要开始像对待其他我们试图保护的资产一样对待我们组织中的员工。你的员工是一个独特的风险,可以应用标准的零信任模型。我们可以自适应地、动态地对每一种用户类型(雇员、承包商或供应商)应用一套适当的保护措施。把这看作是对你的员工的零信任。在移动设备、家庭办公室和云应用的“随处办公”的世界中,这是唯一的答案。你的组织要实现员工办公零信任需要完成五个阶段。让我们来研究一下这种员工安全办公的新方法。
挑战
挑战决定了攻击者-不堪重负的劳动力
网络攻击正呈上升趋势。员工在公司防火墙之外远程工作。安全团队要处理的警报比以往任何时候都多。我们已经到了需要重新考虑员工办公安全的旧模式的时候了。
攻击者知道人类是最薄弱的环节。这就是为什么他们是危害企业的首要目标。这是攻击者渗透公司防御的最容易的途径。这个等式的另一面是企业员工。你已经训练你的员工很多年了,却只能看到微小的进步(正如 Cyentia 的研究报告所揭示的那样)。所以你添加了更多的工具来保护员工,但简单地添加新的技术层也有其自身的影响。最近的一项研究发现,自全球疫情以来,由于转向远程工作,故意规避安全控制的员工增加了 450%。
果断且无情的攻击者知道他们在做什么:攻击企业员工,直到其中一个员工最终不可避免地落入圈套。这是一个久经考验的策略,因为它一定会奏效。研究发现,虽然单个人可能或多或少容易受到钓鱼攻击或恶意软件下载,但在组织层面上,有人点击链接是不可避免的。
我们不应该认为解决人为错误是不可能的。许多企业忽略了攻击者和企业员工之间动态的更大图景。到目前为止,你只是在个人层面上缺乏对这些动态风险的可见性。这限制了你主动减轻和保护你的组织免受这些威胁的能力。
对人为风险的信任和深入的可见性为你的整个员工队伍打开了动态和定制防御的大门。我们称这种新方法为人类攻击面管理。
人类攻击面管理——了解你的员工做了什么,而不是他们知道什么
你的最终用户所做的每一个决定(无论是好是坏)都会影响你企业的安全状况。是时候开始了解人类攻击面了,它被定义为影响组织风险的人为的行动、访问和安全控制的总和。
大多数企业对其员工所面临的风险缺乏真正的理解。人类攻击面管理为企业提供了对人为风险的深度可见性,并自动化定制安全控制、个性化反馈和策略,以减少事故。它让你更深入地了解每一个员工、承包商或供应商——尤其是风险最大的那些。你将获得个人、团队、部门或区域级别的可见性。
“人类攻击面管理”可以帮助你自信地管理有助于减轻和缩小潜在攻击面的控件。一些最终用户的行为很安全,而另一些则比较粗心。你可以减少组织中的摩擦,但要采取有针对性的、量身定制的行动,而不是一刀切的控制。它解决特定的威胁,如帐户泄露,数据丢失和勒索软件与特定的补救措施。
人类攻击面管理充分利用了现有的安全工具和系统。它整合并解锁包含在整个安全堆栈中的信息。
如何开始
零信任网络使用隔离来理解跨边界、物联网的接入点,以及工作负载如何划分。希望采用和实现员工安全办公零信任的组织首先需要对最终用户进行细分,并更好地了解他们的个人行动、访问以及他们受到攻击的频率。当你面临常见的攻击载体,如帐户泄露、勒索软件和数据丢失时,下文的内容可使你对你的员工有更深入的了解。
典型的员工安全办公零信任实现过程有五个进化阶段:
阶段0
依靠培训和网络钓鱼演练
一刀切的控制
被动响应
不了解员工办公风险
大多数组织从安全意识培训和网络钓鱼模拟演练开始他们的员工零信任之旅。不幸的是,在努力改善员工安全办公的安全状况十多年后,这些措施并没有达到承诺的效果。
最近由Cyentia Institute和Elevate Security进行的一项研究证实,培训和模拟并不能对防止现实世界的安全事故产生持久的影响。员工仍在点击钓鱼链接、下载恶意软件、错误处理敏感数据和重复使用密码。接下来,我们通过诸如身份和访问管理、多因素认证和活动日志等控制来锁定员工。
风险最大的终端用户如果愿意,仍然能够找到绕过这些控件的方法。
阶段1
跨身份、电子邮件、web和端点的工具集成,以了解员工办公风险
在内部集团和同行公司进行基准测试
了解员工在访问、行动和他们受到攻击的频率方面的风险
“员工安全办公零信任”的第一步是增加对人类攻击面的深度和广度的可见性。组织通常有足够的上下文数据来开始他们的旅程。答案锁定在你已经使用的安全工具的用户事件数据中。你只需要一种聚合和分析它的方法。通过使用以下系统来发现员工的操作、访问和攻击行为:
电子邮件安全网关——员工被钓鱼邮件攻击的频率有多高?他们经常点击链接或打开不应该打开的附件的频率是多少?
Web安全网关——检测谁是浏览高危网站的人?点击链接或更频繁地下载恶意软件?
身份和访问管理——如果用户的密码被泄露,什么MFA方法可以被使用?基于他们所访问的应用程序,他们被损害后的影响是什么?
终端和设备管理——用户能够下载任何他们想要的软件?需要批准吗?有没有用户因为下载恶意软件而做出错误的决定?
阶段2
对内部员工的实时反馈
与经理和部门负责人就员工办公风险进度进行沟通
具有时间点和历史风险的仪表盘
一旦你了解了员工办公风险——以及风险最高的最终用户——你的组织就应该主动地与员工和高管沟通这些具体的风险是什么,他们可以采取哪些步骤来降低风险,以及安全团队是如何降低风险的。这个阶段帮助安全团队更好地保护最终用户。
这是超越“一刀切”培训的一步,这种努力的焦点应该主要集中在风险最大的用户身上。应该让他们了解与组织中的其他人相比,他们被攻击的频率有多高。如果他们做出了糟糕的安全决策,请尽可能直接地提供实时反馈,让他们有机会纠正错误。为了获得管理层的支持,可以为经理和部门主管建立关于风险的记分卡,以及他们可以做些什么来帮助风险最高的直接下属保持警惕。
阶段3
员工风险状况已纳入外部工具
利用证据对事件和案件进行快速分类
对执行的政策和控制进行手动决策和模拟
在任何组织中,都有安全分析师或 IT 团队在没有适当数据的情况下手动做出安全决策。在阶段一和阶段二中收集的见解可以帮助团队更快地做出明智的决定。
对于帐户被盗来说,例如:
IT 需要评估是否应该批准软件下载请求
安全分析师需要确定是否应该授予关键资产访问权限
事故响应团队正在对他们从SIEM收到的警报进行分类
在这些场景中,每个人目前都在手工做出关键的决定,没有支持工具来做出有根据的和可靠的选择。不知情的决策可能导致攻击者成功获得立足点,或者审计人员可能会问,为什么在没有适当的业务理由的情况下授予某些异常。在这个阶段,你开始建立超越身份验证解决方案的员工办公零信任,以在你的日常操作中嵌入对员工和个人风险的理解。
阶段4
围绕关键员工办公风险的自动化和编排
事件和分数驱动的决策可以降低风险
适当的适应性控制和策略
衡量和改进决策的有效性和影响
这是员工办公零信任之旅的“顶峰”。在这里,你开始建立在你对每个员工的了解,以主动地自动化的方式降低风险。再多的反馈也不能让员工变得完美——这是事实。因此,下一步是在你的组织中协调适合每个人的风险概况的安全控制。
回到我们的帐户被盗的例子,在安全栈中涉及到主动保护最危险用户的技术有:
电子邮件安全网关
Web安全网关
身份访问管理
端点和设备管理
控制编排是自动化工作流的过程,为你试图保护的每个人创建安全风险适当的配置文件。你可以对那些最容易受到帐户被盗的用户部署更多限制性控制。例如,身份访问管理系统中的额外安全验证以防止潜在的凭据被盗用,或者Web安全网关中的更严格的浏览控制。控制编排使你的组织远离了一刀切的方法,在这种方法中,对所有人进行不必要的锁定会给业务增加不必要的摩擦。你开始针对个别用户的风险定制个别安全配置文件。
结论
你们的员工是新的安全防线。在当今“随处工作”的时代,是时候重新考虑行业的员工安全办公的旧模式了。到目前为止,你的安全团队只是在个人和个人用户级别上缺乏对这些不断演变的风险的可见性。这限制了你主动保护企业和减轻这些威胁的能力。
一种称为“人类攻击面管理”的新方法可以保护你的企业不受当今高水平的员工办公风险的影响。它保护你的组织免受网络攻击,如帐户泄露,勒索软件和数据泄露。它能自适应地、动态地保护你的整个员工队伍,同时减少业务上的摩擦。
任何组织都可以自己创建一个办公零信任模型,但这需要大量的工作。市面上有很多不错的解决方案提供了对人类攻击面的深度可见性,而且是现成的。这些平台可以自动化的定制安全控制、个性化反馈和策略,以防止下一次事件。