上期探討了公司推出員工在家工作時,網絡安全團隊可採取降低網絡安全風險的措施。然而,很多業務流程在當初設計上,沒有考慮到遠程或在家操作,因此大多數都缺乏正確的嵌入式安全控制。
在這種情況下,互補的安全控制流程可以降低風險,
當中包括:
- 在大量員工安裝和設置基本安全工具(如 VPN 和 MFA)時,安全和 IT 幫助台應增加容量。在呼叫中心臨時部署安全團隊成員,以提供更多的一線支持。
- 調整事件響應 (IR) 和業務連續性 (BC)/災難恢復 (DR) 計劃,以涵蓋與當前危機相關的情景。要找出計劃中的弱點,並在辦公室無人的情況下,進行一次簡短的 IR 或 BC/DR 桌面練習。
- 為物理副本的保留和銷毀,制定規範。在辦公室,員工通常可以隨時使用數字文檔共享機制,以及用於打印材料的碎紙機和安全處置箱。在家裡,員工可能缺乏相同的資源,敏感信息最終可能會被隨意丟棄。
- 擴大組織範圍的監測活動的範圍,特別是數據和端點監測活動的範圍很重要,原因有二。首先,網絡攻擊激增。其次,基本的邊界保護機制,例如代理、Web 網關或網絡入侵檢測系統 (IDS) 或入侵預防系統 (IPS),無法保護在家工作、離開企業網絡和未連接的用戶到 VPN。為了擴大監控範圍,安全團隊應更新安全信息和事件管理 (SIEM) 系統,增加安全運營中心 (SOC) 的人員配置,。
- 當網絡安全事件發生時,SOC 團隊必須知道如何報告。網絡安全領導者應在響應協議中,建立冗餘選項,以便在無法聯繫到決策者,或正常升級途徑因人們在家工作而中斷時,響應不會停止。
- 幾乎每個組織都使用承包商和非現場供應商,並且大多數都集成 IT 系統,並與合同和非合同第三方共享數據,例如稅務或執法機構。當組織評估必須將哪些控制措施擴展到員工,以確保新的在家工作協議的安全時,他們應該為第三方用戶和連接,做同樣的事情,並可能在其運營和安全協議中,管理類似的變化。例如,詢問供應商是否進行了任何遠程 IR 或 BC/DR 桌面演習,並要求分享演習結果。如果任何第三方未能證明足夠的安全控制和程序,請考慮限制甚至暫停他們的連接,直到他們糾正他們的弱點。
確保遠程工作的安全,對確保在這個破壞性時期內的運營連續性,至關重要。本文所述的其中一些需要注意的重點,希望能為此而煩惱中的企業,提供一些幫助。
撰文:胡志偉 香港電腦學會網絡安全專家小組召集人