远程工作的安全挑战

关键要点

随着混合和远程工作模式的普及，IT环境发生了根本性变化，安全专业人员面临着更大的挑战，难以界定“正常”的用户行为。正如VoyaFinancial的首席信息安全官StacyHughes所说，以往在办公室工作或常规出差的员工行为易于识别，而如今的混合环境使得正常与异常行为之间的界限变得模糊。

“今天，如果员工在一个不寻常的地点登录，这可能是威胁行为者，也可能只是员工选择远程办公。”

为了应对这一现实变化，许多组织正在依赖一系列的安全信息和事件管理（SIEM）工具、检测端点解决方案，以及基于云的姿态管理，利用自动化和行为分析技术来增强安全防护。

Hughes谈到，这些复杂性可被视为既是一门艺术，又是一门科学。科学部分涉及现有的用例及已建立的框架，比如MITREATT&CK，以支持整体威胁建模。而艺术部分则需要与特定的业务、应用和开发团队合作，以充分理解应用程序的工作方式以及何种行为算作“异常”。

应用程序类型 | 行为分析
—|—
企业工具 | 监测权限与安全性
协作应用 | 可视化访问模式

在NASA，负责网络安全与隐私的首席信息安全官MikeWitt表示，该机构正在实施基于网络的流量检测工具，以监测和识别高风险网络流量模式，包括潜在的数据外泄或枚举模式。

对于不同组织和员工群体而言，Witt指出，定义“正常”行为是一个持续的挑战。具体来说，系统管理员与执行助理的正常行为定义可能截然不同，而NASA内部不同数据库管理员的行为差异亦非常明显。

“一个用户的正常行为与另一个用户的异常行为，取决于其角色、地理位置和职责。”

对于跨大规模用户的一般员工行为，这是一项相当复杂的问题。Witt提到，针对特定组织配置的流程相比于“一刀切”的解决方案更能有效地解决问题。

Abnormal Security的首席信息安全官MikeBritton表示，安全团队将继续在行为监测方面面临挑战，因为“正常”的定义并没有统一的标准。通过技术捕捉用户活动模式，能够帮助建立“正常”的基准，并识别异常行为，从而预防账号被盗或内部威胁。

行为基础的安全策略通过监测所有相关活动，标记和处理背离正常行为模式的情况。这种高级概念已经在许多公司中发挥了重要作用，助力防止欺诈、保护终端安全和管理安全意识策略。

ThreatModeler的Steven表示，攻击者总是寻求最小阻力的路径，利用那些在权限和验证方面配置不当的平台，寻找可以减缓或阻止追溯的机会。他提到，内部威胁者往往会利用临时工作流程，比如热修复或安全补丁，而这些事件中的“紧张感”可能使他们更容易隐藏恶意软件。

NASA的Witt补充说，攻击者也在继续利用社交工程技术来开始或扩展攻击。在最近关于滥发授权请求的公开披露中，可以看到这种趋势以诱骗用户批准登录，从而绕过多因素身份验证系统。

“这也是联邦政府转向防钓鱼的多因素身份验证以实现零信任架构的重要原因之一。“

随着网络安全环境的不断演变，组织需要适应新的挑战，并不断更新其安全策略，以应对日益复杂的威胁。